View
6
Download
0
Category
Preview:
Citation preview
CONVERTIR UN CAP A IAP & CREAR UN WLAN (SSID)
EN MODO IAP
CAP (Campus Access Points)
IAP (Instan Acess Point)
Nota: El Modo por defecto cuando se compra un AP puede ser:
o IAP: El IAP puede ser convertido a CAP o RAP y viceversa (RAP a IAP o
CAP a IAP). Sus modos de operación en IAP son: Modo Standalone: Equipo independiente
Modo IAP: Del clúster de APs se puede elegir un AP como Virtual
Controller Master (VC) o Local
o CAP: Si es comprado en modo CAP, el AP solo funcionará como Campus
AP y no podrá ser convertido.
Escenario: En este laboratorio tenemos un AP como CAP y será convertido a IAP
Objetivo:
o Convertir un CAP a IAP
o Utilizar el AP como IAP
o Configurar un SSID (tipo: employee)
o Asignación de IP al Cliente (Network asigned) o Asignación de VLAN al Cliente (Default)
Procedimiento:
1. Hacer un reset default de forma física. Apagar el AP, mantener presionado el
botón reset, sin soltar, conectar nuevamente el cable UTP para el puerto ENET del AP.
Nota:
o Se recomienda conectar el AP en un Switch_PoE, en caso de no contar
con un Switch_PoE se puede utilizar un Power over Ethernet (Power
Inyector) o bien utilizar su adaptador de corriente.
o Recomendación conectarse vía consola para estar viendo lo salida de
comandos a través de CLI.
2. Conectarse al SSID instant y escribir en el navegador htttp://instant.arubanetworks.com (se recomienda cambiar estas credenciales)
User: admin
Passw: admin
3. Elegir el Country Code (en nuestro caso si se coloca NIC no aparecerán los
canales) MX para permitir los canales y validar en la CLI:
84:d4:7e:c1:be:b4# show ap allowed-channels
Allowed Channels for AP Type 205 Country Code MX
------------------------------------------------
PHY Type Allowed Channels
-------- ----------------
802.11g (indoor) 1 2 3 4 5 6 7 8 9 10 11 12 13
802.11a (indoor) 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 149 153 157 161 165
802.11g (outdoor) 1 2 3 4 5 6 7 8 9 10 11 12 13
802.11a (outdoor) 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 149 153 157 161 165
802.11g 40MHz (indoor) 1-5 2-6 3-7 4-8 5-9 6-10 7-11 8-12 9-13
802.11a 40MHz (indoor) 36-40 44-48 52-56 60-64 100-104 108-112 132-136 149-153 157-161
802.11g 40MHz (outdoor) 1-5 2-6 3-7 4-8 5-9 6-10 7-11 8-12 9-13
802.11a 40MHz (outdoor) 36-40 44-48 52-56 60-64 100-104 108-112 132-136 149-153 157-161
802.11a 80MHz (indoor) 36-48 52-64 100-112 149-161
802.11a 80MHz (outdoor) 36-48 52-64 100-112 149-161
802.11a (DFS) 52 56 60 64 100 104 108 112 116 132 136 140
4. En la Opción Network dar clic en New
Escribir el nombre del SSID y elegir que el tipo será Employee:
La asignación de la IP al Cliente estará definida en los recursos de la red interna
(corporate), es decir que el DHCP Server y el Gateway estará en la Red o Controller y no será asignado por el AP.
La asignación de la VLAN al Cliente será definida por defecto, es decir asignara la VLAN que se encuentre configurada en el Switch.
Elegir el protocolo de autenticación y escribir el Pre-Share Key. En este ejemplo la MAC Authentication y Blacklisting quedaran Disabled.
No se definirán en este paso las reglas de acceso.
5. Conectarse al SSID creado y validar la asignación de IP correcta. Realizar pruebas de conectividad y navegación a diferentes sitios en Internet.
Nota: El IAP está tomando por DHCP su dirección IP para administración. Sin embargo,
se puede asignar de forma estática.
6. Validar los parámetros configurados en el IAP:
IAP_205_be:b4# show summary
Name :IAP_205
System Location :MGA
Domain :MX
VC IP Address :0.0.0.0
VC VLAN :0
VC Mask :0.0.0.0
VC Gateway :0.0.0.0
Content Filtering :disable
Terminal Access :enable
Telnet Server :disable
Organization :
Airwave Server :
Airwave Backup Server:
Airwave Prov Backup :
Number of VC transition :0
Airwave Shared Key :517d48f2356410972f8a0e1b3451b6b8
Airwave Config Via :DHCP
Airwave :Not Set Up
Aruba Central Server :
Aruba Central :Not Set Up
Managed Via :Local
Syslog Server :0.0.0.0
Syslog Level :warn
Band :all
Master IP Address *:10.5.2.123
IP Address :10.5.2.123
Netmask :255.255.0.0
Gateway :10.5.1.11
NameServer :10.5.1.48
NameServer :10.1.5.10
DNSDomain :tecnasa.com
Master Key :5a45bef301de7408b6f382059200afc9fe9e5b6406652fa605
Elected Time :43m:19s
Dynamic Radius Proxy :disable
NTP Server :
Configuration Dirty :disable
Allow New APs :enable
Classification :disable
Wireless Containment :disable
Wired Containment :disable
Rogue Containment :disable
LED Off :disable
AppRF Visibility :enable
Image Server State :success
Image Server Message :Success
New Image Version :
New Image URL :
Factory SSID :instant
Image Sync Via :Master
Client Alerts :0
Active Faults :0
Fault History :0
Usb Support :NO
Serial Number :CM0548181
OpenDNS Status :Not connected
TFTP Dump Server :0.0.0.0
Extended SSID :enable
Inactivity-ap-timeout:60
Config Sync Status :TRUE
VPN Status :Not Set Up
Mobility Acccess Switch Integration :disable
Deny inter user bridging :disable
Deny local routing :disable
Support Connection Status :Not Connected
Dynamic CPU Management:auto
Restrict Corporate Access:disable
1 Client
--------
MAC Name IP Address Network Access Point
--- ---- ---------- ------- ------------
78:c3:e9:a5:fb:32 android-1cc82c7674cfe563 10.5.2.124 DEUSINVITA IAP_205_be:b4
1 Network
---------
Key Name Clients Status Type
--- ---- ------- ------ ----
DEUSINVITA DEUSINVITA 1 Enabled employee
1 Access Point
--------------
MAC IP Address Name Clients Need Antenna Config
--- ---------- ---- ------- -------------------
84:d4:7e:c1:be:b4 10.5.2.123 IAP_205_be:b4 1 No
Restricted Management Access Subnets
------------------------------------
Subnet IP Address Subnet Mask
----------------- -----------
RADIUS Servers
--------------
Name IP Address Port Key Timeout Retry Count NAS IP Address NAS Identifier RFC3576 Airgroup RFC3576-ONLY Airgroup RFC3576 port DRP IP DRP Mask DRP VLAN DRP Gateway
---- ---------- ---- --- ------- ----------- -------------- -------------- ------- --------------------- --------------------- ------ -------- -------- -----------
InternalServer 127.0.0.1 1616
6b8068e1194f578222ebfb64931df9fb47c68b80832d3a3f2d238a062d6f65f90cf40f25283b0d508ff308d594af377714a08531feb3d0aa51d0285da2bfa030 5 3 0
RTLS Servers
------------
Type IP Address Port Key Frequency Include Unassociated Stations
---- ---------- ---- --- --------- -----------------------------
Aeroscout 0.0.0.0 0 disable
Airwave 0.0.0.0 0 1aaf7a65f482bb98e077cf5c2f458b3f 0 disable
1 AP Class
----------
Name APs
---- ---
Taurus 1
Uplink type :Ethernet
Uplink status :UP
Manual Blacklist Count :0
Dyn Blacklist Count :0
Certificate Installed :No
Internal Radius Users :0
Internal Guest Users :0
Internal User Open Slots :512
PAN Firewall Port :443
PAN Firewall Status :Disabled
Auto save :Enabled
Stats Sample Cnt :15
Stats Interval :30
Info timestamp :2647
7. Validar los clientes asociados al IAP:
IAP_205_be:b4# show ap association
The phy column shows client's operational capabilities for current association
Flags: A: Active, B: Band Steerable, H: Hotspot(802.11u) client, K: 802.11K client, R: 802.11R client, W: WMM client, w: 802.11w client V: 802.11v BSS trans capable
PHY Details: HT : High throughput; 20: 20MHz; 40: 40MHz
VHT : Very High throughput; 80: 80MHz; 160: 160MHz; 80p80: 80MHz + 80MHz
<n>ss: <n> spatial streams
Association Table
-----------------
Name bssid mac auth assoc aid l-int essid vlan-id tunnel-id phy assoc. time num assoc Flags DataReady
---- ----- --- ---- ----- --- ----- ----- ------- --------- --- ----------- --------- ----- ---------
84:d4:7e:c1:be:b4 84:d4:7e:9b:eb:50 d4:93:98:fa:ec:f4 y y 1 1 DEUSINVITA 1 0x0 a-VHT-80sgi-1ss 8m:9s 1 W Yes (Implicit)
84:d4:7e:c1:be:b4 84:d4:7e:9b:eb:40 78:c3:e9:a5:fb:32 y y 1 1
DEUSINVITA 1 0x0 g-HT-20sgi-1ss 46m:58s 1 W Yes (Implicit)
Num Clients:2
8. Validar el estado del IAP
IAP_205_be:b4# show ap monitor status
AP Info
-------
key value
--- -----
Uptime 3253
AP Name 84:d4:7e:c1:be:b4
LMS IP 0.0.0.0
Master IP 0.0.0.0
AP Type 205
Country Code 47
Wired Interface
----------------
mac ip gw-ip gw-mac status pkts macs gw-macs dot1q-pkts vlans
--- -- ----- ------ ------ ---- ---- ------- ---------- -----
84:d4:7e:c1:be:b4 10.5.2.123 10.5.1.11 d8:67:d9:99:b1:82 enable 54054 47 1 0 0
WLAN Interface
---------------
bssid scan monitor probe-type phy-type task channel pkts
----- ---- ------- ---------- -------- ---- ------- ----
84:d4:7e:9b:eb:50 enable enable sap 80211a-VHT-80 tuned 149E 367654
84:d4:7e:9b:eb:40 enable enable sap 80211b/g-HT-20 tuned 1 396216
WLAN packet counters
---------------------
Interface Packets Read Bytes Read Interrupts Buffer Overflows Max PPS Cur PPS Max PPI Cur PPI Inv OTA Inv VBR Low SNR
--------- ------------ ---------- ---------- ---------------- ------- ------- ------- ------- ------- ------- -------
84:d4:7e:9b:eb:50(wifi0) 367654 131493366 293861 0 4079
4 20 1 0 0 0
84:d4:7e:9b:eb:40(wifi1) 396216 81481385 378379 3799 2643
148 20 1 0 0 0
Data Structures
----------------
ap sta pap psta-a psta-g ch msg-hash ap-l
-- --- --- ------ ------ -- -------- ----
62 127 6 19 237 34 3 62
Other Parameters
-----------------
key value
--- -----
Classification enable
Wireless Containment disable
Wired Containment disable
Rogue Containment disable
System OUI Table
-----------------
oui
---
RTLS Configuration and State
-----------------------------
Type Server IP Port Freq Active Rpt-Tags Tag-Mcast-Addr Tags-Sent Rpt-Sta Incl-Unassoc-Sta Sta-Sent Cmpd-Msgs-Sent CM
---- --------- ---- ---- ------ -------- -------------- --------- ------- ---------------- -------- -------------- --
MMS N/A N/A 30 disable 01:0c:cc:00:00:00 N/A disable N/A N/A N/A N/A
Aeroscout N/A N/A N/A disable 00:00:00:00:00:00 N/A disable N/A N/A N/A N/A
RTLS N/A N/A 30 disable 01:18:8e:00:00:00 N/A disable
N/A N/A N/A disable
IAP_205_be:b4# show ap bss-table
Aruba AP BSS Table
------------------
bss ess port ip phy type ch/EIRP/max-EIRP cur-cl ap name in-t(s) tot-t
--- --- ---- -- --- ---- ---------------- ------ ------- ------- -----
84:d4:7e:9b:eb:50 DEUSINVITA ?/? 10.5.2.123 a-VHT ap 149E/24/24 1 84:d4:7e:c1:be:b4 0 1h:22m:5s
84:d4:7e:9b:eb:40 DEUSINVITA ?/? 10.5.2.123 g-HT ap 1/22/22 1 84:d4:7e:c1:be:b4 0 1h:22m:4s
Channel followed by "*" indicates channel selected due to unsupported configured channel.
"Spectrum" followed by "^" indicates Local Spectrum Override in effect.
Num APs:2
Num Associations:2
9. Agregar reglas de acceso por SSID
Clic en la opción Security:
En la pestaña Roles, seleccionar su SSID creado:
En la sección de Access Rules, seleccionar New:
El tipo de regla puede ser por:
Control de acceso
Asignacion de VLAN
Portal Cautivo
Ancho de banda
El servicio puede ser por:
Red
Aplicación
Por categoría de aplicación
Por categoría web:
Se puede elegir la opción de enviarlo a un Blacklist, definir prioridad o enviarlo a un Log:
10. Se denegaron las siguientes aplicaciones:
Yahoo
Gmail
Youtube
Google (account, earth, play, maps, groups, translate, docs, cache, etc)
11. Resultados con sistema operativo Android (Galaxy J5)
Aplicaciones Web denegadas:
Yahoo
Youtube
Aplicaciones App permitidas:
Youtube
Gmail
Google Play
Google Play Store
Aplicaciones App denegadas:
Yahoo
12. Resultados con Sistema Operativo MAC OS (Iphone):
Aplicaciones Web Denegadas: Todas, excepto Gmail.
13. Resultados con sistema operativo Windows 7 (Laptop HP Probook)
Aplicaciones Web Denegadas:
Youtube
Mail Gmail
Mail Yahoo
Aplicaciones Web Permitidas: Ninguna
Recommended