06-Configuracion_de_AP-es-v1.8-notes
Transcription
06-Configuracion_de_AP-es-v1.8-notes
Configuración de Puntos de Acceso (AP) y Clientes Materiales de apoyo para entrenadores en redes inalámbricas version 1.8 by Carlo @ 2011-03-17 Metas ‣ Exponer un procedimiento sencillo para la configuración básica de dispositivos WiFi, tanto clientes como Puntos de Acceso. ‣ Revisar los parámetros de configuración de algunos AP comunes y analizar su efecto en las prestaciones de la red. ‣ Hacer sugerencias prácticas y consejos que faciliten la solución de problemas. 2 Antes de realizar cualquier cambio ! ‣ Descargue o de alguna otra manera obtenga los manuales de usuario y hoja de datos de los dispositivos que va a utilizar. ‣ Si va a utilizar equipos de segunda mano, asegúrese de obtener información actualizada sobre la última configuración de los mismos (contraseña de acceso dirección IP, etc.) ‣ Ya debería disponer de un plan acerca de la red que va a instalar (incluyendo el presupuesto de potencia, topología de la red, canales y direcciones IP) ‣ Prepárese a tomar notas de todos los valores de los parámetros que va a modificar. (especialmente las contraseñas!) ‣ Haga respaldos de los archivos o ficheros de configuración antes de realizar cualquier modificación. 3 Familiarícese con el dispositivo Averigüe el significado de todos los indicadores LED Típicamente indican: ‣ ‣ ‣ ‣ Que el equipo está energizado (color verde) Puertos Activos /tráfico (color verde/amarillo) Error (color rojo) Nivel de la señal recibida (barras de LED, a veces de diferentes colores; en algunos dispositivos como los Ubiquiti se puede programar el nivel de señal que encenderá cada LED). A veces, el mismo LED puede indicar diferentes cosas dependiendo del color o la frecuencia del parpadeo. 4 Familiarícese con el dispositivo Identifique los diferentes puertos e interfaces: ‣ Interfaces Radio, a veces llamadas WLAN: uno o más conectores de antena (o antenas no despegables) ‣ Una o más interfaces Ethernet: • Uno o más puertos para la red local (LAN) • Un puerto para la red de acceso (también llamada WAN) ‣ Conector de alimentación (5, 6, 7.5, 12V , usualmente DC): Asegúrese que la fuente de alimentación sea la correspondiente! NOTA: a veces la alimentación se hace a través del mismo cable UTP que transporta los datos Ethernet: a esto se le llama Power-over-Ethernet (PoE). 5 WLAN es el acrónimo Wireless LAN. Los puertos LAN (Local Area Network) normalmente están puenteados entre sí, mientras que el puerto WAN (Wide Area Network) usualmente ofrece la funcionalidad de cortafuego (firewall) y NAT. Ambos tipos de puertos usan la misma clase de conector, el RJ45. PoE será explicado en detalle en la clase, “Instalaciones para exteriores Parte 1”. Familiarícese con el dispositivo ‣ Botón de encendido (no siempre presente). ‣ Botón de reinicio (Reset) (a menudo “escondido” en un pequeño orificio, puede ser presionado mediante un clip). El botón de reset puede tener diferentes efectos (desde un reinicio simple hasta una restauración completa a los valores de fábrica) dependiendo si se presiona brevemente o por un tiempo más largo. Puede tomar 30 s o más activar un reset completo. NOTA: un reset completo (restauración a los valores de fábrica) de un dispositivo que está en un estado desconocido puede ser una tarea muy desagradable! asegúrese de mantener notas de los parámetros críticos como la dirección IP, máscara de red y el identificador del administrador y su contraseña. 6 Si la información crítica (dirección IP, máscara de red) y la identificación y contraseña del administrador se han perdido y el dispositivo no responde puede que usted -como último recurso-, tenga que intentar un respaldo a fábrica para lo cual puede haber algún botón oculto dentro de la caja del dispositivo. En algunos casos existen programas especiales suministrados por el fabricante que permiten conectarse al dispositivo mediante su dirección MAC, aunque no se conozca la configuración IP. Familiarícese con el dispositivo Identifique los diferentes puertos e interfaces. Antenas Botón de reset Puerto WAN Puerto LAN Alimentación 7 A veces el mismo tipo de dispositivo ha sido fabricado con diferentes requisitos de alimentación. Asegúrese de disponer de la fuente de alimentación adecuada para su dispositivo. Interfaces de usuario Existen muchas maneras de implementar la interfaz de usuario (el modo de interactuar con el dispositivo, enviar comandos y cambiar parámetros): ‣ Interfaz gráfica -GUI- (página web) ‣ Interfaz gráfica -GUI- (mediante una aplicación de software privativa) ‣ Interfaz por línea de comandos -CLI- (telnet, ssh) ‣ Interfaz de software incluido en el sistema (cuando el AP o cliente es un computador con su propia pantalla o un teléfono inteligente) 8 GUI: graphical User Interface CLI: Command Line Interface Las GUI típicamente tienen diferentes pestañas. Se debe buscar la apropiada para aplicar la configuración requerida. Es preferible conectar el computador al dispositivo mediante un cable Ethernet en lugar de utilizar la interfaz inalámbrica para propósitos de configuración. Interfaces de usuario: GUI (web) ‣ Linksys, Ubiquiti, la mayoría de los AP modernos Ventajas: ‣ funciona con la mayoría de los navegadores y sistemas operativos Desventajas: ‣ La interfaz estática no refleja los cambios inmediatamente ‣ Feedback deficiente ‣ Puede ser incompatible con algunos navegadores ‣ Requiere una configuración TCP/IP funcionante ‣ Algunas implementaciones recientes (como la de Ubiquiti) son muy buenas y usan características retroalimentación (feedback) dinámica. 9 A menudo se requiere hacer click en Apply, Change o similar y luego Save para que los cambios tengan efecto. Interfaces de usuario: GUI (software) ‣ Mikrotik Winbox, Apple Airport Utility, Motorola Canopy, muchos AP viejos Ventajas: ‣ Usualmente poderosas y atractivas ‣ Permiten configuración en lote de múltiples dispositivos Desventajas: ‣ Soluciones privativas ‣ Usualmente disponibles para un solo sistema operativo ‣ El software debe ser instalado antes de comenzar la configuración ‣ Mikrotik Winbox es una solución muy poderosa para manejar incluso redes grandes 10 Interfaces de usuario: texto ‣ Mikrotik (RouterOS), Ubiquiti (AirOS), AP avanzados (Cisco), AP empotrados o basados en PC ‣ Se conecta al dispositivo y se inicia una sesión serial, telnet o ssh ‣ La configuración se realiza mediante comandos ejecutados en el sistema operativo del anfitrión (usualmente una variedad de Linux o un OS privativo) Ventajas: ‣ Muy poderosa ‣ Acepta scripts Desventaja: ‣ Difícil de aprender 11 La comunicación Serial utiliza líneas RS232 (usualmente en tarjetas de PC), y requiere el establecimiento de varios parámetros tales como: 9600 bps / 8 bits / NO parity / 1 stop bit / NO handshaking ssh es mucho más seguro que telnet, este último debería ser evitado por motivos de seguridad. Configure el AP ‣ Empiece desde un estado conocido, o haga un reset a fábrica (generalmente una buena idea). ‣ Conectares al dispositivo vía Ethernet es usualmente más aconsejable que por la interfaz inalámbrica ‣ Si es posible actualice el firmware a la última versión estable, (pero tenga cuidado!) ‣ En primer lugar cambie la identificación del admin y la contraseña por defecto! ‣ Cambie el nombre del dispositivo por uno que lo identifique claramente como (“AP_conference_room_3” o “hotspot_public_area”). Esto lo ayudará a reconocer el AP en el futuro cuando se conecte desde la red. 12 La mayoría de los dispositivos con una interfaz gráfica de usuario (GUI) tienen una dirección IP por defecto de e 192.168.0.0, pero esto no es una regla. Lea el manual! La actualización del firmware a menudo es un procedimiento riesgoso. Asegúrese de haber adoptado todas las precauciones antes de intentarlo (conecte el dispositivo y su computador a un UPS, no realice ninguna otra operación en el computador mientras está realizando la actualización, asegúrese de tener una imagen binaria del firmware válida, LEA LAS INSTRUCCIONES CUIDADOSAMENTE! si el procedimiento falla, Ud. terminará con un dispositivo inusable que no puede ser recuperado un “ladrillo” -brick-). Recuerde escribir (y guardar en un lugar seguro) todos los valores y en particular la identificaciçon/contraseña del administrador. Configure el AP - capa IP ‣ Configure la interfaz Ethernet del AP en concordancia con su red cableada: ‣ Dirección IP/máscara/puerta de enlace o DHCP ‣ dirección(es) de DNS ‣ Revise la nueva configuración y aplíquelos (a veces es necesario reiniciar el AP) ‣ Ahora tiene que reconfigurar su PC/laptop para que concuerde con la nueva configuración Ethernet, y luego reconectar al AP 13 Si está seguro de lo que está haciendo, Ud. puede postponer la configuración IP hasta depués de haber configurado la red inalámbrica, para evitar tener que reconfigurar y reconectar su PC o laptop. Pero si hace esto y ha cometido un error en la configuración de las dos interfaces alambrada e inalámbrica, puede terminar con un AP al que no se puede conectar ;-) Por lo tanto le aconsejamos que realice los pasos críticos de configuración uno a la vez y compruebe el estado del dispositivo después de cada paso. Recuerde de escribir (y guardar en lugar seguro) todas las configuraciones IP. Configure el AP - capa física ‣ Configure el modo: master (o access point o base station) ‣ Configure el SSID (el nombre de la red inalámbrica creada por el AP, de hasta 32 caracteres de longitud ): es mejor escoger un nombre que tenga un significado. ‣ Configure el canal inalámbrico de acuerdo con las regulaciones del país y de los resultados de la inspección del espectro del sitio. No use un canal que ya está ocupado por otro AP u otra fuente de RF. Ud. debería haber planeado de antemano el canal en la fase de planificación., ‣ Configure la potencia de transmisión y la velocidad de transmisión (estos valores pueden ser colocados como “automatic” en algunos dispositivos). 14 El modo normalmente debe ser configurado como alguna de las siguientes opciones: “master” (o “access point”, “base station”, “BS”), “cliente” (o “managed”, “station”, “client station”, “CPE”), “monitor”, “WDS” (Wireless Distribution System), y en raras ocasiones alguna otra variante. A veces usted no querrá escoger como SSID (Service Set Identifier) un nombre que sea fácilmente identificable con su empresa/ institución. Pero recuerde que como medida de seguridad esto es muy banal y puede resultar contraproducente. La escogencia del mejor canal puede a veces ser ardua y puede que tenga que realizar un análisis espectral sea con herramientas de software o con dispositivos hardware (como el WiSpy de Metageek o el AirView de Ubiquiti). El valor máximo de la potencia de transmisión está fijado por las regulaciones locales, revise de antemano cuál es el máximo permitido por la ley y trate siempre de usar el mínimo valor que le permita alcanzar sus objetivos, a fin de eviatra interfeerencia con otras redes (o con la suya propia). La escogencia de la tasa de transmisión (velocidad de la red) es limitada a los valore establecidos en el estándar 802.11a/b/g/n respectivo. Evite utilizar las extensiones no estándar ofrecidas por algunos fabricantes (a menudo llamadas modos “turbo”) que pueden ocasionar problemas de interoperabilidad e interferencia. Configurar modos “backwards compatibility” (para soportar redes 802.11b en redes 802.11g) va a reducir el caudal aprovechable por sus clientes más rápidos. El AP debe enviar el preámbulo a una velocidad más baja para los clientes 802.11b, y la comunicación entre el cliente y el AP tendrá lugar a la velocidad establecida por 802.11b. Esto lleva más tiempo y enlentece a los clientes 802.11g que podrían comunicar a mayor velocidad. Configure el AP - seguridad ‣ Configure las características de seguridad de su red: ‣ Sin cifrado (todo el tráfico viaja sin protección) ‣ WEP (Wired Equivalent Privacy), con claves de 40 o 104 bits, es defectuoso y por lo tanto no aconsejado ‣ WPA / WPA2 (WiFi Protected Access): PSK, TKIP y EAP ‣ Habilite o deshabilite (esconda) la difusión del SSID en las balizas (“beacon”) ‣ Habilite o deshabilite la lista de control de acceso (Access Control List) (basada en las direcciones MAC de los clientes) NOTA: las opciones de seguridad a menudo son difíciles de escoger porque se requiere una buena protección contra usuarios no intencionales con acceso fácil para los usuarios autorizados. Los requisitos de seguridad más complejos exigirán configuraciones más complejas y software adicional. 15 Habrá una clase dedicada a Seguridad en redes inalámbricas con más información sobre estos tópicos. Esconder el SSID y el filtrado de direcciones MAC no añaden mucha seguridad, complica notablemente el mantenimiento y añaden una fuente de problemas para los usuarios de su red poco expertos. El filtrado MAX es una medida de seguridad débil: -Un cliente malicioso puede capturar paquetes y averiguar cuáles direcciones MAC tienen derecho a asociarse -luego puede cambiar su dirección MAC por algunas de las legítimas y así “engañar” al AP Configure el AP - enrutamiento/NAT ‣ Los AP modernos a menudo incluyen opciones de configuración de enrutamiento en la capa IP. ‣ Esto puede incluir funcionalidades de enrutamiento y NAT (Network Address Translation) además de la opción básica de funcionar como puente. ‣ Las configuraciones IP avanzadas incluyen: i ‣ Enrutamiento estático ‣ Enrutamiento dinámico ‣ NAT (enmascaramiento, reenvío de puertos) ‣ Cortafuegos (Firewalling) ‣ Algunos APs pueden también funcionar como servidores de archivos y de impresión (los disco rígido externos y las impresoras pueden ser conectados via USB). 16 Configure el AP - avanzado ‣ Algunas configuraciones más avanzadas pueden ser escogibles en su AP, dependiendo del modelo/fabricante/firmware/etc.: ‣ Intervalo de baliza (beacon) ‣ RTS/CTS ‣ Fragmentación ‣ Robustez a la interferencia ‣ Extensiones del estándar WIFI adoptadas por el fabricante ‣ Modificación de parámetros para enlaces de larga distancia (10 a 100 kilómetros) y mejor seguridad. 7 Km 17 El mecanismo RTS/CTS (ready to send, clear to send) puede ayudar a aliviar el problema de los nodos ocultos (clientes que “escuchan” al AP pero no a otros clientes y por ende pueden interferir con estos últimos). Configurar la fragmentación de paquetes grandes en fracciones puede utilizarse para mejorar las prestaciones en casos de señales débiles (áreas con cobertura marginal, enlaces largos) Configure el cliente ‣ La configuración del cliente es mucho más simple: ‣ Configure el modo: cliente (o managed, station, client station, CPE) ‣ Configure el SSID de la red a la que se va a unir ‣ El canal, velocidad, y otros parámetros serán seleccionados automáticamente para concordar con el AP ‣ Si el AP ha habilitado WEP o WPA, Ud. tendrá que introducir la contraseña correspondiente. ‣ Los clientes pueden también tener otras opciones (a menudo específicas del fabricante). Por ejemplo, algunos clientes pueden configurarse para asociarse solamente con un AP que tenga una dirección MAC específica. 18 Sugerencias ‣ Siga las guías generales de esta clase para arrancar. ‣ Recuerde que al configurar un AP o un cliente inalámbrico los conceptos son más importantes que los nombres que el fabricante le haya dado a una determinada característica. ‣ Enfóquese en entender lo que cada parámetro hace y como dependen uno de otro. ‣ Los conceptos no son específicos de un fabricante o dispositivo - lo importante es reconocer los parámetros básicos, aunque tengan diferentes nombres y diferentes matices ‣ No tenga miedo de probar nuevas configuraciones, pero tenga a mano una copia de la configuración que había funcionado. Experimente! 19 Sugerencias - trabajando en exteriores ‣ Trate de configurar sus dispositivos (tanto AP como clientes) con antelación y en un lugar confortable (por ej. un laboratorio). Trabajar en exteriores es más difícil y puede conducir a errores (las configuraciones ”en el sitio” = problemas) ‣ Si tiene que hacer una configuración en el exterior, asegúrese de que la batería de su laptop tiene suficiente carga, tenga toda la información requerida (en papel, no sólo en formato electrónico) y lleve una libreta para tomar nota de todos los cambios que haga. Una buena documentación es primordial para futuros mantenimientos en el campo. 20 Detección de fallas (resumen) ‣ Organice el trabajo en pasos lógicos y sígalos. ‣ Lea el manual, estudie el significado de los parámetros y valores , haga pruebas y experimente (no tenga miedo!) ‣ En caso de problemas, haga un restauro a fábrica (factory reset) e intente de nuevo ‣ Si el problema persiste, pruebe de nuevo, cambiando un parametro/valor a la vez. ‣ ¿Todavía no funciona? Haga una búsqueda con Google usando palabras relevantes (nombre del dispositivo, etc.), busque en los foros y en las páginas web del fabricante/ distribuidor ‣ Actualice el firmware a la última versión 21 Use la teoría del “ funcionamiento comprobado” (known good) para simplificar la detección de fallas. Cada vez que logre que el equipo funcione adecuadamente, haga un respaldo de esa configuración. Podrá siempre volver a esa configuración como punto de partida. Gracias por su atención Para más detalles sobre los tópicos presentados en esta charla, vaya al libro Redes Inalámbricas en los Países en Desarrollo, de descarga gratuita en varios idiomas en: http://wndw.net/