Primer contacto con los nuevos Controladores WLAN Cisco Catalyst 9800

Last updated on mayo 13th, 2020 at 07:43 am

Tras algo más de un año en el mercado, los controladores WLAN de Cisco basados en el software IOS-XE, están llamados a sustituir finalmente a la anterior generación basada en el software AireOS.

Aunque los desarrolladores de Cisco están haciendo una gran labor acercando el comportamiento de los nuevos controladores al de los anteriores, e implementando nuevas capacidades, se están cometiendo algunos errores de programación en funcionalidades básicas o estándares, lo que provoca que la experiencia sea diversa. Cierto es que, para ser completamente honrados, hay que sumar un punto a los ingenieros de la unidad de negocio y del TAC, los cuales resultan de gran ayuda para reproducir el fallo y escalarlo a los desarrolladores para su solución.

Sin embargo, y a pesar de esto, es fácil encontrar una configuración base sobre la que iniciar el despliegue para, según se vayan corrigiendo defectos, afinar la configuración completamente hasta el nivel deseado.

Respecto al equipamiento disponible, es importante hacer mención al hecho de que existe un controlador casi para cada gusto, con funcionalidades completas sea cual sea el modelo de despliegue seleccionado: equipo físico dedicado con los modelos c9800-80, c9800-40 o el nuevo c9800-L, máquina virtual con el c9800-CL, o software integrado en modelos compatibles como el Catalyst 9300. También existe una versión reducida embebida en los nuevos Catalyst Access Point, del que hablaremos en otro momento.

Respecto a los puntos de acceso soportados, todos aquellos que cumplen con el estándar 802.11ac Wave 2 se mantienen, y se añaden los nuevos basados en 802.11ax. Así, están soportados los APs de las series 1700/2700/3700 (previstos para salir fuera de soporte de software el próximo abril de 2020), los AP de las series 1800/2800/3800/4800, y los nuevos Catalyst 9115/9120/9130.

Cisco ha realizado un rediseño completo de la interface de configuración, haciéndolo más amigable que el viejo AireOS, pero también bastante parecido a este, por lo que la metodología de configuración, aunque diferente, es conceptualmente similar a aquel.

Esta sería la explicación básica esta nueva metodología de configuración de principio a fin:

  • WLAN profile: se trata de crear los parámetros básicos de la WLAN, tales como el SSID, el tipo de seguridad (cifrado, autenticación) y características relacionadas con el comportamiento a nivel de radio, tales como el balanceo de radios y/o canal, la limitación en el número de clientes asociados, el uso de 802.11k/v, escaneo de canales, WMM, etc. Es posible crear diferentes perfiles WLAN utilizando el mismo SSID, pero con diferentes características, lo cual permite mayor flexibilidad dependiendo del tipo de dispositivos que lo utilicen, si soportan o no ciertos estándares.
  • Policy Profile: se trata de la segunda parte de la configuración del perfil WLAN, y se relaciona de manera directa con las políticas de red que se aplicarán al dispositivo que se conecte a la WLAN con la cual se asociará. Características como si la asociación, autenticación, switching o DHCP serán centrales o no (en caso de querer desplegar el plano de datos centralizado o local, Flexconnect), si el tráfico será tunelizado hasta un anchor, la VLAN a la que mapear la WLAN, si se aplican limitaciones o no mediante el uso de ACLs, perfiles QoS, temporizadores de la sesión y si los parámetros de la conexión serán controlados por un servicio AAA/NAC. Se recomienda deshabilitar la política por defecto para evitar que los APs no asignados manualmente con tags, emitan un SSID sin control. Al igual que ocurriera con AireOS, un AP emite cualquier WLAN profile con un id entre 1 y 16, por lo que es una buena práctica no utilizar esos identificadores.
  • AP Join Profile: como la modificación del perfil por defecto es limitada, se recomienda crear uno nuevo para definir el servicio NTP en uso, activar el acceso remoto a los APs y configurar las credenciales, o para definir un controlador primario, en caso de contar con más de uno, o la activación de la funcionalidad de detección de rogue APs. Es preciso mencionar que, debido a un defecto pendiente de recibir un parche, la activación de la encriptación en el túnel CAPWAP mediante el uso de DTLS no es posible, y de hacerlo, el AP no consigue registrarse en el controlador.
  • Flex Profile: en caso de utilizar APs en modo Flexconnect, reenviando el tráfico de datos localmente al switch donde se conecta el AP, es necesario crear un perfil Flex, en el cual se define la VLAN nativa del AP, la asociación de cada WLAN a una VLAN y la ACL de pre-autenticación para el uso de portales cautivos, por ejemplo.
  • RF Profiles: el uso de los perfiles RF permite manipular el comportamiento predefinido de la radio en lo que se refiere a limitar el alcance físico mediante la modificación de la potencia de transmisión, o limitar el alcance efectivo de la celda de radio habilitando o no determinadas velocidades de conexión, evitando el acceso a conexiones deficientes u optimizando el proceso de roaming, el cual es preciso recordar que siempre depende en última instancia de la decisión del dispositivo conectado.
  • Tags: finalmente, todos los perfiles anteriores se asocian entre ellos 2-a-2 mediante su mapeo en este apartado: Policy Tag (WLAN & Policy), Site Tag (AP Join & Flex) y RF tag (RF 5GHz & 2.4GHz). Estos tags serán los que se asignan al AP para definir su configuración. La buena noticia es que se pueden definir reglas de configuración por AP cuando aún no están conectados, creando un aprovisionamiento inicial para que estos se autoconfiguren una vez se desempaqueten y se registren.

Aunque el uso de los Site tags no es requerido, debido a que existen múltiples procesos internos que tiene en cuenta los tags de los APs, es una buena práctica segmentar los APs utilizando los Site tag, de forma que los algoritmos de redistribución de credenciales o de RRM no afecten masivamente a todos los APs, y solo a aquellos agrupados en zonas predefinidas por los administradores.

Por último, Cisco por fin ha conseguido que un cambio en la configuración de los APs no provoque un completo reinicio d este, sino una breve desconexión para aplicar los cambios.

Despliegue Inicial

Aunque Cisco ha desarrollado una herramienta de migración de configuración de AireOS a IOS-XE que puede ser de ayuda, tal vea sea preferible aprovechar la migración para comenzar de nuevo y no heredar configuraciones en desuso. Aunque bien es cierto que es de gran ayuda para saber como configurar ciertas características desconocidas, como el filrado de MAC por WLAN.

Por otro lado, si se migran APs desde un controlador AireOS, existen parámetros que se mantendrán configurados, especialmente aquellos que han sido personalizados en el AP, como el nombre, o los parámetros de potencia de emisión o de canal.

Tras este asistente, el equipo se reinicia y podremos acceder al asistente Day-0 a través del navegador, donde poder configurar el resto de parámetros básicos requeridos antes de acceder al interface funcional del Catalyst 9800.

Como en el resto de la familia Catalyst, el controlador 9800 pone a disposición del administrador un asistente de configuración accesible a través del puerto de consola, el cual permite configurar parámetros de conectividad báscios para luego continuar con un segundo asistente de configuración conocido como zero-day, a través del navegador. Sin embargo, si lo que se quiere es salirse del estándar de configuración básico, y utilizar diferentes interfaces físicos para la gestión del equipo (management) y para la gestión del despliegue WLAN (wireless_management), o se desea configurar una VLAN para ellos, será necesario interrumpir este asistente y proceder a la configuración del Catalyst 9800 de manera manual.

A continuación, se muestra el setup básico a través del asistente:

Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system


In order to proceed with DAY 0 Wireless configuration,
please configure Wireless Controller (WLC) with an
IP address, a local username and password and enable
https server via the «ip http/s server» and
«ip http authentication local» commands; then access the
WLC via http/s

Would you like to enter basic management setup? [yes/no]:

Configuring global parameters:
Enter host name [WLC]:

!
Enter enable secret:
!

Enter enable password:
!

Enter virtual terminal password:
!

Setup account for accessing HTTP server? [yes]:
Username[admin]:
Password[cisco]:
!

Configure SNMP Network Management? [no]:
!
Enter interface name used to connect to the
management network from the above interface summary: GigabitEthernet0
!

Configuring interface GigabitEthernet0:
!

Configure IP on this interface? [no]:
IP address for this interface:
Subnet mask for this interface [255.0.0.0] :
!

The following configuration command script was created: Se presenta un resumen de la configuración creada
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.!

Enter your selection [2]: 2
!

Building configuration…
[OK]
!

Es preciso indicar que, con la versión IOS-XE 16.10 de fábrica, no es posible configurar otro interface que no sea el GigabitEthernet0 como gestión, por lo que será necesario modificarlo posteriormente a través del CLI.

Tras este asistente, el equipo se reinicia y podremos acceder al asistente Day-0 a través del navegador, donde poder configurar el resto de parámetros básicos requeridos antes de acceder al interface funcional del Catalyst 9800.

Sin embargo, para aquellos más aventurados y que quieran configurar el controlador de forma manual, la siguiente configuración es una muestra de los parámetros necesarios de cara a evitar la aparición del Day-0 wizard una vez se accede a la interface web.

interface Vlan1
no ip address
shutdown
no mop enabled
no mop sysid
!
vlan 666
name wireless_management
!
vlan 999
name management
!
interface Vlan666
ip address 10.6.6.6 255.255.255.0
no shutdown
!
interface Vlan999
description management
ip address 10.9.9.9 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.6.6.1
ip default-gateway 10.6.6.1
!
interface TenGigabitEthernet0/0/7
description Link_to_mgmt_SW
switchport mode access
switchport access vlan 999
no shutdown
!
interface TenGigabitEthernet0/0/0
description Link_to_Prod
switchport mode trunk
switchport trunk allowed vlan 666
switchport trunk native vlan 100
no shutdown
!
hostname Internal_WLC
ntp server 10.1.1.1
!
ip http server
ip http secure-server
ip http tls-version TLSv1.2
ip http client source-interface Vlan999
ip ssh source-interface Vlan999
ip http authentication local
!
!
aaa new model
aaa authentication login default local
aaa authentication exec default local
aaa authentication enable default enable
!
ip domain-name ent.corp
crypto key generate rsa general modulus 2048 label ent-ssh
ip ssh rsa keypair-name ent-ssh
ip ssh version 2
!
user admin privilege 15 algorithm-type sha256 secret Passw0rd!
!
enable algorithm-type scrypt secret Passw0rd!
!
line vty 0 15
transport input ssh
!
wireless mobility group name ENT-CORP
wireless management interface Vlan666
!
no ap dot11 5ghz shutdown
no ap dot11 24ghz shutdown
!
parameter-map type webauth global
virtual-ip ipv4 192.0.2.1
!

Tras este asistente, se nos muestra el dashboard del elastic WLC con todos los apartados de configuración.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.