CONVERTIR UN CAP A IAP & CREAR UN WLAN (SSID)

EN MODO IAP

CAP (Campus Access Points)

IAP (Instan Acess Point)

Nota: El Modo por defecto cuando se compra un AP puede ser:

o IAP: El IAP puede ser convertido a CAP o RAP y viceversa (RAP a IAP o

CAP a IAP). Sus modos de operación en IAP son: Modo Standalone: Equipo independiente

Modo IAP: Del clúster de APs se puede elegir un AP como Virtual

Controller Master (VC) o Local

o CAP: Si es comprado en modo CAP, el AP solo funcionará como Campus

AP y no podrá ser convertido.

Escenario: En este laboratorio tenemos un AP como CAP y será convertido a IAP

Objetivo:

o Convertir un CAP a IAP

o Utilizar el AP como IAP

o Configurar un SSID (tipo: employee)

o Asignación de IP al Cliente (Network asigned) o Asignación de VLAN al Cliente (Default)

Procedimiento:

1. Hacer un reset default de forma física. Apagar el AP, mantener presionado el

botón reset, sin soltar, conectar nuevamente el cable UTP para el puerto ENET del AP.

Nota:

o Se recomienda conectar el AP en un Switch_PoE, en caso de no contar

con un Switch_PoE se puede utilizar un Power over Ethernet (Power

Inyector) o bien utilizar su adaptador de corriente.

o Recomendación conectarse vía consola para estar viendo lo salida de

comandos a través de CLI.

2. Conectarse al SSID instant y escribir en el navegador htttp://instant.arubanetworks.com (se recomienda cambiar estas credenciales)

User: admin

Passw: admin

3. Elegir el Country Code (en nuestro caso si se coloca NIC no aparecerán los

canales) MX para permitir los canales y validar en la CLI:

84:d4:7e:c1:be:b4# show ap allowed-channels

Allowed Channels for AP Type 205 Country Code MX

------------------------------------------------

PHY Type Allowed Channels

-------- ----------------

802.11g (indoor) 1 2 3 4 5 6 7 8 9 10 11 12 13

802.11a (indoor) 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 149 153 157 161 165

802.11g (outdoor) 1 2 3 4 5 6 7 8 9 10 11 12 13

802.11a (outdoor) 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 149 153 157 161 165

802.11g 40MHz (indoor) 1-5 2-6 3-7 4-8 5-9 6-10 7-11 8-12 9-13

802.11a 40MHz (indoor) 36-40 44-48 52-56 60-64 100-104 108-112 132-136 149-153 157-161

802.11g 40MHz (outdoor) 1-5 2-6 3-7 4-8 5-9 6-10 7-11 8-12 9-13

802.11a 40MHz (outdoor) 36-40 44-48 52-56 60-64 100-104 108-112 132-136 149-153 157-161

802.11a 80MHz (indoor) 36-48 52-64 100-112 149-161

802.11a 80MHz (outdoor) 36-48 52-64 100-112 149-161

802.11a (DFS) 52 56 60 64 100 104 108 112 116 132 136 140

4. En la Opción Network dar clic en New

Escribir el nombre del SSID y elegir que el tipo será Employee:

La asignación de la IP al Cliente estará definida en los recursos de la red interna

(corporate), es decir que el DHCP Server y el Gateway estará en la Red o Controller y no será asignado por el AP.

La asignación de la VLAN al Cliente será definida por defecto, es decir asignara la VLAN que se encuentre configurada en el Switch.

Elegir el protocolo de autenticación y escribir el Pre-Share Key. En este ejemplo la MAC Authentication y Blacklisting quedaran Disabled.

No se definirán en este paso las reglas de acceso.

5. Conectarse al SSID creado y validar la asignación de IP correcta. Realizar pruebas de conectividad y navegación a diferentes sitios en Internet.

Nota: El IAP está tomando por DHCP su dirección IP para administración. Sin embargo,

se puede asignar de forma estática.

6. Validar los parámetros configurados en el IAP:

IAP_205_be:b4# show summary

Name :IAP_205

System Location :MGA

Domain :MX

VC IP Address :0.0.0.0

VC VLAN :0

VC Mask :0.0.0.0

VC Gateway :0.0.0.0

Content Filtering :disable

Terminal Access :enable

Telnet Server :disable

Organization :

Airwave Server :

Airwave Backup Server:

Airwave Prov Backup :

Number of VC transition :0

Airwave Shared Key :517d48f2356410972f8a0e1b3451b6b8

Airwave Config Via :DHCP

Airwave :Not Set Up

Aruba Central Server :

Aruba Central :Not Set Up

Managed Via :Local

Syslog Server :0.0.0.0

Syslog Level :warn

Band :all

Master IP Address *:10.5.2.123

IP Address :10.5.2.123

Netmask :255.255.0.0

Gateway :10.5.1.11

NameServer :10.5.1.48

NameServer :10.1.5.10

DNSDomain :tecnasa.com

Master Key :5a45bef301de7408b6f382059200afc9fe9e5b6406652fa605

Elected Time :43m:19s

Dynamic Radius Proxy :disable

NTP Server :

Configuration Dirty :disable

Allow New APs :enable

Classification :disable

Wireless Containment :disable

Wired Containment :disable

Rogue Containment :disable

LED Off :disable

AppRF Visibility :enable

Image Server State :success

Image Server Message :Success

New Image Version :

New Image URL :

Factory SSID :instant

Image Sync Via :Master

Client Alerts :0

Active Faults :0

Fault History :0

Usb Support :NO

Serial Number :CM0548181

OpenDNS Status :Not connected

TFTP Dump Server :0.0.0.0

Extended SSID :enable

Inactivity-ap-timeout:60

Config Sync Status :TRUE

VPN Status :Not Set Up

Mobility Acccess Switch Integration :disable

Deny inter user bridging :disable

Deny local routing :disable

Support Connection Status :Not Connected

Dynamic CPU Management:auto

Restrict Corporate Access:disable

1 Client

--------

MAC Name IP Address Network Access Point

--- ---- ---------- ------- ------------

78:c3:e9:a5:fb:32 android-1cc82c7674cfe563 10.5.2.124 DEUSINVITA IAP_205_be:b4

1 Network

---------

Key Name Clients Status Type

--- ---- ------- ------ ----

DEUSINVITA DEUSINVITA 1 Enabled employee

1 Access Point

--------------

MAC IP Address Name Clients Need Antenna Config

--- ---------- ---- ------- -------------------

84:d4:7e:c1:be:b4 10.5.2.123 IAP_205_be:b4 1 No

Restricted Management Access Subnets

------------------------------------

Subnet IP Address Subnet Mask

----------------- -----------

RADIUS Servers

--------------

Name IP Address Port Key Timeout Retry Count NAS IP Address NAS Identifier RFC3576 Airgroup RFC3576-ONLY Airgroup RFC3576 port DRP IP DRP Mask DRP VLAN DRP Gateway

---- ---------- ---- --- ------- ----------- -------------- -------------- ------- --------------------- --------------------- ------ -------- -------- -----------

InternalServer 127.0.0.1 1616

6b8068e1194f578222ebfb64931df9fb47c68b80832d3a3f2d238a062d6f65f90cf40f25283b0d508ff308d594af377714a08531feb3d0aa51d0285da2bfa030 5 3 0

RTLS Servers

------------

Type IP Address Port Key Frequency Include Unassociated Stations

---- ---------- ---- --- --------- -----------------------------

Aeroscout 0.0.0.0 0 disable

Airwave 0.0.0.0 0 1aaf7a65f482bb98e077cf5c2f458b3f 0 disable

1 AP Class

----------

Name APs

---- ---

Taurus 1

Uplink type :Ethernet

Uplink status :UP

Manual Blacklist Count :0

Dyn Blacklist Count :0

Certificate Installed :No

Internal Radius Users :0

Internal Guest Users :0

Internal User Open Slots :512

PAN Firewall Port :443

PAN Firewall Status :Disabled

Auto save :Enabled

Stats Sample Cnt :15

Stats Interval :30

Info timestamp :2647

7. Validar los clientes asociados al IAP:

IAP_205_be:b4# show ap association

The phy column shows client's operational capabilities for current association

Flags: A: Active, B: Band Steerable, H: Hotspot(802.11u) client, K: 802.11K client, R: 802.11R client, W: WMM client, w: 802.11w client V: 802.11v BSS trans capable

PHY Details: HT : High throughput; 20: 20MHz; 40: 40MHz

VHT : Very High throughput; 80: 80MHz; 160: 160MHz; 80p80: 80MHz + 80MHz

<n>ss: <n> spatial streams

Association Table

-----------------

Name bssid mac auth assoc aid l-int essid vlan-id tunnel-id phy assoc. time num assoc Flags DataReady

---- ----- --- ---- ----- --- ----- ----- ------- --------- --- ----------- --------- ----- ---------

84:d4:7e:c1:be:b4 84:d4:7e:9b:eb:50 d4:93:98:fa:ec:f4 y y 1 1 DEUSINVITA 1 0x0 a-VHT-80sgi-1ss 8m:9s 1 W Yes (Implicit)

84:d4:7e:c1:be:b4 84:d4:7e:9b:eb:40 78:c3:e9:a5:fb:32 y y 1 1

DEUSINVITA 1 0x0 g-HT-20sgi-1ss 46m:58s 1 W Yes (Implicit)

Num Clients:2

8. Validar el estado del IAP

IAP_205_be:b4# show ap monitor status

AP Info

-------

key value

--- -----

Uptime 3253

AP Name 84:d4:7e:c1:be:b4

LMS IP 0.0.0.0

Master IP 0.0.0.0

AP Type 205

Country Code 47

Wired Interface

----------------

mac ip gw-ip gw-mac status pkts macs gw-macs dot1q-pkts vlans

--- -- ----- ------ ------ ---- ---- ------- ---------- -----

84:d4:7e:c1:be:b4 10.5.2.123 10.5.1.11 d8:67:d9:99:b1:82 enable 54054 47 1 0 0

WLAN Interface

---------------

bssid scan monitor probe-type phy-type task channel pkts

----- ---- ------- ---------- -------- ---- ------- ----

84:d4:7e:9b:eb:50 enable enable sap 80211a-VHT-80 tuned 149E 367654

84:d4:7e:9b:eb:40 enable enable sap 80211b/g-HT-20 tuned 1 396216

WLAN packet counters

---------------------

Interface Packets Read Bytes Read Interrupts Buffer Overflows Max PPS Cur PPS Max PPI Cur PPI Inv OTA Inv VBR Low SNR

--------- ------------ ---------- ---------- ---------------- ------- ------- ------- ------- ------- ------- -------

84:d4:7e:9b:eb:50(wifi0) 367654 131493366 293861 0 4079

4 20 1 0 0 0

84:d4:7e:9b:eb:40(wifi1) 396216 81481385 378379 3799 2643

148 20 1 0 0 0

Data Structures

----------------

ap sta pap psta-a psta-g ch msg-hash ap-l

-- --- --- ------ ------ -- -------- ----

62 127 6 19 237 34 3 62

Other Parameters

-----------------

key value

--- -----

Classification enable

Wireless Containment disable

Wired Containment disable

Rogue Containment disable

System OUI Table

-----------------

oui

---

RTLS Configuration and State

-----------------------------

Type Server IP Port Freq Active Rpt-Tags Tag-Mcast-Addr Tags-Sent Rpt-Sta Incl-Unassoc-Sta Sta-Sent Cmpd-Msgs-Sent CM

---- --------- ---- ---- ------ -------- -------------- --------- ------- ---------------- -------- -------------- --

MMS N/A N/A 30 disable 01:0c:cc:00:00:00 N/A disable N/A N/A N/A N/A

Aeroscout N/A N/A N/A disable 00:00:00:00:00:00 N/A disable N/A N/A N/A N/A

RTLS N/A N/A 30 disable 01:18:8e:00:00:00 N/A disable

N/A N/A N/A disable

IAP_205_be:b4# show ap bss-table

Aruba AP BSS Table

------------------

bss ess port ip phy type ch/EIRP/max-EIRP cur-cl ap name in-t(s) tot-t

--- --- ---- -- --- ---- ---------------- ------ ------- ------- -----

84:d4:7e:9b:eb:50 DEUSINVITA ?/? 10.5.2.123 a-VHT ap 149E/24/24 1 84:d4:7e:c1:be:b4 0 1h:22m:5s

84:d4:7e:9b:eb:40 DEUSINVITA ?/? 10.5.2.123 g-HT ap 1/22/22 1 84:d4:7e:c1:be:b4 0 1h:22m:4s

Channel followed by "*" indicates channel selected due to unsupported configured channel.

"Spectrum" followed by "^" indicates Local Spectrum Override in effect.

Num APs:2

Num Associations:2

9. Agregar reglas de acceso por SSID

Clic en la opción Security:

En la pestaña Roles, seleccionar su SSID creado:

En la sección de Access Rules, seleccionar New:

El tipo de regla puede ser por:

Control de acceso

Asignacion de VLAN

Portal Cautivo

Ancho de banda

El servicio puede ser por:

Red

Aplicación

Por categoría de aplicación

Por categoría web:

Se puede elegir la opción de enviarlo a un Blacklist, definir prioridad o enviarlo a un Log:

10. Se denegaron las siguientes aplicaciones:

Facebook

Yahoo

Gmail

Youtube

Whatsapp

Google (account, earth, play, maps, groups, translate, docs, cache, etc)

11. Resultados con sistema operativo Android (Galaxy J5)

Aplicaciones Web denegadas:

Facebook

Yahoo

Youtube

Aplicaciones App permitidas:

Youtube

Gmail

Whatsapp

Google Play

Google Play Store

Aplicaciones App denegadas:

Yahoo

12. Resultados con Sistema Operativo MAC OS (Iphone):

Aplicaciones Web Denegadas: Todas, excepto Gmail.

13. Resultados con sistema operativo Windows 7 (Laptop HP Probook)

Aplicaciones Web Denegadas:

Youtube

Mail Gmail

Mail Yahoo

Facebook

Aplicaciones Web Permitidas: Ninguna