Integrando LAN Inalámbricas
IEEE 802.11 WLAN es siempre half duplex ya que las estaciones que transmiten y reciben usan la misma frecuencia. Solo una estación puede transmitir a la vez, de lo contrario se producen colisiones.
Para que una estación sepa que se ha recibido su paquete el receptor manda un ACK notificando su correcta recepción.
802.11g es compatible con y sucesor de 802.11b que usa una parte del espectro de solo tres canales que no se solapan.
WLAN usa Carrier Sense Multiple-Acceess/Collision Avoidance (CSMA/CA).
WLAN es half duplex. CSMA/CA usa mensajes RTS (request to send) y CTS (clear to send) para evitar colisiones.
RF se susceptible a interferencias, distorsiones y ruido, a menudo causadas por estructuras físicas y materiales específicos.
Los diseños WLAN deben incluir el hecho de que los clientes a menudo se mueven y usan baterias.
Los APs pueden conectarse mediante PoE para evitar alimentadores/enchufes cerca pero hay que tener en cuenta que consumen 15W.
Para evitar colisiones todas las estaciones deben escuchar antes de transmitir una trama (frame). Cuando una estación necesita enviar una trama puede ocurrir una de estas condiciones:
Las tramas wireless puede variar en tamaño por lo que se añade la duración a la cabecera 802.11. Además el estándar 802.11 requiere que todas las estaciones esperen un corto periodo de tiempo llamada espacio intratramas DCF (DCF interframe space = DIFS) antes de transmitir cualquier trama.
En la terminología IEEE 802.11 cualquier grupo de dispositivos de red se conoce como conjunto de servicio (service set). Estos dispositivos deben compartir un identificador de conjunto de servicio común (service set identifier = SSID) que es una cadena de texto incluida en cada trama enviada. para que dos dispositivos puedan comunicarse deben estar en el mismo SSID.
IMPORTANTE: el nombre SSID distingue entre mayúsculas y minúsculas, por lo que podría fallar la conexión si son diferentes.
Hay dos modos de conexión:
Malla inalámbrica (Wireless Mesh):
Por defecto un AP está conectado a una red cableada mediante un puerto de acceso con lo cual todos los dispositivos conectados a ese AP están en esa misma VLAN, es una extensión inalámbrica de la VLAN. Pero un AP puede conectarse a un switch mediante un Trunk (el AP debe soportar esta característica) con lo cual se pueden mapear vlan con grupos de SSID, por ejemplo vlan 30 al SSID XXX y la VLAN 50 al SSID YYY.
Secuencia de conectividad:
Si el cliente mantiene la misma dirección IP mientra se desplaza entre APs a esto se le llama Layer 2 roaming. Si el cliente se desplaza entre APs localizados en diferentes subredes se llama Layer 3 roaming.
Cada AP es independiente (standalone) o autonomo (autonomous) dentro de la red más grande. Cisco llam a esto autonomous mode AP para distinguirlo de otras arquitecturas.
En este tipo de arquitecturas autónomas todo el tráfico debe pasar por el AP, ya sea el tráfico de un cliente a otra parte de la red cableada o internet o hacia otro cliente inalámbrico, no puede haber tráfico directo entre clientes inalámbricos.
Solo se permite roaming de capa 2.
Un caso especial de AP es el repetidor (repeaters) que NO van conectados a ninguna red por cable. Debe haber al menos un AP conectado a una red de cable para que haya el menos un repetidor. El SSID entre el AP y el repetidor deben coincidir el el porcentaje de solapamiento debe ser del 50%. El repetidor está configurado en el mismo canal (channel) que el AP conectado a la red por cable. Y pro lo tanto la comunicación es Half-Duplex.
Si convertimos un AP en un LAP (ver más abajo que es) debemos tener en cuenta lo siguiente:
Este modelo de arquitectura de Cisco se compone de 5 capas:
En las redes inalámbrica unificadas de Cisco las funciones de un AP se dividen en 2, un AP ligero ( lightweight access point = LAP) que solo gestiona el tráfico y un controlador de red inalámbrica (wireless LAN controller = WLC) que tiene las funciones de autenticar, gestionar politicas de seguridad incluso seleccionar canales RF y potencia de salida (output power). Con esto conseguimos que una red donde hay varios LAPs tengan un único punto de gestión WLC para todo ellos.
La división de esta labor se conoce como arquitectura de MAC dividida (split-MAC architecture). Cada LAP debe comunicarse con el WLC para poder soportar clientes inalámbricos y el WLC se convierte en el punto central que soporta cierto número de LAP a lo largo de la red.
Por lo general los LAP y el WLC pueden estar en la misma red y vlan pero el WLC puede estar en una red y vlan diferente de los LAP
La comunicación entre LAP y WLC se hace a través de túneles que pueden usar el protocolo de punto de aceso ligero (Lightweight Access Point Protocol = LWAPP) o el protocolo de puntos de acceso para el aprovisionamiento y control de redes inalámbricas (Control and Provisioning Wireless Access Point protocol = CAPWAP, RFC 4118). LWAPP usa los puertos destino UDP 12222 y 12223 y UDP 1024 como origen en el WLC y CAPWAP usa los puertos UDP 5246 y 5247.
Ambos protocolos consisten en DOS túneles:
Cuando los túneles LWAPP o CAPWAP se establecen entre el WLC y uno o varios LAP se ofrecen varias funciones:
LAP está diseñado para que sea configuración cero por lo que debe encontrar un WLC y obtener su configuración de él, con lo cual nos ahorramos la configuración de un LAP ya sea por consola o por red.
La secuencia que un LAP debe seguir antes de estar operativo completamente:
Cuando un LAP se aísla de un WLC las asociaciones de clientes por lo general descartadas y no pasa información de datos entre clientes.
Cisco Hybrid Remote Edge Access Point (H-REAP) es un caso especial para sitios remotos donde los LAPs están separados del WLC por un enlace WAN. con HREAP los LAPs remotos pueden operar incluso mientras el enlace WAN está caído y su WLC no está disponible, al estilo de un AP autónomo. Esto permite a los clientes inalámbricos mantener comunicación con el sitio remoto hasta que el enlace WAN y el WLC se restauran.
El tráfico entre dos clientes inalámbricos va desde el client A pasa por el LAP luego por el túnel LWAPP o CAPWAP hasta llegar al WLC y luego vuelta por el túnel pasando por el LAP hasta el cliente B. Aunque el tráfico cifrado (cuando se usa cifrado como en un AP normal) no pasa por el túnel (LWAPP o CAPWAP), el tráfico cifrado va entre el cliente y el LAP, lo mismo que la autenticación. Todos los paquetes de cifrado y autenticación se mantienen dentro del hardware LAP no se distribuyen hasta el WLC.
El roaming siempre es iniciado por el cliente y no está definido por un estándar IEEE.
Para los clientes de Cisco el roaming puede ser causado por uno de estos eventos:
Para el roaming de clientes se debe tener configurado:
Solo existe un controlador WLC para diferentes LAPs, con lo cual cuando un cliente se mueve de un LAP a otro LAP (siempre controlados por el mismo WLC y tengan el mismo SSID), el WLC lo único que debe hacer es actualizar sus tablas de túneles para saber que el cliente ha pasado de un LAP a otro LAP. Por ejemplo un cliente A está en el LAP1 controlado por el WLC1 (asociación LAP1-WLC1), cuando el cliente A pasa al LAP2, el controlador WLC1 debe cambiar la asociación por WLC1-LAP2 para alcanzar al cliente A.
En este caso existen más de un controlador y cuando un cliente pasa de un LAP (controlado por un WLC) a otro LAP (controlado por otro WLC diferente), la asociación entre LAP1-WLC1 pasa a ser LAP2-WLC2 mediante intercambio de mensajes de movilidad (mobility messages) entre los dos WLC. Para que esto ocurra los WLC deben estar en la misma red y se debe mantener el SSID.
Un caso especial es cuando los controladores WLC están en diferente red y VLAN, entonces cuando un cliente pasa de un LAP en una red a otro LAP en otra red, la IP del cliente se mantiene en la red y vlan originales, por lo que se establece un túnel (llamada Ether-IP RFC 3378) entre ambos controladores (en diferentes redes).
El túnel Ether-IP es simplemente una forma que los controladores pueden encapsular los datos de la capa MAC dentro de un paquete IP usando el protocolo 97. PAra mover paquetes entre y hacia el cliente, un controlador encapsula paquetes y los envía al otro controlador. Paquetes recibidos por el túnel son desencapsulados por el otro controlador donde aparecen en su formato original.
El tráfico del cliente en el nuevo LAP y controlador (nueva red y VLAN) sale por el nuevo LAP y controlador (cliente->LAP2->WLC2->salida) pero la vuelta lo hace a través del viejo controlador que envía el tráfico al nuevo controlador (entrada->WLC1->WLC2->LAP2->cliente).
Un grupo de movilidad puede tener hasta 24 WLC de cualquier tipo o plataforma. Un cliente puede saltar (roam) a cualquier LAP (y su WLC asociado) mientras se mantenga dentro del grupo de movilidad.
Alguna veces un cliente puede pasar de un LAP a otro LAP que están en diferentes grupos de movilidad, entonces el cliente puede transferir su asociación al nuevo grupo de movilidad, pero su IP y toda su información de sesión mantenidas en el WLC son descartadas (perdidas).
En este escenario cada SSID que soporte el AP debe estar mapeado contra una VLAN diferente y por consiguiente el puerto donde esté conectado deber ser Trunk con la VLANs marcadas, si solo hay un SSID y una VLAN el puerto estará en modo ACCESS.
También podemos agregar a la configuración del puerto el comando "spanning-tree portfast" para una sola VLAN y modo ACCESS o "spanning-tree portfast trunk" para varias VLANs y modo TRUNK, para acortar el tiempo requerido por STP para levantar el puerto en su estado FORWARDING.
Los LAPs de Cisco están diseñados apra que sean dispositivos de "cero configuración" por parte del administrador ya que es el WLC quien lo configurará, actualizará o lo que necesite.
Los LAPs se conectan (es la capa de acceso) a un puerto en modo ACCESS (nunca en modo TRUNK) ya que la única VLAN que necesitan es la VLAN que las dé la IP al propio LAP para comunicarse con el WLC. Se recomiendo tener una VLAN (y su red) específica para la gestión de los LAPs. Esta VLAN solo llega hasta el LAP y no se extiende más allá por lo que es segura y no hay problema de bucles en la nube inalámbrica.
Cualquier VLAN que deba ser mapeada a un SSID se transporta dentro del túnel LWAPP o CAPWAP desde el LAP al WLC, por lo que NO es necesario conectar estas VLANs mediante un TRUNK.
Los WLC se deben conectar en la capa de distribución y que se le debe proporcionar las VLANs necesarias que deben llegar a los LAPs y claro está a los clientes, por lo que debe ser un TRUNK.