1783 Um006 - Es P

Manual del usuario
Punto de acceso inalmbrico/puente de grupo de trabajo

Stratix 5100
Nmeros de catlogo 1783-WAPAK9, 1783-WAPEK9, 1783-WAPCK9, 1783-WAPZK9
Informacin importante para el usuario
Antes de instalar, configurar, poner en funcionamiento o realizar el mantenimiento de este producto, lea este documento y
los documentos listados en la seccin de recursos adicionales acerca de la instalacin, configuracin y operacin de este
equipo. Es necesario que los usuarios se familiaricen con las instrucciones de instalacin y cableado, as como con los
requisitos establecidos por todos los cdigos, leyes y estndares aplicables.
El personal debidamente capacitado debe realizar las actividades relacionadas a la instalacin, ajustes, puesta en servicio, uso,
ensamblaje, desensamblaje y mantenimiento de conformidad con el cdigo de prctica aplicable.
Si este equipo se utiliza de una forma diferente a la indicada por el fabricante, la proteccin proporcionada por el equipo
puede verse afectada.
En ningn caso Rockwell Automation, Inc. responder ni ser responsable de los daos indirectos o consecuentes que
resulten del uso o la aplicacin de este equipo.
Los ejemplos y los diagramas de este manual se incluyen solamente con fines ilustrativos. Debido al gran nmero de
variables y requisitos asociados a cualquier instalacin en particular, Rockwell Automation, Inc. no puede asumir ninguna
responsabilidad u obligacin por el uso que se haga a partir de los ejemplos y diagramas.
Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de la informacin, los
circuitos, los equipos o el software descritos en este manual.
Se prohbe la reproduccin total o parcial del contenido de este manual sin la autorizacin escrita de Rockwell Automation,
Inc.
Este manual contiene notas de seguridad en todas las circunstancias en que se estimen necesarias.
ADVERTENCIA: Identifica informacin acerca de prcticas o circunstancias que pueden causar una explosin en un ambiente
peligroso que, a su vez, puede ocasionar lesiones personales o la muerte, daos materiales o prdidas econmicas.
ATENCIN: Identifica informacin acerca de prcticas o circunstancias que pueden producir lesiones personales o la muerte,
daos materiales o prdidas econmicas. Estas notas de atencin le ayudan a identificar un peligro, evitarlo y reconocer las
posibles consecuencias.
IMPORTANTE Identifica informacin crucial para comprender y aplicar debidamente el producto.
Tambin puede haber etiquetas sobre el equipo o dentro del mismo, con el fin de recomendar precauciones especficas.
PELIGRO DE QUEMADURA: Es posible que haya etiquetas en el exterior o en el interior del equipo (por ejemplo, en un
variador o un motor) para advertir sobre la posible presencia de voltajes peligrosos.
PELIGRO DE CHOQUE: Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o un
motor) a fin de advertir sobre superficies que podran alcanzar temperaturas peligrosas.
PELIGRO DE ARCO ELCTRICO: Puede haber etiquetas sobre o a los lados del equipo, por ejemplo en un centro de control
de motores, para alertar al personal respecto a un potencial arco elctrico. Un arco elctrico ocasionar lesiones graves o la
muerte. Use un equipo de proteccin personal (PPE) adecuado. Siga TODOS los requisitos reglamentarios en torno a las
prcticas de trabajo seguras y al equipo de proteccin personal (PPE).
Allen-Bradley, Rockwell Automation, Rockwell Automation, Studio 5000 y Stratix son marcas comerciales de Rockwell Automation, Inc.
Las marcas comerciales no pertenecientes a Rockwell Automation son propiedad de sus respectivas empresas.
Tabla de contenido
Prefacio Pblico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Objetivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Convenciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Entorno Studio 5000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Servicio de asistencia tcnica de Rockwell Automation. . . . . . . . . . . 20
Captulo 1
Iniciacin al punto de acceso Dominios reguladores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
inalmbrico/puente de grupo de Configuracin del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Opciones de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
trabajo Stratix 5100
Dispositivos cliente itinerantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Ejemplos de configuracin de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Punto de acceso raz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Puente de grupo de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Punto de acceso repetidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Desembalaje del WAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Elementos provistos con el WAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Captulo 2
Instalacin del punto de acceso Puertos y conexiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
inalmbrico/puente de grupo de Especificaciones del WAP Stratix 5100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Recomendaciones sobre los cables Ethernet . . . . . . . . . . . . . . . . . . . . . 30
trabajo Stratix 5100
Antenas externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Recomendacin sobre los alargadores de cable para las antenas . . . . 31
Preparacin del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Cmo evitar daar el WAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Instalacin del WAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Armarios IDF (telecomunicaciones u otros equipos elctricos) . . . 35
Very High Altitudes (altitudes muy elevadas) . . . . . . . . . . . . . . . . . . . 36
Sistema de antena distribuida (DAS) o comn . . . . . . . . . . . . . . . . . . 36
Conexin a tierra del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Fijacin del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Fijacin del punto de acceso en la placa de montaje . . . . . . . . . . . . . . 38
Cable de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Montaje del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Recomendaciones sobre las distancias de separacin del punto
de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Instalacin de un punto de acceso en una pared o techo duro . . . . . 42
Soportes y sujeciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Instalacin del punto de acceso en un cajetn de conexiones
elctricas o de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Despliegue del punto de acceso en la red inalmbrica . . . . . . . . . . . . . . . . 45
Indicadores de estado del punto de acceso. . . . . . . . . . . . . . . . . . . . . . . 46
Comprobacin de la alimentacin elctrica . . . . . . . . . . . . . . . . . . . . . 47
Configuracin del punto de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 3

Tabla de contenido
Captulo 3
Configuracin de arranque de Device Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Stratix 5100 Device Manager Antes de comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Inicio de sesin en el WAP Stratix 5100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Obtencin y asignacin de una direccin IP . . . . . . . . . . . . . . . . . . . . . . . . 52
Comportamiento predeterminado de la direccin IP . . . . . . . . . . . . 52
Conexin con el punto de acceso WAP Stratix 5100 a escala local . . . . 52
Ajustes de radio predeterminados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Restablecimiento de los ajustes predeterminados del WAP . . . . . . . . . . . 53
Restablecimiento de los ajustes predeterminados del WAP
mediante el botn MODE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Restablecimiento de los ajustes predeterminados a travs
de la GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Inicio de sesin en el punto de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Ayuda en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Configuracin de los ajustes bsicos de un punto de acceso . . . . . . . . . . . 55
Habilitacin de la radio en la red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Redes VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Configuracin de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Tipos de seguridad de la pgina Easy Setup. . . . . . . . . . . . . . . . . . . . . . 63
Limitaciones de seguridad para la configuracin de red en
Easy Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Creacin de un SSID desde el men Security. . . . . . . . . . . . . . . . . . . . 64
Habilitacin de HTTPS para la navegacin segura. . . . . . . . . . . . . . . 67
Ejemplo de configuracin en la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Eliminacin de un certificado HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Inhabilitacin de la interface del navegador web. . . . . . . . . . . . . . . . . . . . . 73
Captulo 4
Definicin de los parmetros de Pestaas de administracin del sistema en Device Manager. . . . . . . . . . . 77
Stratix 5100 Device Manager Pgina de configuracin de red Easy Setup . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Ajustes de configuracin de red en la pgina Easy Setup . . . . . . . . . . 79
Ajustes de configuracin de la radio en la pgina Easy Setup . . . . . . 81
Ajustes de configuracin de seguridad en la pgina Easy Setup . . . . 83
Pgina Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Pgina Network Interface Summary. . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Pgina Network Interface IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Pgina Network Interface GigabitEthernet Status . . . . . . . . . . . . . . . 89
Interfaz de red: ajustes de GigabitEthernet . . . . . . . . . . . . . . . . . . . . . . 92
Interfaz de red: estado de Radio0-802.11n 2 GHz y
Radio1-802.11n 5 GHz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Estado detallado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Pgina Network Interface Radio Settings . . . . . . . . . . . . . . . . . . . . . . . 97
Prueba de portadora ocupada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Pgina Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Pgina Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
AP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Tabla de contenido
Pgina Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Pgina Admin Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Pgina Encryption Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Pgina SSID Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Pgina Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Propiedades globales del administrador de servidor . . . . . . . . . . . . . 119
Autenticacin del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Certificados de autenticacin del punto de acceso . . . . . . . . . . . . . . 123
Deteccin de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Servidor RADIUS local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Opciones avanzadas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Pgina Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Telnet/SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Pgina Hot Standby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Pgina CDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Pgina DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Pgina Filters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Pgina MAC Address Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Pgina IP Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Pgina Ethertype Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Pgina HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Pgina QoS Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Pgina QoS: Radio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Pgina Stream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Pgina SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Pgina SNTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Pgina VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Pgina ARP Caching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Pgina Band Select. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Pgina Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Inicio de sesin con autenticacin web . . . . . . . . . . . . . . . . . . . . . . . . 163
Pgina Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Pgina Software Upgrade HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Pgina Software Upgrade TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Pgina System Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Pgina Event Log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Pgina Configuration Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Captulo 5
Acceso al punto de acceso Cuadro de dilogo General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
inalmbrico/puente de grupo de Cuadro de dilogo Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Cuadro de dilogo Module Information . . . . . . . . . . . . . . . . . . . . . . . 177
trabajo Stratix 5100 en
Cuadro de dilogo Switch Configuration . . . . . . . . . . . . . . . . . . . . . . 179
Logix Designer Cuadro de dilogo Access Point. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Parmetros del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Cuadro de dilogo Service Set Identifiers (SSID) . . . . . . . . . . . . . . . 182
Cuadro de dilogo Event Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Cuadro de dilogo Radios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Cuadro de dilogo 2.4 GHz or 5 GHz Radio . . . . . . . . . . . . . . . . . . . 185
Cuadro de dilogo Save/Restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Tabla de contenido
Cuadro de dilogo Counters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

Cuadro de dilogo Statistics Per Rate. . . . . . . . . . . . . . . . . . . . . . . . . . 190
Tipos de datos definidos por mdulos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Captulo 6
Configuracin del WAP Stratix 5100 Modos de comando de Cisco IOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
mediante la interface de lnea de Ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Abreviacin de los comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
comandos
Uso de las formas No y Default en los comandos . . . . . . . . . . . . . . . . . . . 195
Significado de los mensajes de la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Historial de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Modificacin del tamao del bfer del historial de comandos. . . . 196
Recuperacin de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Inhabilitacin del historial de comandos . . . . . . . . . . . . . . . . . . . . . . . 197
Uso de las funciones de edicin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Habilitacin e inhabilitacin de las funciones de edicin . . . . . . . . 197
Edicin de comandos mediante teclas . . . . . . . . . . . . . . . . . . . . . . . . . 198
Edicin de lneas de comando con retorno automtico . . . . . . . . . . 199
Bsqueda y filtro de los comandos show y more . . . . . . . . . . . . . . . . . . . . 200
Acceso a la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Apertura de la CLI con Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Apertura de la CLI con el intrprete de rdenes seguro . . . . . . . . . . . . . 201
Restablecimiento de los ajustes predeterminados mediante
la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Ejemplos de configuracin de la CLI de seguridad . . . . . . . . . . . . . . . . . . 202
Ejemplo 1: sin seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Ejemplo 2: WPA con claves previamente compartidas
(WPA2-PSK) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Ejemplo 3: WPA y EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Asignacin de una direccin IP mediante la CLI . . . . . . . . . . . . . . . . . . . 207
Uso de una sesin de aplicacin del terminal para obtener acceso
a la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Configuracin del suplicante 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Creacin de un perfil de credenciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Aplicacin del perfil de credenciales a un SSID utilizado para
el enlace ascendente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Creacin y aplicacin de perfiles de mtodos EAP . . . . . . . . . . . . . . . . . . 211
Captulo 7
Administracin del acceso WAP Inhabilitacin del botn de modo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Prevencin de los accesos no autorizados al punto de acceso . . . . . . . . . 215
Proteccin del acceso a los comandos EXEC con privilegios . . . . . . . . . 215
Configuracin predeterminada del nivel de privilegios y
la contrasea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Configuracin o modificacin de una contrasea de habilitacin
esttica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Proteccin de las contraseas de habilitacin y habilitacin secreta
con cifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Configuracin de los pares de nombre de usuario y contrasea . . . . . . 218
Configuracin de mltiples niveles de privilegios . . . . . . . . . . . . . . . . . . . 220

Tabla de contenido
Configuracin del nivel de privilegios para un comando. . . . . . . . . 220

Inicio y cierre de sesin con un nivel de privilegios . . . . . . . . . . . . . . 221
Control del acceso al punto de acceso con RADIUS . . . . . . . . . . . . . . . . 221
Configuracin predeterminada RADIUS. . . . . . . . . . . . . . . . . . . . . . 223
Configuracin de la autenticacin para el inicio de sesin en
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Definicin de los grupos de servidores AAA. . . . . . . . . . . . . . . . . . . . 225
Configuracin de la autorizacin RADIUS para el acceso de
usuario con privilegios y los servicios de red . . . . . . . . . . . . . . . . . . . . 227
Visualizacin de la configuracin RADIUS . . . . . . . . . . . . . . . . . . . . 228
Control del acceso al punto de acceso con TACACS+. . . . . . . . . . . . . . 229
Configuracin TACACS+ predeterminada . . . . . . . . . . . . . . . . . . . 229
Configuracin de la autenticacin para el inicio de sesin
TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Configuracin de la autorizacin TACACS+ para el acceso
EXEC con privilegios y los servicios de red . . . . . . . . . . . . . . . . . . . . . 231
Visualizacin de la configuracin TACACS+ . . . . . . . . . . . . . . . . . . 232
Configuracin de los ajustes de velocidad y dplex Ethernet. . . . . . . . . 232
Configuracin del punto de acceso para la autenticacin y
autorizacin local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Configuracin del perfil y la cach de autenticacin . . . . . . . . . . . . . . . . 235
Configuracin del punto de acceso para la prestacin del servicio
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Configuracin del servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Supervisin y mantenimiento del punto de acceso servidor DHCP . . 241
Comandos de visualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Comandos de eliminacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Comandos de depuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Configuracin del punto de acceso para Secure Shell . . . . . . . . . . . . . . . 242
Descripcin de SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Configuracin de SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Configuracin de la cach ARP para clientes. . . . . . . . . . . . . . . . . . . . . . . 243
Cach ARP opcional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Configuracin de la cach ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Gestin de la fecha y la hora del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Configuracin del SNTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Configuracin manual de la hora y la fecha. . . . . . . . . . . . . . . . . . . . . 245
Configuracin del reloj del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Visualizacin de la configuracin de la fecha y la hora . . . . . . . . . . . 246
Configuracin de la zona horaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Configuracin de la hora de verano (hora de ahorro de
luz diurna) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Definicin del acceso HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Configure un indicador y un nombre de sistema . . . . . . . . . . . . . . . . . . . 249
Configuracin predeterminada del indicador y el nombre del
sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Configuracin de un nombre del sistema . . . . . . . . . . . . . . . . . . . . . . 250
Descripcin de DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Configuracin DNS predeterminada . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Configuracin de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Visualizacin de la configuracin DNS . . . . . . . . . . . . . . . . . . . . . . . . 253

Tabla de contenido
Captulo 8
Configuracin de los ajustes de radio Habilitacin de la interface de la radio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Configuracin de la funcin en la red de radio . . . . . . . . . . . . . . . . . . . . . 256
Modo de puente de grupo de trabajo universal . . . . . . . . . . . . . . . . . . . . . 259
Configuracin de la funcin de emergencia de doble radio . . . . . . . . . . 259
Seguimiento de la radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Seguimiento de Gigabit Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Direccin MAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Configuracin de las velocidades de datos de la radio . . . . . . . . . . . . . . . 261
Puntos de acceso que envan tramas multidifusin y de
administracin a la velocidad bsica ms alta . . . . . . . . . . . . . . . . . . . . . . . 263
Configuracin de las velocidades MCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Configuracin de la potencia de transmisin de la radio . . . . . . . . . . . . 267
Limitacin del nivel de potencia de los dispositivos cliente
asociados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Configuracin de los ajustes del canal de radio . . . . . . . . . . . . . . . . . . . . . 269
Anchos de canal 802.11n. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Dynamic Frequency Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Deteccin del radar en un canal DFS . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Comandos CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Confirmacin de la habilitacin de la DFS . . . . . . . . . . . . . . . . . . . . . 272
Configuracin de un canal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Bloqueo de canales de la seleccin DFS . . . . . . . . . . . . . . . . . . . . . . . . 275
Configuracin del intervalo de guarda 802.11n . . . . . . . . . . . . . . . . . . . . 275
Configuracin de las antenas de transmisin y recepcin. . . . . . . . . . . . 276
Habilitacin e inhabilitacin de la respuesta de sonda gratuita . . . . . . . 277
Habilitacin e inhabilitacin de las extensiones Aironet . . . . . . . . . . . . 278
Configuracin del mtodo de transformacin del encapsulado
Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Habilitacin e inhabilitacin de la multidifusin confiable a
los puentes de grupo de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Habilitacin e inhabilitacin del reenvo pblico seguro de
paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Configuracin de puertos protegidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Configuracin del periodo de baliza y el DTIM . . . . . . . . . . . . . . . . . . . . 283
Configuracin del lmite RTS y las tentativas . . . . . . . . . . . . . . . . . . . . . . 284
Configuracin del nmero de tentativas de datos mximo . . . . . . . . . . 285
Configuracin del lmite de fragmentacin . . . . . . . . . . . . . . . . . . . . . . . . 286
Realizacin de una prueba de portadora ocupada . . . . . . . . . . . . . . . . . . . 286
Configuracin de ClientLink. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Utilice la CLI para configurar ClientLink . . . . . . . . . . . . . . . . . . . . . 287
Funciones de depuracin de la radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Captulo 9
Configuracin de SSID mltiples Descripcin del uso de SSID mltiples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Configuracin de SSID mltiples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Configuracin predeterminada de SSID . . . . . . . . . . . . . . . . . . . . . . . 290
Creacin de un SSID a escala global . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Visualizacin de los SSID configurados a escala global. . . . . . . . . . . 293
Restriccin de SSID mediante un servidor RADIUS . . . . . . . . . . . . . . . 293

Tabla de contenido
Configuracin de SSID bsicos mltiples . . . . . . . . . . . . . . . . . . . . . . . . . . 294

Requisitos de configuracin de BSSID mltiples . . . . . . . . . . . . . . . 295
Directrices para la configuracin de BSSID mltiples . . . . . . . . . . . 295
Configuracin de BSSID mltiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Ejemplo de configuracin de la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Visualizacin de los BSSID configurados . . . . . . . . . . . . . . . . . . . . . . 298
Asignacin de redireccionamiento IP a un SSID . . . . . . . . . . . . . . . . . . . 299
Directrices para el uso del redireccionamiento IP . . . . . . . . . . . . . . . 300
Configuracin del redireccionamiento IP . . . . . . . . . . . . . . . . . . . . . . 300
Inclusin de un SSID en un IE SSIDL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Captulo 10
Configuracin del protocolo del rbol Protocolo de rbol de expansin (STP). . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
de expansin Configuracin de las caractersticas del STP . . . . . . . . . . . . . . . . . . . . . . . 304
Configuracin STP predeterminada. . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Configuracin de los ajustes STP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Visualizacin del estado del rbol de expansin. . . . . . . . . . . . . . . . . . . . . 306
Captulo 11
Configuracin de un punto de acceso Autenticacin local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
como autenticador local Configuracin de un autenticador local . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Descripcin general de la configuracin. . . . . . . . . . . . . . . . . . . . . . . . 308
Configuracin/habilitacin de la autenticacin MAC local . . . . . . . . . 309
Configuracin del SSID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Creacin de listas de direcciones MAC locales . . . . . . . . . . . . . . . . . 310
Creacin y habilitacin de la autenticacin MAC mediante el
servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Adicin de un servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Configuracin del mtodo de autenticacin MAC . . . . . . . . . . . . . 314
Configuracin de la autenticacin EAP de red . . . . . . . . . . . . . . . . . . . . . 315
Configuracin de los parmetros EAP avanzados . . . . . . . . . . . . . . . 318
Configuracin del punto de acceso autenticador local mediante
la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Configuracin de otros puntos de acceso para que utilicen el
autenticador local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Configuracin de los ajustes EAP-FAST . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Configuracin de los ajustes PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Tiempos de expiracin de las PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Generacin manual de PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Configuracin de un identificador de autoridad . . . . . . . . . . . . . . . . 325
Configuracin de las claves de servidor . . . . . . . . . . . . . . . . . . . . . . . . 325
Posibles fallos de PAC provocados por el reloj del punto
de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Limitacin del autenticador local a un tipo de autenticacin . . . . . . . . 327
Desbloqueo de los nombres de usuario bloqueados . . . . . . . . . . . . . . . . . 327
Visualizacin de las estadsticas del autenticador local . . . . . . . . . . . 327
Mensajes de depuracin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Tabla de contenido
Captulo 12
Configuracin de las suites de Suites de algoritmos de cifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
algoritmos de cifrado Configuracin de las suites de algoritmos de cifrado . . . . . . . . . . . . . . . . 332
Habilitacin de las suites de algoritmos de cifrado . . . . . . . . . . . . . . 332
Suites de algoritmos de cifrado compatibles con WPA o
CCKM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Habilitacin e inhabilitacin de la rotacin de claves de
difusin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Captulo 13
Configuracin de los tipos de Tipos de autenticacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
autenticacin Autenticacin abierta en el punto de acceso . . . . . . . . . . . . . . . . . . . . 336
Autenticacin de clave compartida en el punto de acceso . . . . . . . . 336
Autenticacin EAP en la red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Autenticacin de direcciones MAC en la red . . . . . . . . . . . . . . . . . . . 337
Combinacin de la autenticacin abierta, EAP y basada
en MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Uso de CCKM para clientes autenticados . . . . . . . . . . . . . . . . . . . . . 339
Gestin de claves WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Configuracin de los tipos de autenticacin . . . . . . . . . . . . . . . . . . . . . . . 341
Asignacin de los tipos de autenticacin a un SSID . . . . . . . . . . . . . 342
Configuracin de ajustes WPA adicionales . . . . . . . . . . . . . . . . . . . . . . . . 345
Configuracin de una clave previamente compartida . . . . . . . . . . . 345
Configuracin de las actualizaciones de la clave de grupo . . . . . . . . 346
Configuracin de la cach de autenticacin MAC . . . . . . . . . . . . . . 347
Configuracin de intervalos, tiempos de espera y tiempos de
retencin de la autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Creacin y aplicacin de perfiles del mtodo EAP para el
suplicante 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Creacin de un perfil de mtodos EAP . . . . . . . . . . . . . . . . . . . . . . . . 351
Aplicacin de un perfil EAP a un SSID de enlace ascendente . . . . 352
Captulo 14
Configuracin de WDS y la itinerancia WDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
rpida segura Funcin del dispositivo WDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Funcin de los puntos de acceso mediante el uso del
dispositivo WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Itinerancia rpida segura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Configuracin del WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Directrices sobre WDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Requisitos para WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Descripcin general de la configuracin. . . . . . . . . . . . . . . . . . . . . . . . 358
Configuracin de los puntos de acceso como dispositivos WDS
potenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Configuracin de un grupo de servidores . . . . . . . . . . . . . . . . . . . . . . 362
Configuracin de los puntos de acceso para el uso del
dispositivo WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Tabla de contenido
Ejemplo de configuracin en la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

Configuracin del modo solo WDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualizacin de la informacin del WDS. . . . . . . . . . . . . . . . . . . . . . 367
Mensajes de depuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Configuracin de la itinerancia rpida segura . . . . . . . . . . . . . . . . . . . . . . 368
Requisitos para la itinerancia rpida segura. . . . . . . . . . . . . . . . . . . . . 368
Configuracin de los puntos de acceso para que sean
compatibles con la itinerancia rpida segura . . . . . . . . . . . . . . . . . . . . 369
Ejemplo de configuracin en la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Proteccin de trama de administracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Proteccin de trama de administracin unidifusin . . . . . . . . . . . . . 372
Proteccin de trama de administracin de difusin . . . . . . . . . . . . . 372
MFP de cliente para puntos de acceso en modo raz . . . . . . . . . . . . . . . . 373
Configuracin de la MFP de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Configuracin de un lmite de fallo de autenticacin. . . . . . . . . . . . 375
Captulo 15
Configuracin de los servidores Configuracin y habilitacin RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
RADIUS y TACACS+ Funcionamiento de RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Configuracin de RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Configuracin RADIUS predeterminada. . . . . . . . . . . . . . . . . . . . . . 380
Identificacin del anfitrin servidor RADIUS. . . . . . . . . . . . . . . . . . 380
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Definicin de los grupos de servidores AAA. . . . . . . . . . . . . . . . . . . . 386
Configuracin de la autorizacin RADIUS para el acceso de
usuarios con privilegios y los servicios de red . . . . . . . . . . . . . . . . . . . 389
Configuracin del paquete de desconexin. . . . . . . . . . . . . . . . . . . . . 390
Inicio de la contabilidad RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Seleccin del formato CSID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Configuracin de todos los servidores RADIUS . . . . . . . . . . . . . . . . 393
Configuracin del punto de acceso para el uso de atributos
RADIUS especficos del proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuracin del punto de acceso para la comunicacin de
servidor RADIUS patentado del proveedor. . . . . . . . . . . . . . . . . . . . . . . . 396
Visualizacin de la configuracin RADIUS . . . . . . . . . . . . . . . . . . . . 397
Atributos RADIUS enviados por el punto de acceso . . . . . . . . . . . . 398
Configuracin y habilitacin de TACACS+. . . . . . . . . . . . . . . . . . . . . . . 401
Funcionamiento de TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Configuracin de TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuracin predeterminada de TACACS+ . . . . . . . . . . . . . . . . . 403
Identificacin del anfitrin servidor TACACS+ y configuracin
de la clave de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Configuracin de la autorizacin TACACS+ para el acceso
EXEC con privilegios y los servicios de red . . . . . . . . . . . . . . . . . . . . . 407
Inicio de la contabilidad TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Visualizacin de la configuracin TACACS+ . . . . . . . . . . . . . . . . . . 409

Tabla de contenido
Captulo 16
Configuracin de redes VLAN Redes VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Incorporacin de dispositivos inalmbricos a redes VLAN . . . . . . 413
Configuracin de redes VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Asignacin de SSID a redes VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Asignacin de nombres a VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Asignacin de usuarios a una VLAN mediante un servidor
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Visualizacin de las redes VLAN configuradas en el punto
de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Configuracin y habilitacin de una VLAN con SSID mediante
Stratix 5100 Device Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Configuracin del cifrado para la VLAN. . . . . . . . . . . . . . . . . . . . . . . 422
Captulo 17
Configuracin de QoS QoS para redes LAN inalmbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
QoS para redes LAN inalmbricas frente a QoS en redes LAN
por cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Repercusiones de QoS sobre una red LAN inalmbrica . . . . . . . . . 424
Prioridad de los ajustes QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Configuracin de QoS mediante Stratix 5100 Device Manager . . . . . . 426
Modo multimedia wifi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Ajuste de las categoras de acceso de radio . . . . . . . . . . . . . . . . . . . . . . 433
Captulo 18
Configuracin de filtros Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Configuracin de filtros con comandos CLI . . . . . . . . . . . . . . . . . . . . . . . 438
Cree una ACL basada en el tiempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Configuracin de filtros mediante Stratix 5100 Device Manager . . . . 440
Configuracin y habilitacin de filtros de direccin MAC. . . . . . . 441
Configuracin y habilitacin de filtros IP . . . . . . . . . . . . . . . . . . . . . . 446
Configuracin y habilitacin de filtros Ethertype . . . . . . . . . . . . . . . 452
Captulo 19
Configuracin del CDP CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Configuracin del CDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Configuracin predeterminada del CDP . . . . . . . . . . . . . . . . . . . . . . 456
Configuracin de las caractersticas del CDP . . . . . . . . . . . . . . . . . . . 456
Inhabilitacin y habilitacin del CDP . . . . . . . . . . . . . . . . . . . . . . . . . 457
Inhabilitacin y habilitacin del CDP en una interface. . . . . . . . . . 458
Supervisin y mantenimiento del CDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 459

Tabla de contenido
Captulo 20
Configuracin de SNMP SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Versiones SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Funciones de administrador SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Funciones de agente SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Cadenas de comunidad SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Acceso a las variables MIB mediante el uso de SNMP . . . . . . . . . . . 464
Configuracin de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Configuracin SNMP predeterminada . . . . . . . . . . . . . . . . . . . . . . . . 465
Habilitacin del agente SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Configuracin de las cadenas de comunidad . . . . . . . . . . . . . . . . . . . 465
Especificacin del nombre de los grupos de servidor SNMP . . . . . 467
Configuracin de anfitriones de servidor SNMP . . . . . . . . . . . . . . . 468
Configuracin de usuarios del servidor SNMP . . . . . . . . . . . . . . . . . 468
Configuracin de administradores de interrupcin y habilitacin
de interrupciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Configuracin de la informacin de ubicacin y contacto del
agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Comando snmp-server view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Ejemplos SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Visualizacin del estado SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Captulo 21
Configuracin de los modos de Modo de puente de grupo de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
puente de grupo de trabajo y Tratamiento de los puentes de grupo de trabajo como dispositivo
de infraestructura o como dispositivos cliente . . . . . . . . . . . . . . . . . . . . . . 477
repetidor y de los puntos de acceso de
Configuracin de un puente de grupo de trabajo para la itinerancia . . 478
reserva Configuracin de un puente de grupo de trabajo para una
bsqueda de canales limitada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Configuracin del conjunto de canales restringido. . . . . . . . . . . . . . 478
Cmo pasar por alto la lista de vecinos CCX . . . . . . . . . . . . . . . . . . . 479
Etiquetado VLAN del puente de grupo de trabajo . . . . . . . . . . . . . . . . . . 480
Configuracin del modo de puente de grupo de trabajo . . . . . . . . . . . . . 480
Uso de los puentes de grupo de trabajo en un entorno ligero. . . . . . . . . 482
Directrices para el uso de puentes de grupo de trabajo en un en
torno ligero . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Ejemplo de configuracin de puente de grupo de trabajo . . . . . . . . . . . . 485
Puntos de acceso en modo repetidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Configuracin de un punto de acceso en modo repetidor . . . . . . . . . . . 488
Configuracin predeterminada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
Directrices para repetidores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
Configuracin de un repetidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Alineacin de las antenas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
Verificacin del funcionamiento del repetidor . . . . . . . . . . . . . . . . . . . . . 491
Configuracin de un repetidor como un cliente WPA . . . . . . . . . . . . . . 491
Modo de reserva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Configuracin del modo de reserva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Configuracin de un punto de acceso de reserva mediante la CLI . . . . 494
Comprobacin del funcionamiento de la unidad de reserva . . . . . . . . . 496

Tabla de contenido
Captulo 22
Configuracin del registro de Registro de los mensajes del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
mensajes del sistema Configuracin del registro de mensajes del sistema . . . . . . . . . . . . . . . . . 500
Configuracin predeterminada del registro de mensajes del
sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Habilitacin e inhabilitacin del registro de mensajes . . . . . . . . . . . 502
Configuracin del dispositivo de destino de la visualizacin de
mensajes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Habilitacin e inhabilitacin de sellos de hora en los mensajes de
registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Habilitacin e inhabilitacin de nmeros de secuencia en los
mensajes de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Definicin del nivel de gravedad de los mensajes . . . . . . . . . . . . . . . . 506
Limitacin de los mensajes syslog enviados a la tabla de historial y
SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
Configuracin de un lmite de registro . . . . . . . . . . . . . . . . . . . . . . . . 509
Configuracin de los servidores syslog UNIX . . . . . . . . . . . . . . . . . . 510
Visualizacin de la configuracin del registro . . . . . . . . . . . . . . . . . . . . . . 512
Captulo 23
Resolucin de problemas Compruebe los indicadores de estado.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Comprobacin de los ajustes bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . 513
SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Claves previamente compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
Ajustes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
Restablecimiento de la configuracin predeterminada . . . . . . . . . . . . . . 514
Botn MODE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Interfaz del navegador web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Configuracin de los valores predeterminados de fbrica mediante
la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Recarga de la imagen del punto de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Interfaz HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Interfaz TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Obtencin del software del servidor TFTP. . . . . . . . . . . . . . . . . . . . . 523
Apndice A
Filtros de protocolos Protocolos Ethertype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Protocolos IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Protocolos de puerto IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Apndice B
MIB compatibles Lista de MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Acceso a los archivos de MIB mediante FTP . . . . . . . . . . . . . . . . . . . . . . 532

Tabla de contenido
Apndice C
Mensajes de eventos y errores Convenciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Mensajes de actualizacin automtica del software . . . . . . . . . . . . . . . . . 534
Mensajes de administracin de la asociacin . . . . . . . . . . . . . . . . . . . . . . . 535
Mensajes de descompresin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Mensajes de registro del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Mensajes del subsistema 802.11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Mensajes de protocolo entre puntos de acceso. . . . . . . . . . . . . . . . . . . . . . 541
Mensajes del autenticador local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Mensajes WDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Mensajes Mini IOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Mensajes del punto de acceso/puente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Mensajes del protocolo de descubrimiento de Cisco . . . . . . . . . . . . . . . . 544
Mensajes de error del servidor RADIUS externo . . . . . . . . . . . . . . . . . . . 544
Mensajes del sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Mensajes de error SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Mensajes de error SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Glosario
ndice

Tabla de contenido
Notas:

Prefacio
Pblico Este manual de instrucciones se dirige al profesional de red responsable de la

instalacin y gestin de los puntos de acceso inalmbricos y puentes de grupo
de trabajo Stratix 5100. Para utilizar esta gua, deber disponer de cierta
experiencia con el software Cisco IOS y estar familiarizado con los conceptos y
la terminologa de las redes de rea local inalmbricas.
El presente manual comprende la versin 15.2(4)JAZ de Cisco IOS y posteriores

compatibles con el WAP Stratix 5100, plataforma de 32 Mb.
Objetivo Este manual de instrucciones le proporciona la informacin que necesita para

instalar y configurar el punto de acceso. Indica procedimientos de uso de los
comandos de software Cisco IOS creados o modificados para su uso con el punto
de acceso. No contiene informacin detallada sobre estos comandos.
Si desea informacin detallada sobre dichos comandos, consulte Cisco IOS

Command Reference for Cisco Aironet Access Points and Bridges, Cisco IOS
Releases 15.2(4)JA, 15.2(2)JB, 15.2(2)JA, 12.4(25d)JA, and 12.3(8)JEE
[referencia de los comandos Cisco IOS para los puentes y puntos de acceso
Cisco Aironet, versiones Cisco IOS Releases 15.2(4)JA, 15.2(2)JB, 15.2(2)JA,
12.4(25d)JA, and 12.3(8)JEE].
IMPORTANTE Antes de utilizar este manual para configurar el WAP Stratix 5100, deber
llevar a cabo un estudio del emplazamiento.
Un estudio de la radiofrecuencia (RF) en el emplazamiento constituye el
primer paso del despliegue de una red inalmbrica y la medida ms
importante para garantizar su correcto funcionamiento. Un estudio del
emplazamiento constituye un proceso paso a paso en el que se estudian las
instalaciones con el fin de entender el comportamiento de la RF, detectar las
zonas de cobertura de esta, comprobar las interferencias de RF y determinar
la ubicacin adecuada de los dispositivos inalmbricos.
Consulte las Ciscos Wireless Site Survey FAQ (preguntas frecuentes sobre el
estudio del emplazamiento inalmbrico de Cisco) si desea ms informacin
sobre los estudios del emplazamiento.
Este manual de instrucciones incluye una descripcin general del software de

configuracin basado en la web de Rockwell Automation (Stratix 5100 Device
Manager) instalado en el WAP Stratix 5100. Tambin contiene ejemplos de
configuracin.

Prefacio
Organizacin El presente manual de instrucciones se divide en estas secciones.
tem Descripcin
Captulo 1 Iniciacin al punto de acceso inalmbrico/ Ofrece una descripcin general del punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100, incluidas sus
puente de grupo de trabajo Stratix 5100 caractersticas y configuracin de red.
Captulo 2 Instalacin del punto de acceso inalmbrico/ Proporciona informacin sobre cmo instalar el punto de acceso.
puente de grupo de trabajo Stratix 5100
Captulo 3 Configuracin de arranque de Stratix 5100 Describe cmo utilizar la interface del navegador web para configurar el punto de acceso.
Device Manager
Captulo 6 Configuracin del WAP Stratix 5100 mediante la Describe cmo utilizar la interface de lnea de comandos (CLI) para configurar el punto de acceso.
interface de lnea de comandos
Captulo 7 Administracin del acceso WAP Describe cmo llevar a cabo operaciones puntuales para administrar el punto de acceso, impedir el acceso no autorizado
al punto de acceso, ajustar la fecha y la hora del sistema y configurar el nombre y el comando del sistema.
Captulo 8 Configuracin de los ajustes de radio Describe cmo configurar los ajustes de la radio del punto de acceso, como su funcin en la red de radio, la potencia de
transmisin, los ajustes de canal y otros.
Captulo 9 Configuracin de SSID mltiples Describe cmo configurar y gestionar identificadores de conjunto de servicios (SSID) y SSID bsicos (BSSID) mltiples en
el punto de acceso. Puede configurar hasta 16 SSID y hasta 8 BSSID en el punto de acceso.
Captulo 10 Configuracin del protocolo del rbol de Describe cmo configurar el protocolo de rbol de expansin (Spanning Tree Protocol o STP) en el punto de acceso,
expansin puente o punto de acceso que funcione en modo de puente. El STP evita que se produzcan bucles de puente en la red.
Captulo 11 Configuracin de un punto de acceso como Describe cmo configurar el punto de acceso para que acte como servidor RADIUS local para la red LAN inalmbrica.
autenticador local Si la conexin WAN con el servidor RADIUS principal falla, el punto de acceso actuar como servidor de seguridad para la
autenticacin de los dispositivos inalmbricos.
Captulo 12 Configuracin de las suites de algoritmos de Describe cmo configurar las suites de algoritmos de cifrado necesarias para el uso de la gestin de claves autenticadas,
cifrado el sistema de privacidad equivalente a la de redes cableadas (Wired Equivalent Privacy o WEP) y las caractersticas de
este, incluidas MIC, CMIC, TKIP, CKIP y la rotacin de claves de transmisin.
Captulo 13 Configuracin de los tipos de autenticacin Describe el modo de configurar los tipos de autenticacin del punto de acceso. Los dispositivos cliente utilizan estos
mtodos de autenticacin para conectarse a la red.
Captulo 14 Configuracin de WDS y la itinerancia rpida Describe cmo configurar el punto de acceso para que participe en los WDS, permita la rpida reasociacin de los
segura servicios de cliente itinerantes y participe en la gestin de radio.
Captulo 15 Configuracin de los servidores RADIUS y Describe cmo habilitar y configurar RADIUS y el sistema de control de acceso del controlador de acceso a terminales ms
TACACS+ (Terminal Access Controller Access Control System Plus o TACACS+), que proporcionan informacin contable detallada y
control administrativo flexible de los procesos de autenticacin y autorizacin.
Captulo 16 Configuracin de redes VLAN Describe cmo configurar el punto de acceso para que interaccione con las redes VLAN configuradas en la LAN por cable.
Captulo 17 Configuracin de QoS Describe cmo configurar y gestionar filtros de direcciones MAC, IP y Ethertype en el punto de acceso mediante la
interface del navegador web.
Captulo 18 Configuracin de filtros Describe cmo configurar y gestionar filtros de direcciones MAC, IP y Ethertype en el punto de acceso mediante la
Captulo 19 Configuracin del CDP Describe cmo configurar el protocolo de descubrimiento de Cisco (CDP) en el punto de acceso. El CDP es un protocolo de
deteccin de dispositivos que se ejecuta en todos los equipos de red de Cisco.
Captulo 20 Configuracin de SNMP Describe cmo configurar el protocolo simple de administracin de redes (Simple Network Management Protocol o
SNMP) en el punto de acceso.
Captulo 21 Configuracin de los modos de puente de Describe cmo configurar el punto de acceso como puente de grupo de trabajo.
grupo de trabajo y repetidor y de los puntos de acceso de
reserva
Captulo 22 Configuracin del registro de mensajes del Describe cmo configurar el registro de mensajes del sistema en el punto de acceso.
sistema
Captulo 23 Resolucin de problemas Contiene procedimientos de resolucin de problemas bsicos del punto de acceso.
Apndice A Filtros de protocolos Enumera algunos de los protocolos que se pueden filtrar en el punto de acceso.
Apndice B MIB compatibles Enumera las bases de informacin de gestin (MIB) del SNMP compatibles con el punto de acceso para esta versin de
software.
Apndice C Mensajes de eventos y errores Enumera los mensajes de eventos y errores CLI y proporciona una explicacin y accin recomendada para cada uno de
ellos.

Prefacio
Convenciones En el presente documento, el punto de acceso inalmbrico/puente de grupo de

trabajo Stratix 5100 se denomina WAP Stratix 5100, WAP, punto de acceso o
puente de grupo de trabajo. La presente publicacin utiliza estas convenciones en
sus instrucciones e informacin.
A las descripciones de los comandos se aplican estas convenciones:

Los corchetes ([ ]) engloban elementos opcionales.
Las llaves ({ }) engloban opciones necesarias y las barras verticales ( | )
separan elementos alternativos.
Las llaves y barras verticales entre corchetes ([{ | }]) indican una opcin
necesaria dentro de un elemento opcional.
El sistema y las sesiones del terminal aparecen con la fuente screen.
La cursiva se utiliza para las entradas del usuario.
Entorno Studio 5000 El Studio 5000 Engineering and Design Environment combina los elementos
de ingeniera y diseo en un ambiente comn. El primer elemento en el entorno
Studio 5000 es la aplicacin Logix Designer. Logix Designer es el nuevo nombre
de marca asignado a la aplicacin de software RSLogix 5000, y continuar
siendo el producto para programar los controladores Logix5000 en soluciones
discretas, de procesos, de lotes, de control de movimiento, de seguridad y basadas
en variadores.
El entorno Studio 5000 constituye la base para las futuras herramientas y

funciones de diseo de ingeniera de Rockwell Automation. Este entorno
Studio 5000 es el lugar donde los ingenieros de diseo desarrollan todos los
elementos de sus sistemas de control.
Recursos adicionales Estos documentos contienen informacin adicional relativa a productos

relacionados de Rockwell Automation.
Recurso Descripcin
http://www.Cisco.com Proporciona manuales de referencia, por ejemplo, el
Configuration Professional Software User Manual (manual
de uso de software profesional de configuracin) y el IOS
CLI Reference Manual (manual de referencia de la CLI IOS).
Using the Cisco IOS Command-Line Interface Proporciona informacin completa acerca del uso de la
Configuration Guide 15.3 interface de lnea de comandos del IOS de Cisco.
Cisco IOS Security Command Reference for Release 12.3. Contiene informacin completa sobre el uso y sintaxis de
los comandos de seguridad de Cisco IOS.
http://www.cisco.com/c/en/us/td/docs/security/asa/ Ubicacin de la documentacin completa relativa a la serie
roadmap/asaroadmap.html Cisco ASA.
Cisco IOS 15.2(4)JA Release Notes Notas de publicacin de los puentes y puntos de acceso
Cisco Aironet para Cisco IOS versin 15.2(4)JA

Prefacio
Recurso Descripcin
Cisco IOS Command Reference for Cisco Aironet Access Describe los comandos de Cisco IOS que se utilizan para
Points and Bridges configurar y gestionar el punto de acceso, el puente y la
LAN inalmbrica. Los comandos aparecen en orden
alfabtico.
Ciscos Wireless Site Survey FAQ Contiene instrucciones sobre cmo llevar a cabo un estudio
del emplazamiento.
Un estudio de la radiofrecuencia (RF) en el emplazamiento
constituye el primer paso del despliegue de una red
inalmbrica y el paso ms importante para una
configuracin en las instalaciones eficaz.
Pautas de cableado y conexin a tierra de equipos de Proporciona las pautas generales para instalar un sistema
automatizacin industrial, publicacin 1770-4.1 industrial de Rockwell Automation.
Sitio web de homologacin de productos, Proporciona declaraciones de cumplimiento normativo,
http://www.ab.com certificados y otros detalles sobre las certificaciones.
Puede ver o descargar las publicaciones en

http://www.rockwellautomation.com/literature/. Para solicitar copias
impresas de la documentacin tcnica, comunquese con el distribuidor local
de Allen-Bradley o representante de ventas de Rockwell Automation.
Servicio de asistencia tcnica de Rockwell Automation
Rockwell Automation proporciona informacin tcnica en la web para ayudarle

a usar sus productos. En http://www.rockwellautomation.com/support
encontrar notas tcnicas y de aplicacin, ejemplos de cdigos y vnculos a service
packs de software. Tambin puede visitar nuestro centro de asistencia tcnica en
https://rockwellautomation.custhelp.com/, donde encontrar actualizaciones de
software, informacin tcnica, chat y foros de asistencia tcnica o respuestas a
preguntas frecuentes, y donde podr registrarse a fin de recibir actualizaciones de
notificacin de productos.
Asimismo, ofrecemos programas de asistencia tcnica para la instalacin, la

configuracin y la resolucin de problemas. Para obtener ms informacin,
pngase en contacto con el distribuidor o representante de Rockwell Automation
correspondiente a su localidad, o visite http://www.rockwellautomation.com/
services/online-phone.

Captulo 1
Iniciacin al punto de acceso inalmbrico/

El presente captulo ofrece una descripcin general del punto de acceso

inalmbrico/puente de grupo de trabajo (WAP) Stratix 5100, incluidas sus
caractersticas y configuracin de red. En el presente documento, el punto de
acceso inalmbrico/puente de grupo de trabajo Stratix 5100 se denomina WAP
Stratix 5100, WAP, unidad o punto de acceso.
Tema Pgina
Dominios reguladores 23
Configuracin del punto de acceso 23
Opciones de gestin 23
Dispositivos cliente itinerantes 24
Ejemplos de configuracin de la red 25
Punto de acceso repetidor 26
Desembalaje del WAP 28
Elementos provistos con el WAP 28
El punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100

proporciona una solucin de LAN inalmbrica segura, asequible y fcil de utilizar
que ana movilidad, flexibilidad y las caractersticas empresariales que exigen los
profesionales del campo de la conexin en red. Con un sistema de administracin
basado en el software Cisco IOS, el WAP Stratix 5100 es un transceptor LAN
inalmbrico con certificacin wifi y conforme con:
802.11a, b, g, n
802.11B
802.11 g
pre-802.11n
El WAP Stratix 5100 ofrece radios de doble banda (2.4 GHz y 5 GHz) con
antenas externas. El punto de acceso admite interoperacin completa con los
principales clientes 802.11n y permite un despliegue mixto con otros puntos de
acceso y controladores inalmbricos.
Los puntos de acceso actan como punto de conexin entre redes inalmbricas
y redes por cable o como puntos centrales en redes inalmbricas autnomas. En
las instalaciones grandes, los usuarios inalmbricos que se encuentran dentro del
alcance de radio de un punto de acceso pueden itinerar por toda la instalacin sin
perjuicio de un acceso ininterrumpido y sin fisuras a la red.

Captulo 1 Iniciacin al punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100
El WAP Stratix 5100 es compatible con la inteligencia de espectro de alto

rendimiento, que sostiene tres frecuencias de flujo espacial en una distancia
desplegable con alta confiabilidad cuando presta servicio a los clientes. El punto
de acceso ofrece alta confiabilidad y rendimiento inalmbrico global. El punto
de acceso posee una configuracin independiente (autnoma).
A continuacin se indican algunas de las caractersticas del WAP Stratix 5100.

Radios 802.11n de 2.4 GHz y 5 GHz con antenas de doble banda
Estndares wifi 802.11 a/b/g/n
3TX (transmisin) x 4RX (recepcin)
3 flujos espaciales, frecuencia PHY 450 Mbps
Examen de eficacia de filtrado, direccionamiento y rendimiento efectivo
para frecuencias de datos de 450 Mbps en tres flujos espaciales
Velocidad de datos mxima 450 Mbps
Funcin de puente de grupo de trabajo (WGB) que permite conectividad
de cliente solo por cable con una red inalmbrica
Seleccin de banda
Formacin de haz Cisco para clientes .11ag, clientes de un flujo espacial y
clientes de dos flujos espaciales
Hardware de radio con formacin de haz comprimida explcita (ECBF)
segn el estndar 802.11n
Antenas externas
CDP (protocolo de descubrimiento de Cisco)
Subsistemas de procesamiento (incluidas CPU y memoria) y hardware de
radio compatible
Administracin de redes
Memoria no voltil de 32 MB
Funciones de seguridad
Comunidad SNMP
Configuracin de la red
Seguridad
Secure Shell (SSH)
ClientLink 2.0 (128 clientes)
VideoStream
Deteccin de puntos de acceso maliciosos

Iniciacin al punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100 Captulo 1
Dominios reguladores
El Stratix 5100 es compatible con estos dominios reguladores.

1783-WAPAK9 (Norteamrica)
1783-WAPZK9 (Australia/Nueva Zelanda)
1783-WAPEK9 (Unin Europea)
1783-WAPCK9 (China)
Configuracin del punto de acceso
Puede configurar y supervisar el dispositivo inalmbrico mediante estos mtodos.
Interfaz de lnea de comandos (CLI)
Stratix 5100 WAP Device Manager, sistema de gestin basado en

navegador
Simple Network Management Protocol (SNMP)
Opciones de gestin Puede utilizar el sistema de gestin del dispositivo inalmbrico a travs de estas
interfaces.
Una interface de navegador web que se utiliza a travs de un navegador

web.
Consulte Configuracin de arranque de Stratix 5100 Device Manager en

la pgina 49 si desea obtener una descripcin detallada de la interface del
navegador web.
La interface de lnea de comandos de Cisco IOS (CLI), que se utiliza a

travs de un puerto de consola o sesin Telnet.
Si desea ms informacin sobre la CLI, consulte Configuracin del WAP

Stratix 5100 mediante la interface de lnea de comandos en la pgina 193.
Simple Network Management Protocol (SNMP). Configuracin de

SNMP en la pgina 461 explica cmo configurar el dispositivo
inalmbrico para la gestin SNMP.

Dispositivos cliente Si dispone de ms de un dispositivo inalmbrico en su LAN inalmbrica, los

dispositivos cliente inalmbricos podrn itinerar de uno dispositivo inalmbrico
itinerantes a otro. La funcin de itinerancia se basa en la calidad de la seal, no en la
proximidad. Si la calidad de la seal de un cliente desciende, itinerar a otro punto
de acceso.
En ocasiones los usuarios de la LAN inalmbrica se ven afectados cuando un

dispositivo cliente permanece asociado a un punto de acceso distante en lugar de
itinerar a un punto de acceso ms cercano. No obstante, si la seal de un cliente
hacia un punto de acceso distante sigue siendo fuerte y su calidad es elevada, el
cliente no itinerar a un punto de acceso ms cercano. La comprobacin
constante de puntos de acceso ms cercanos puede resultar ineficaz y el trfico de
radio adicional puede ralentizar el rendimiento efectivo en la LAN inalmbrica.
Gracias al uso de la gestin de claves centralizadas de Cisco (CCKM) y de un

dispositivo que presta WDS, los dispositivos cliente pueden itinerar de un punto
de acceso a otro con tanta rapidez que no se producir un retraso perceptible en
los servicios de voz o en otras aplicaciones sensibles al tiempo.

Ejemplos de configuracin de Esta seccin describe la funcin de un punto de acceso en configuraciones de red
inalmbricas comunes. La funcin predeterminada del punto de acceso es la de
la red unidad raz conectada a una LAN por cable o la de unidad central en una red
inalmbrica. Puede configurar puntos de acceso como puntos de acceso en modo
repetidor, puentes y puentes de grupo de trabajo. Estas funciones requieren
configuraciones especficas.
Punto de acceso raz
Un punto de acceso conectado directamente a una LAN por cable proporciona

un punto de conexin para los usuarios inalmbricos. Si hay varios puntos de
acceso conectados a la LAN, los usuarios pueden itinerar de una zona de la
instalacin a otra si perder su conexin a la red. A medida que los usuarios salgan
de la zona de alcance de un punto de acceso, se conectarn automticamente a la
red (se asociarn) a travs de otro punto de acceso. El proceso de itinerancia se
produce sin fisuras y es transparente para el usuario. Este grfico muestra puntos
de acceso que actan como unidades raz en una LAN por cable.
Figura 1 Puntos de acceso como unidades raz en una LAN por cable
Punto depoint
Access acceso
Punto depoint
Access acceso
135445
Puente de grupo de trabajo
Puede configurar puntos de acceso como puentes de grupo de trabajo. En el

modo de puente de grupo de trabajo, la unidad se asocia a otro punto de acceso
como cliente y proporciona conexin de red para los dispositivos conectados a su
puerto Ethernet. Por ejemplo, si necesita proporcionar conectividad inalmbrica
a un grupo de impresoras en red, puede conectarlas a un concentrador o a un
switch, conectar este al puerto Ethernet del punto de acceso y configurar este
como puente de grupo de trabajo. El puente de grupo de trabajo se asociar a un
punto de acceso en su red.
Si su punto de acceso dispone de mltiples radios, cada una de ellas podr

funcionar en el modo de puente de grupo de trabajo, pero solo una de ellas podr
actuar como WGB cada vez.

Este grfico muestra un punto de acceso configurado como puente de grupo

de trabajo. Consulte Modo de puente de grupo de trabajo en la pgina 475 y
Modo de puente de grupo de trabajo en la pgina 475 si desea obtener
informacin sobre la configuracin de su punto de acceso como puente de
grupo de trabajo.
Figura 2 Punto de acceso como puente de grupo de trabajo
Punto de acceso
Access point
135448
Workgroup bridge
Punto de acceso repetidor Los puntos de acceso se pueden configurar como repetidores autnomos al
objeto de ampliar el alcance de la infraestructura o superar un obstculo que
bloquea la comunicacin por radio. El repetidor dirige el trfico entre los usuarios
inalmbricos y la LAN por cable porque enva paquetes bien a otro repetidor,
bien a un punto de acceso conectado a la LAN por cable. Los datos se envan por
la ruta que ofrece mayor rendimiento para el cliente.
Consulte en Configuracin de los modos de puente de grupo de trabajo y

repetidor y de los puntos de acceso de reserva en la pgina 475 las instrucciones
sobre cmo configurar un punto de acceso como repetidor.
SUGERENCIA Puede que los dispositivos cliente que no estn fabricados por
Rockwell Automation o Cisco presenten cierta dificultad en la comunicacin
con los puntos de acceso de repetidor.
Figura 3 Punto de acceso que acta como un repetidor
Punto de point
Access acceso Repetidor
Repeater
135444

Puentes
El punto de acceso Stratix 5100 se puede configurar como puente raz o no raz.
Con esta funcin, el punto de acceso establecer una conexin inalmbrica con
un puente no raz. El trfico llegar a la LAN por cable a travs de la conexin.
Los puntos de acceso con funciones de puente raz y no raz se pueden configurar
de modo que acepten asociaciones de clientes.
Figura 4 en la pgina 27 muestra un punto de acceso configurado como
puente raz con clientes.
Figura 4 en la pgina 27 muestra dos puntos de acceso configurados como
puente raz y no raz, ambos aceptando asociaciones de cliente.
Consulte en Configuracin de los ajustes de radio en la pgina 255 las

instrucciones sobre cmo configurar un punto de acceso como puente.
Cuando se utilizan puentes inalmbricos en una configuracin de punto a

mltiples puntos, el rendimiento efectivo se reduce en funcin del nmero de
puentes no raz que se asocian al puente raz. El rendimiento efectivo mximo es
aproximadamente 25 Mbps en una conexin de punto a punto. La adicin de tres
puentes para formar una red de punto a mltiples puntos reduce el rendimiento
efectivo a aproximadamente 12.5 Mbps.
Figura 4 Puntos de acceso como puentes raz y no raz con clientes
135446
Puentebridge
Root raz Puente no bridge
Non-root raz

Desembalaje del WAP Para desembalar el punto de acceso, siga estos pasos:
1. Desembale y retire el punto de acceso y el kit de accesorios de la caja de

envo.
2. Vuelva a introducir todo el material de embalaje en el contenedor de envo
y gurdelo para poder utilizarlo en el futuro.
3. Compruebe que haya recibido los elementos que se enumeran a
continuacin.
Punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100
Soporte de montaje, tornillos incluidos
Adaptador de alimentacin
4 antenas wifi
Cable de consola
Si falta algn elemento o llega daado, pngase en contacto con su
representante de Rockwell Automation (consulte Servicio de asistencia
tcnica de Rockwell Automation en la contraportada del presente manual).
Elementos provistos con el Los elementos que se enumeran a continuacin estn incluidos en el WAP.
WAP tem Descripcin
Punto de acceso inalmbrico/puente 1783-WAPAK9, 1783-WAPEK9, 1783-WAPCK9,
de grupo de trabajo Stratix 5100 1783-WAPZK9
Soporte de montaje, tornillos AIR-AP-BRACKET-2
incluidos
Adaptador de alimentacin AIR-PWR-B
Entrada: entre 100 y 240 50/60 Hz VCA
Salida: 48 V CC, 380 mA
4 antenas wifi AIR-ANT2524DG-R
Cable de consola Nmero de referencia Cisco 72-3383-01. Rev. A2

Captulo 2
Instalacin del punto de acceso inalmbrico/

Este captulo contiene instrucciones bsicas para la instalacin y configuracin

del punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100.
Tema Pgina
Especificaciones del WAP Stratix 5100 30
Recomendaciones sobre los cables Ethernet 30
Antenas externas 31
Preparacin del punto de acceso 34
Cmo evitar daar el WAP 35
Instalacin del WAPPuertos y conexiones 35
Instalacin del WAP 35
Armarios IDF (telecomunicaciones u otros equipos elctricos) 35
Very High Altitudes (altitudes muy elevadas) 36
Sistema de antena distribuida (DAS) o comn 36
Conexin a tierra del punto de acceso 37
Fijacin del punto de acceso 38
Montaje del punto de acceso 39
Recomendaciones sobre las distancias de separacin del punto de 42
acceso
Instalacin de un punto de acceso en una pared o techo duro 42
Soportes y sujeciones 43
Instalacin del punto de acceso en un cajetn de conexiones 45
elctricas o de red
Despliegue del punto de acceso en la red inalmbrica 45
Indicadores de estado del punto de acceso 46
Comprobacin de la alimentacin elctrica 47
Configuracin del punto de acceso 47

Captulo 2 Instalacin del punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100
Puertos y conexiones Los puertos y conexiones se encuentran en la parte inferior del punto de acceso.
2 3 4
32472-M
5
tem Descripcin
1 Aldaba de seguridad
2 Conexin de la alimentacin
3 Puerto Gigabit Ethernet
4 Puerto de consola
5 Pasadores del soporte de montaje
Especificaciones del WAP Esta tabla enumera las especificaciones tcnicas del punto de acceso inalmbrico/
puente de grupo de trabajo Stratix 5100.
Stratix 5100
Tabla 1 Especificaciones del punto de acceso inalmbrico/puente de grupo de trabajo
Stratix 5100
Categora Especificacin
Dimensiones (LxAxP) 22.04 x 22.04 x 4.67 cm (8.68 x 8.68 x 1.84 in)
Peso 1.22 kg (2.7 lb)
Temperatura de funcionamiento 20 a 55 C (4 a 131 F)
Temperatura de almacenamiento 30 a 85 C (22 a 185 F)
Humedad 10 a 90% sin condensacin
Potencia nominal Entrada: entre 100 y 240 50/60 Hz VCA
Salida: 48 VCC, 350 mA
Antenas Externas
Conformidad Cumple la norma UL 2043 para productos instalados en espacios de manipulacin
del aire ambiental en edificios, como por ejemplo, falsos techos.
Ajustes de potencia mxima y Potencia mxima y canales permitidos en su dominio regulador. Consulte los
canal ajustes de potencia mxima y canal de los puntos de acceso ligeros Cisco Aironet.
Este documento se encuentra disponible en Cisco.com.
Recomendaciones sobre los cables Ethernet
Si bien el WAP Stratix 5100 funciona bien con los cables CAT-5e para
instalaciones 10/100 MB, le recomendamos el uso de cables CAT-6a para
instalaciones de 1 GB.

Instalacin del punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100 Captulo 2
Antenas externas El punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100 dispone
de conectores de antena externos y de un indicador de estado en la parte superior.
Las antenas son resistentes y se han diseado para un uso industrial en centros
como hospitales, fbricas, almacenes y otras ubicaciones donde se necesitan
intervalos de temperatura de funcionamiento ms amplios. Las antenas externas
se pueden instalar dentro de envolventes NEMA para su uso en los entornos ms
exigentes.
El WAP Stratix 5100 se ha configurado con hasta cuatro antenas dipolo de doble
banda externas y radios de doble banda de 2.4 GHz y 5 GHz en una configura-
cin de mltiple entrada/mltiple salida (MIMO) 3 x 4 con tres flujos espaciales.
Las radios y antenas admiten bandas de frecuencia de entre 2400 y 2500 MHz y
entre 5150 y 5850 MHz a travs de una interface RF de doble banda comn.
Las antenas Cisco que se indican a continuacin son compatibles con el WAP
Stratix 5100:
Figura 5 Antenas Cisco compatibles
Antena Ganancia de la Parmetro de la Descripcin
(n. de ref. Cisco) antena (dBi) ganancia de la
antena que debe
configurarse en la
interface CLI (dBi)
2.4 GHz 5 GHz 2.4 GHz 5 GHz
AIR-ANT2524DG-R 2 4 4 8 Dipolo gris de doble resonancia
(suministrada con el
producto)
AIR-ANT2524V4C-R 3 4 4 8 Doble resonancia, montaje en cualquier
techo(1)
AIR-ANT2544V4M-R 4 4 8 8 Doble resonancia omni(1)
AIR-ANT2566P4W-R 6 6 8 8 Antena direccional de doble resonancia(1)
(1) 4 elementos (4 cables de antena)
IMPORTANTE Para cada uno de las antenas, la tabla indica el parmetro de ganancia de
la antena que se debe introducir durante la configuracin inicial del equipo
y que tiene como resultado un nivel de potencia de salida total (eirp) por
debajo del lmite normativo pertinente. Una configuracin incorrecta puede
dar lugar a un nivel de potencia de salida (eirp) por encima del lmite
normativo.
Recomendacin sobre los alargadores de cable para las antenas
Procure que el recorrido de los cables de las antenas sea lo ms corto posible.
Cisco ofrece cables de baja prdida (LL) y ultrabaja prdida (ULL) que poseen las
mismas caractersticas que los cables Times Microwave LMR-400 y LMR-600.
Cuando practique los orificios para los cables, utilice una broca del tamao del
conector, normalmente 15.8750 mm (5/8 in).
Los cables Cisco tienen como nmero de referencia la indicacin AIR-CAB

(Aironet Cable) seguida de una longitud. Por ejemplo, Cisco AIR-CAB-020LL-
R es un cable LL de 20 pies de longitud con conector RP-TNC. Estos pesados
cables negros no son aptos para su instalacin en cmaras de aire y se utilizan
sobre todo en zonas de produccin.

Figura 6 Conexiones de las antenas del punto de acceso
2 3
1
4
1 Conector de la antena A 4 Conector de la antena D

2 Conector de la antena B 5 Indicador de estado
3 Conector de la antena C
El WAP Stratix 5100 se ha configurado con hasta cuatro antenas dipolo de doble
banda externas y radios de doble banda de 2.4 GHz y 5 GHz en una configura-
cin MIMO 3 x 4 con tres flujos espaciales. Las radios y antenas admiten bandas
de frecuencia de entre 2400 y 2500 MHz y entre 5150 y 5850 MHz a travs de
una interface RF de doble banda comn. Las antenas dipolo de doble banda
presentan estas caractersticas:
Cuatro conectores de antena RP-TNC en la parte superior del punto de
acceso
Tres antenas TX y cuatro antenas RX

Tabla 2 Especificaciones de la antena dipolo de doble banda (AIR-ANT2524DG-R)

Parmetro Descripcin
Tipo de antena Dipolo de doble banda
Intervalo de frecuencia de funcionamiento Entre 2400 y 2500 MHz
Impedancia de entrada nominal 50
VSWR Inferior a 2:1
Ganancia de pico @ 2.4 GHz 2 dBi
Ganancia de pico @ 5 GHz 4 dBi
Plano de elevacin 3dB ancho de haz @ 2.4 GHz 63
Plano de elevacin 3dB ancho de haz @ 5 GHz 39
Tipo de conector Toma RP-TNC
Longitud de la antena 168.5 mm (6.63 pulg.)
Ancho de la antena 21 mm (0.83 pulg.)
Longitud del radomo 124 mm (4.88 pulg.)
Peso 1,3 oz
Temperatura de funcionamiento 2060 C (4140 F)
Temperatura de almacenamiento 4085 C (40185 F)
Figura 7 Dimensiones del WAP Stratix 5100

220.98 mm 53.59 mm
8.7 2.11
(2.11 in)
(8.7 in)
A B
U U
AL BAN D AL BAN D
D
D C
U U
AL BAN D AL BAN D
D
32474

Preparacin del punto de Antes de montar y desplegar su punto de acceso, inspeccione las instalaciones
(o utilice una herramienta de planificacin del emplazamiento) para determinar
acceso la mejor ubicacin para el punto de acceso. Puede encontrar ms informacin
sobre los estudios del emplazamiento en la seccin Ciscos Wireless Site Survey
Frequently Asked Questions (preguntas frecuentes sobre el estudio del
emplazamiento inalmbrico de Cisco).
Necesita disponer de esta informacin sobre su red inalmbrica:
Ubicaciones del punto de acceso
Opciones de montaje del punto de acceso: debajo de un falso techo, sobre
una superficie horizontal plana o en un escritorio
SUGERENCIA El punto de acceso se puede montar encima de un falso techo, pero es
preciso comprar accesorios de montaje adicionales.
Consulte Montaje del punto de acceso en la pgina 39 si desea
informacin de montaje adicional.
Opciones de alimentacin del punto de acceso

Adaptador de alimentacin elctrica, Cisco AIR-PWR-B
Concentrador/inyector de alimentacin PoE
IMPORTANTE Los puntos de acceso instalados en el espacio areo ambiental de un edificio

se pueden alimentar a travs de PoE al objeto de cumplir las normas sobre
seguridad.
Elabore un mapa del emplazamiento donde se muestren las ubicaciones de puntos

de acceso para que pueda registrar las direcciones MAC de los dispositivos
procedentes de cada ubicacin y devolverlos a la persona que est planificando o
gestionando su red inalmbrica.
Configuracin inicial La primera vez que utilice el punto de acceso/puente de grupos de trabajo, puede
emplear estos mtodos.
Cable de consola y comandos CLI.
Obtenga una direccin IP a travs de DHCP y utilice Device Manager.
Obtenga una direccin IP a travs del servicio Rockwell Automation
BOOTP cuando se conecte a un PC directamente a travs del puerto
Ethernet y a continuacin utilice Device Manager.
Consulte Conexin con el punto de acceso WAP Stratix 5100 a escala local en la
pgina 52 y Configuracin del WAP Stratix 5100 mediante la interface de lnea
de comandos en la pgina 193.

Cmo evitar daar el WAP Para evitar que el WAP sufra daos, siga estas pautas cuando conecte dispositivos
al punto de acceso.
ATENCIN: Corte la alimentacin de los dispositivos y del punto de acceso
inalmbrico/puente de grupo de trabajo hasta que complete todas las
conexiones. No encienda ningn dispositivo sin antes haber completado
todas las conexiones del punto de acceso.
Se puede montar el punto de acceso sobre un falso techo, pero tendr que
comprar accesorios de montaje adicionales. Instale el WAP Stratix encima de los
paneles del techo nicamente cuando no pueda hacerlo debajo de estos.
Instalacin del WAP Instale el WAP Stratix 5100 sobre una superficie plana.
1. Desembale y retire el punto de acceso y el kit de accesorios de la caja de

envo.
2. Vuelva a introducir todo el material de embalaje en el contenedor de envo
y gurdelo para poder utilizarlo en el futuro.
3. Compruebe que haya recibido los elementos que se enumeran a
continuacin.
Punto de acceso
Soporte de montaje
Adaptador de alimentacin elctrica, Cisco AIR-PWR-B
Cable de consola
Antenas, consulte Antenas externas en la pgina 31
Si falta algn elemento o llega daado, pngase en contacto con su
representante de Rockwell Automation (consulte Servicio de asistencia
tcnica de Rockwell Automation en la contraportada del presente manual).
Otros elementos que necesita para la instalacin de la unidad:

Cable y muequera antiesttica
Cable Ethernet
Fuente de alimentacin
Tornillos de montaje
Cable de tierra
Armarios IDF (telecomunicaciones u otros equipos elctricos)
Cuando instale WAP cerca de otros equipos elctricos o de telecomunicaciones,

mantenga todos los cables y elementos metlicos alejados de las antenas y evite
situar las antenas cerca de lneas elctricas. No conduzca los cables elctricos o de
Ethernet en un radio de 38 cm (15 in) de la antena y procure no instalar el WAP
en un armario elctrico. Puede que las normas sobre seguridad y antiincendios
locales le exijan el uso de cables aptos para su instalacin en cmaras de aire si los
cables de su antena remota proceden de un armario elctrico. Recuerde que la
mejor ubicacin del WAP es lo ms cerca posible de sus usuarios.

Si desea ms informacin sobre las interferencias, consulte estas publicaciones:

20 Myths of Wi-Fi Interference (20 mitos sobre las interferencias wifi)
Wireless CleanAir Deployment Guide (gua para el despliegue del
CleanAir inalmbrico)
Very High Altitudes (altitudes muy elevadas)
A pesar de que no se ha indicado en la ficha de especificaciones del WAP

Stratix 5100, este se ha sometido a pruebas funcionales tras la realizacin de una
prueba de altitud no operativa de 25 C @ 4572 m (77 F @ 15,000 pies). De
manera adicional, ha superado sin dificultades una prueba funcional a una altitud
operativa de 40 C @ 3000 m (104 F @ 9843 pies). Todas las unidades del grupo
de ensayo se conectaron como mnimo a un cliente WLAN y se supervis la
continuidad de su funcionamiento transmitiendo trfico, con pruebas de ping
constante durante la totalidad de la prueba de altitud operativa.
Sistema de antena distribuida (DAS) o comn

Dada la caracterstica de doble banda del sistema de antenas del WAP
Stratix 5100 junto con algunas funciones clave, como la formacin de haz
ClientLink 2.0, no se recomienda el uso del WAP Stratix 5100 para despliegues
en sistemas de antena distribuida (DAS).
Rockwell Automation no certifica, aprueba ni presta asistencia en materia de RF

para los despliegues wifi en ningn DAS.
El proveedor del DAS y el integrador de sistemas sern los nicos responsables de

la asistencia para los productos DAS, de la adecuada cobertura de RF y de
cualquier problema en este mbito. Esta asistencia incluye, entre otros aspectos, la
precisin de la ubicacin, la cobertura RF, los problemas de itinerancia relativos a
la RF, los problemas de trayectos mltiples y la escalabilidad.
El proveedor del DAS y los integradores de sistemas se responsabilizarn de la

conformidad del sistema DAS desplegado con los requisitos de todos los
dispositivos wifi y aplicaciones cliente en el sistema DAS. Esta declaracin
incluye, entre otros, todos los dispositivos mdicos y de voz por WLAN
(VoWLAN).
IMPORTANTE A pesar de que el centro de asistencia tcnica (TAC) de Cisco y los equipos de
campo de Cisco no prestan asistencia para problemas de RF en las Cisco
WLAN utilizadas en un DAS, s prestan asistencia para cuestiones ajenas a la
RF en los productos Cisco de conformidad con el acuerdo de asistencia al
cliente con Cisco Systems. Rockwell Automation no presta asistencia para
problemas de RF.

Conexin a tierra del punto Las instalaciones interiores no siempre necesitan una conexin a tierra porque el
punto de acceso se clasifica como un dispositivo de baja tensin y no contiene una
de acceso fuente de alimentacin elctrica interna. No obstante, compruebe las normas
elctricas locales y nacionales para determinar si la conexin a tierra es un
requisito.
IMPORTANTE Asegrese de que conecta a tierra la placa de montaje antes de unir el WAP
a una superficie plana.
Siga estos pasos para conectar a tierra el punto de acceso/puente:
1. Encuentre una toma a tierra adecuada en el edificio que est lo ms cerca

posible del punto de acceso.
2. Conecte un cable de tierra (suministrado por el usuario) a la toma del
edificio.
La longitud mnima del cable es de 2.5 mm2 (14 AWG), presuponiendo
una longitud del circuito de 1 pie (30.5 cm). Consulte la normativa
elctrica local si desea informacin adicional.
3. Lleve el cable de tierra hasta el punto de acceso.
4. Conecte el cable a un terminal de orejeta a tierra adecuado.
5. Engaste o suelde el cable al terminal.
6. Introduzca el tornillo del puesto de tierra en el terminal de orejeta e
instlelo en el soporte de montaje.
Figura 8 Instalacin del terminal de orejeta en el puesto de tierra
7. Utilice un destornillador Phillips para apretar el tornillo de tierra.

8. Introduzca el tornillo del puesto de tierra en el terminal de orejeta e
instlelo en el soporte de montaje como se muestra en la figura.

Fijacin del punto de acceso Existen dos formas de fijar el punto de acceso:
Fjelo en un objeto inmvil con un cable de seguridad.
Bloquelo en la placa de montaje con un candado.
Fijacin del punto de acceso en la placa de montaje
Utilice la aldaba de seguridad de la cubierta de acceso del cable del adaptador y un

candado (no suministrado) para fijar el punto de acceso en la placa de montaje.
Figura 9 Aldaba de seguridad
Los candados compatibles son los modelos Master Lock 120T o 121T. La
cubierta de acceso a los cables del soporte de montaje tapa el compartimento del
cableado (incluido el puerto de alimentacin, el puerto Ethernet, el puerto de
consola y el botn de modo) con el fin de evitar la instalacin o extraccin de los
cables o la activacin del botn de modo.
Siga estas instrucciones para instalar el candado:
1. Con el punto de acceso instalado en el soporte de montaje, introduzca un

candado en la aldaba de seguridad.
SUGERENCIA Nota: si instala el punto de acceso en un techo duro, la distancia entre el
soporte de montaje y el techo debe ser pequea. Maniobre lentamente con las
dos manos para colocar y fijar el candado en la aldaba del soporte de montaje.
2. Gire el candado en el sentido de las agujas del reloj y alinee el gancho con el
cuerpo del candado.
3. Agarre el candado y empjelo hacia el gancho para cerrarlo.
Figura 10 Instalacin del candado

Cable de seguridad
Puede asegurar el punto de acceso instalando un cable de seguridad estndar

(como Kensington Notebook MicroSaver, nmero de modelo 64068) en la
ranura para cables de seguridad del punto de acceso. El cable de seguridad se
puede utilizar con cualquiera de los mtodos de montaje que se describen en este
documento.
Para instalar el cable de seguridad, siga estos pasos.
1. Enrolle el cable de seguridad en un objeto inmvil cercano.

2. Introduzca la llave en el candado del cable de seguridad.
3. Introduzca el cierre del cable de seguridad en la ranura correspondiente del
punto de acceso.
4. Gire la llave a la izquierda o la derecha para bloquear el cable de seguridad
en el punto de acceso.
5. Retire la llave.
Montaje del punto de acceso El WAP Stratix 5100 se suministra con un soporte de montaje de perfil bajo:
AIR-AP-BRACKET-1. Este soporte se puede instalar a ras de una superficie
plana o directamente en el techo, sobre una rejilla.
AIR-AP-BRACKET-1
Soporte de perfil bajo
32473-M
Este procedimiento describe los pasos que hay que seguir para instalar el punto
de acceso con el soporte de montaje (AIR-AP-BRACKET-1) en un techo
construido de 19.05 mm (3/4 in) o de madera contrachapada gruesa mediante
elementos de fijacin adecuados.
SUGERENCIA Los puntos de acceso ofrecen el mayor rendimiento cuando las antenas
presentan una orientacin vertical.
Siga estos pasos para instalar el punto de acceso en un techo o pared slida.
1. Coloque el soporte de montaje sobre la superficie donde vaya a montar el

punto de acceso.
2. Utilice el soporte de montaje como plantilla para marcar la ubicacin de los
orificios de instalacin (1) del soporte.

Figura 11 Soporte de montaje del WAP

5
3
1
2 4
32473-M
Tabla 3 Descripcin del soporte de montaje

1 Ubicaciones para montaje mural 4 Cubierta de acceso del cable
2 Puesto de tierra 5 Aldaba de seguridad
3 Ranuras de sujecin del punto de
acceso
SUGERENCIA Marque la ubicacin de los cuatro puntos de fijacin en la pared. Compruebe

que la instalacin sea segura. Utilice elementos de fijacin adecuados para
montar el punto de acceso; utilice como mnimo cuatro elementos de fijacin.
IMPORTANTE No utilice tacos de plstico ni las ranuras con forma de cerradura del soporte
de montaje para las instalaciones en el techo. Si instala el punto de acceso
en un techo duro, utilice cuatro elementos de fijacin con capacidad para
soportar una fuerza de traccin mnima de 9 kg (20 lb).
3. Utilice una broca de 3.4772 mm (0.1360 pulg.) para taladrar un orificio
piloto en la ubicacin de los orificios de instalacin (1) previamente
marcados.
SUGERENCIA El tamao del orificio piloto variar en funcin del material y espesor que
est sujetando. Pruebe el material para determinar el tamao ideal de los
orificios para su aplicacin de montaje.
4. (Opcional) Practique un orificio pasacables cerca o debajo de la ubicacin

de la cubierta de acceso a los cables del soporte de montaje lo
suficientemente grande para el cable de Ethernet, el cable de toma a tierra
del edificio y los cables de alimentacin.
5. Haga pasar aproximadamente 22.86 cm (9.00 pulg.) de cable por el
orificio.
6. Pase los cables a travs de un orificio de acceso y despus a travs de otro
orificio de acceso.

Figura 12 Recorrido de los cables de alimentacin elctrica y Ethernet
7. (Opcional) Utilice el tornillo de tierra para conectar el cable de toma a

tierra del edificio al soporte de montaje.
Consulte Conexin a tierra del punto de acceso en la pgina 37 si desea obtener

instrucciones generales sobre la conexin a tierra.
8. Coloque los orificios de instalacin del soporte de montaje (con las
muescas hacia abajo) sobre los orificios piloto.
9. Introduzca un elemento de fijacin en cada orificio de instalacin y
apritelo.
10. Conecte los cables de alimentacin y Ethernet al punto de acceso.
11. Alinee las patas del punto de acceso con la parte ms amplia de las ranuras
con forma de cerradura de la placa de montaje.
12. Si se coloca correctamente, la cubierta de acceso a los cables encajar en el
interior del compartimento de los conectores del punto de acceso.
13. Deslice suavemente el punto de acceso en las ranuras con forma de
cerradura del soporte de montaje hasta que encaje en su posicin.
El punto de acceso Stratix 5100 se puede instalar con varias configuraciones

que incluyen: en un techo o pared slida, en un cajetn de conexiones de red o
elctricas, en un falso techo y encima de un falso techo. El punto de acceso
Stratix 5100 se suministra con el soporte de montaje plano para instalacin en
una pared o techo slido y en aplicaciones en las que es necesario instalarlo en
un cajetn de conexiones de red o elctricas.

Recomendaciones sobre las distancias de separacin del punto de

acceso
Si tiene un dispositivo wifi, como un WAP, y quiere utilizar otro WAP cerca de
este, en el mismo canal u otro distinto, deje una distancia de aproximadamente
seis pies (dos metros) entre los WAP. Esta recomendacin se basa en la presuncin
de que ambos dispositivos funcionarn en la banda sin licencia y de que no
transmitirn una energa de RF superior a 23 dB, es decir, 200 mW. Si se emplea
una potencia superior, necesitar alejarlos ms. Evite amontonar los WAP o las
antenas de distintos WAP, ya que esto podra mermar su rendimiento.
Si cuenta con otros dispositivos de transmisin, siga estas instrucciones.
1. Mueva o separe los dispositivos todo lo que sea razonable.
Esto resulta especialmente importante cuando funcionan en los mismos

intervalos de frecuencia; por ejemplo, WAP obsoletos con saltos de frecuencia u
otros dispositivos que funcionan justo por debajo o por encima de las bandas de
2.4 Ghz y 5 GHz.
2. Compruebe que no haya interferencias.
3. Pruebe los dos tipos de dispositivo al mismo tiempo en condiciones de uso
intensivo (carga).
4. Caracterice cada sistema por separado para comprobar si se produce
deterioro.
Instalacin de un punto de acceso en una pared o techo duro
Este procedimiento describe los pasos que hay que seguir para instalar el punto de
acceso con un soporte de montaje universal (AIR-AP-BRACKET-2) en un techo
construido de 19.05 mm (75 pulg.) o de madera contrachapada gruesa mediante
elementos de fijacin adecuados.
SUGERENCIA El punto de acceso funciona mejor cuando se instala sobre superficies

horizontales, como la superficie de una mesa o el techo. El montaje en el techo
se recomienda encarecidamente para las funciones avanzadas, como los
servicios de voz, ubicacin y deteccin de puntos de acceso maliciosos.
Puede obtener informacin de instalacin adicional si visita

http://www.cisco.com/en/US/docs/wireless/access_point/mounting/guide/
apmount.html#wp44461.

Soportes y sujeciones
Dispone de muchas opciones de instalacin distintas en funcin de sus requisitos.

Cuenta con soportes de Cisco y de terceros. Cuando haga su pedido, podr elegir
entre un soporte de perfil bajo o uno universal; ambos se muestran en la opcin
Each bracket is a zero-dollar ($0) en el momento de la configuracin.
El soporte de perfil bajo AIR-AP-BRACKET-1 (suministrado con el producto),

es el ms utilizado en las instalaciones en el techo.
Siga estos pasos para instalar el punto de acceso en un techo o pared slida.
1. Utilice el soporte de montaje como plantilla para marcar la ubicacin de los

orificios de instalacin del soporte.
Figura 13 Detalles sobre el soporte de montaje
3
1
2 4
32473-M
1 Ubicaciones para montaje mural 4 Cubierta de acceso del cable

2 Puesto de tierra 5 Aldaba de seguridad
3 Ranuras de sujecin del punto de
acceso
SUGERENCIA Marque la ubicacin de los cuatro puntos de fijacin en la pared. Compruebe

que la instalacin sea segura. Utilice elementos de fijacin adecuados para
montar el punto de acceso; utilice un mnimo de cuatro elementos de fijacin.
IMPORTANTE No utilice tacos de plstico ni las ranuras con forma de cerradura del soporte
de montaje para las instalaciones en el techo. Si instala el punto de acceso
en un techo duro, utilice cuatro elementos de fijacin con capacidad para
soportar una fuerza de traccin mnima de 9 kg (20 lb).

2. Utilice una broca #29 (0.1360 pulg. [3.4772 mm]) para taladrar un orificio
piloto en la ubicacin de los orificios de instalacin (1) previamente
marcados.
SUGERENCIA El tamao del orificio piloto variar en funcin del material y espesor
que est sujetando. Cisco recomienda probar el material para
determinar el tamao ideal del orificio para su aplicacin de montaje.
3. (Opcional) Practique un orificio pasacables cerca o debajo de la ubicacin

de la cubierta de acceso a los cables del soporte de montaje lo suficiente-
mente grande para el cable de Ethernet, el cable de toma a tierra del edificio
y los cables de alimentacin.
4. Haga pasar aproximadamente 9 pulgadas de cable por el orificio. Pase los
cables de alimentacin y Ethernet por el soporte antes de fijarlo en el techo
o pared. Pase los cables por el orificio de acceso a los cables principal y
despus por el orificio de acceso ms pequeo, como se muestra en la
figura.
Figura 14 Recorrido de los cables de alimentacin elctrica y Ethernet

Consulte Conexin a tierra del punto de acceso en la pgina 37 si desea
obtener instrucciones generales sobre la conexin a tierra.
6. Coloque los orificios de instalacin del soporte de montaje (con las
muescas hacia abajo) sobre los orificios piloto.
7. Introduzca un elemento de fijacin en cada orificio de instalacin y
apritelo.
9. Alinee las patas del punto de acceso con la parte ms amplia de las ranuras
con forma de cerradura de la placa de montaje.
Si se coloca correctamente, la cubierta de acceso a los cables encajar en el
interior del compartimento de los conectores del punto de acceso.
10. Deslice suavemente el punto de acceso en las ranuras con forma de
cerradura del soporte de montaje hasta que encaje en su posicin.

Instalacin del punto de acceso en un cajetn de conexiones

elctricas o de red
Siga estos pasos para instalar un punto de acceso en un cajetn de conexiones

elctricas o de red.
1. Coloque el soporte de montaje universal (AIR-AP-BRACKET-2) sobre el

cajetn de conexiones elctricas o de red existente y alinee los orificios de
instalacin del soporte con los del cajetn.
2. Sujete el soporte de montaje en su sitio e introduzca un tornillo de cabeza
plana de 6 x 32 x 1/4 pulgadas en cada uno de los orificios y apritelo.
3. Haga pasar aproximadamente 9 pulgadas de cable de alimentacin o
Ethernet por el orificio.
Haga pasar los cables por el soporte antes de fijarlo en el techo. Pase los
cables por el orificio de acceso a los cables principal y despus por el orificio
de acceso ms pequeo, como se muestra en Figura 14 en la pgina 44.
Consulte Conexin a tierra del punto de acceso en la pgina 37 si desea
obtener instrucciones generales sobre la conexin a tierra.
6. Alinee las patas del punto de acceso sobre las ranuras de montaje con forma
de cerradura del soporte de montaje opcional.
7. Deslice el punto de acceso en el soporte de montaje opcional hasta que
encaje en su posicin.
Despliegue del punto de

acceso en la red inalmbrica
IMPORTANTE Este producto utilizar la instalacin del edificio para la proteccin contra
cortocircuito (sobrecorriente). Compruebe que el dispositivo de proteccin
no posea una capacidad nominal superior a: 120 VCA, 20 A EE. UU. (240 VCA,
entre 16 y 20 A internacional).
Este producto requiere que se proporcione la proteccin contra cortocircuito
(sobrecorriente) como parte de la instalacin del edificio. Instlelo nica-
mente de acuerdo con los reglamentos sobre cableado nacionales y locales.
Una vez que haya instalado el punto de acceso, siga estos pasos para desplegarlo en
la red inalmbrica:
1. Conecte el cable de alimentacin.

2. Enchufe el adaptador (con el cable de alimentacin acoplado) al WAP.
3. Enchufe el cable de alimentacin elctrica al tomacorriente.
4. Observe los indicadores de estado del punto de acceso.
Consulte Indicadores de estado del punto de acceso en la pgina 46 si desea
ver la descripcin de los indicadores de estado.

Una vez que haya configurado el punto de acceso con el cable de consola, consulte
Conexin con el punto de acceso WAP Stratix 5100 a escala local en la pgina 52;
se iniciar una secuencia de encendido que podr verificar observando los
indicadores de estado del punto de acceso.
Si los indicadores de estado no estn encendidos, lo ms probable es que el punto

de acceso no est recibiendo alimentacin.
Indicadores de estado del punto de acceso
Previsiblemente se producirn ligeras variaciones en la intensidad del color y la

tonalidad de una unidad a otra. Se trata de un fenmeno dentro del intervalo
normal de las especificaciones del fabricante de los indicadores de estado que no
constituye un defecto.
Figura 15 Indicador de estado del punto de acceso
Indicador de estado
32470-M
Los indicadores de estado sealan varias condiciones del WAP.

Tabla 4 Descripcin de los indicadores de estado
Tipo de mensaje Indicador de estado Descripcin
Secuencia de estado Verde parpadeante Prueba de la memoria DRAM en progreso
del cargador de
arranque Prueba de la memoria DRAM OK
Inicializacin de la placa en progreso
Inicializacin del sistema de archivo de la memoria no
voltil
Prueba de la memoria no voltil OK
Inicializacin de Ethernet
Ethernet OK
Cisco IOS en proceso de arranque
Inicializacin completada
Estado de la asociacin Verde Estado de funcionamiento normal, pero sin cliente
inalmbrico asociado
Azul Estado de funcionamiento normal, al menos una
asociacin de cliente inalmbrico

Tabla 4 Descripcin de los indicadores de estado (Continuacin)

Tipo de mensaje Indicador de estado Descripcin
Estado de Rojo parpadeante Conexin Ethernet no operativa
funcionamiento
Avisos del cargador de Intermitente azul Recuperacin de la configuracin en progreso
arranque (presin del botn MODE durante entre 2 y 3 segundos)
Rojo Fallo Ethernet o recuperacin de la imagen.
(presin del botn MODE durante entre 20 y 30 segundos)
Verde parpadeante Recuperacin la imagen en progreso (sin presionar el
botn MODE)
Errores del cargador de Rojo Fallo en la prueba de la memoria DRAM
arranque
Intermitente rojo y azul Fallo del sistema de archivo de la memoria no voltil
Intermitente rojo y apagado Fallo de la variable ambiental
Direccin MAC
Fallo Ethernet durante la recuperacin de la imagen
Fallo del entorno de arranque
Sin archivo de imagen Cisco
Fallo del arranque
Errores Cisco IOS Rojo Fallo del software; pruebe a desconectar y volver a
conectar la alimentacin de la unidad
Alternancia entre azul, verde, Aviso general: alimentacin en lnea insuficiente
rojo y apagado
Comprobacin de la alimentacin elctrica

Puede comprobar la disponibilidad de alimentacin del punto de acceso/puente
verificando el inyector de alimentacin
Indicador de estado de la alimentacin elctrica
El color verde indica que el puente est recibiendo alimentacin de
entrada.
El color rojo indica una condicin de error por sobrecorriente o
sobretensin: desconecte la alimentacin de entrada del inyector de
alimentacin, compruebe que no haya un cortocircuito en ninguna de
las conexiones de los cables coaxiales, espere aproximadamente un
minuto y restablezca la alimentacin de entrada del inyector. Si el
indicador de estado se vuelve a iluminar en rojo, pngase en contacto
con el servicio de asistencia tcnica.
SUGERENCIA El inyector de potencia necesita aproximadamente 50 segundos para
recuperarse de una sobrecorriente o sobretensin.
Si est apagado indica que la alimentacin de entrada no est disponible:

compruebe que el mdulo de alimentacin est conectado al inyector y que haya
suministro de CA.
Configuracin del punto de El proceso de configuracin tiene lugar en el WAP a travs de Stratix 5100 Device
Manager. Si desea instrucciones sobre cmo configurar el punto de acceso
acceso inalmbrico/puente de grupo de trabajo mediante el software Stratix 5100
Device Manager, consulte Configuracin de arranque de Stratix 5100 Device
Manager en la pgina 49.

Notas:

Captulo 3
Configuracin de arranque de Stratix 5100

Device Manager
Este captulo describe Stratix 5100 Device Manager y las configuraciones de

arranque. Se trata de una interface de navegador web que se utiliza para configurar
el punto de acceso inalmbrico/puente de grupo de trabajo.
Tema Pgina
Inicio de sesin en el WAP Stratix 5100 51
Obtencin y asignacin de una direccin IP 52
Conexin con el punto de acceso WAP Stratix 5100 a escala local 52
Ajustes de radio predeterminados 53
Restablecimiento de los ajustes predeterminados del WAP 53
Inicio de sesin en el punto de acceso 55
Configuracin de los ajustes bsicos de un punto de acceso 55
Ayuda en lnea 55
Configuracin de seguridad 62
Tipos de seguridad de la pgina Easy Setup 63
Limitaciones de seguridad para la configuracin de red en Easy Setup 64
Creacin de un SSID desde el men Security 64
Ejemplo de configuracin en la CLI 72
Eliminacin de un certificado HTTPS 73
Inhabilitacin de la interface del navegador web 73

Captulo 3 Configuracin de arranque de Stratix 5100 Device Manager
Device Manager Device Manager contiene pginas de administracin que se utilizan para
modificar los ajustes del punto de acceso, actualizar el firmware, supervisar y
configurar los dispositivos inalmbricos de la red. Las interfaces de radio del
punto de acceso estn inhabilitadas de manera predeterminada. Cuando trabaje
con las pginas de administracin, aparecern mensajes de error en funcin de lo
que ya haya definido si se salta un parmetro de configuracin. Una vez que haya
configurado el parmetro correctamente, podr continuar.
A continuacin se incluyen ejemplos de las tareas que pueden realizarse mediante

Device Manager.
Configurar una VLAN.
Asignar el SSID y el SSID de difusin.
Determinar las asignaciones VLAN a SSID.
Seleccionar velocidades de datos ptimas.
Configurar la autenticacin EAP, incluido EAP/servidor RADIUS
Asignar modos de cifrado.
Utilizar el filtro MAC inalmbrico.
Detectar direcciones MAC para filtrado (capturar las direcciones MAC
detectadas en la red y exportarlas a la lista de filtro MAC).
En la pgina Easy Setup puede configurar los parmetros bsicos de un punto de

acceso rpidamente.
SUGERENCIA Evite el uso de la CLI y Device Manager del WAP Stratix 5100 (navegador web)
para configurar el dispositivo inalmbrico al mismo tiempo. Si configura el
dispositivo inalmbrico mediante la CLI, puede que la interface del navegador
web muestre una interpretacin imprecisa de la configuracin. No obstante, la
imprecisin no significa necesariamente que el dispositivo inalmbrico est
mal configurado.

Configuracin de arranque de Stratix 5100 Device Manager Captulo 3
Antes de comenzar Antes de configurar el WAP Stratix 5100, compruebe que est utilizando una
computadora conectada a la misma red que el punto de acceso y obtenga esta
informacin de su administrador de red:
Un nombre de sistema para el punto de acceso
El identificador del conjunto de servicios (SSID) inalmbricos sensible a

las maysculas y minsculas de su red de radio.
Si no est conectado a un servidor DHCP, una direccin IP nica para el

punto de acceso (como por ejemplo 172.17.255.115).
Si el punto de acceso no est en la misma subred que su computadora, una

direccin de pasarela predeterminada y una mscara de subred.
Un nombre de comunidad del protocolo simple de administracin de

redes (Simple Network Management Protocol o SNMP) y el atributo de
archivo SNMP (si el SNMP est en uso).
La direccin MAC del punto de acceso. La direccin MAC se puede

encontrar en la etiqueta de la parte inferior del punto de acceso (por
ejemplo, 00164625854c).
Inicio de sesin en el Utilice la direccin IP del WAP para ir a Device Manager. Si desconoce la
direccin IP del punto de acceso, consulte Inicio de sesin en el punto de acceso
WAP Stratix 5100 en la pgina 55 para obtener instrucciones sobre cmo asignar una direccin IP al
punto de acceso.
Siga estos pasos para utilizar la interface del navegador web:
1. Abra su navegador.
La interface del navegador web es completamente compatible con estas
versiones de software.
Microsoft Internet Explorer 8.0 y Firefox 27 en Windows 7
Microsoft Internet Explorer versin 6.0 en sistemas operativos
Windows 98, 2000 y XP
Netscape versin 7.0 en sistemas operativos Windows 98, 2000, XP y
Solaris
2. Introduzca la direccin IP del WAP Stratix 5100 en el campo address
(direccin).
3. Introduzca el nombre de usuario y la contrasea y haga clic en OK.
Aparecer la pgina Summary Status Home.

Obtencin y asignacin de Para ir a la pgina Easy punto de acceso Setup del Stratix 5100 WAP Device
Manager, debe obtener o asignar la direccin IP del punto de acceso. Facilite a su
una direccin IP administrador de red la punto de acceso direccin de control de acceso al medio
(Media Access Control o MAC). Su administrador de red consultar al servidor
DHCP utilizando la direccin MAC para identificar la direccin IP. La direccin
MAC del punto de acceso se indica en la etiqueta de la parte inferior del punto de
acceso.
Comportamiento predeterminado de la direccin IP
Cuando conecte un WAP Stratix 5100 con una configuracin predeterminada a

su red LAN, el punto de acceso solicitar una direccin IP de su servidor DHCP
y, si no la recibe, seguir enviando solicitudes de forma indefinida.
Conexin con el punto de Si necesita configurar el punto de acceso a escala local (sin conectar el punto de
acceso a una red LAN por cable), puede conectar una computadora mediante el
acceso WAP Stratix 5100 a cable de consola suministrado, cable en serie (DB-9 a RJ-45).
escala local
Siga estos pasos para abrir la CLI mediante la conexin con el puerto de consola
del punto de acceso:
1. Conecte el cable de consola (RJ-45) al WAP.

2. Conecte el otro extremo del cable de consola (DB-9) al puerto en serie de
la computadora.
3. Configure un simulador de terminal para comunicarse con el punto de
acceso.
Utilice estos ajustes para la conexin del simulador de terminal:
9600 baudios, 8 bits de datos, sin paridad, 1 bit de paro y sin control de
flujo. Si el control de flujo Xon/Xoff no funciona, no utilice ningn
control de flujo.
4. Una vez conectado, presione Enter o introduzca en para obtener acceso a
la solicitud de comando.
Si presiona Enter, pasar al modo EXEC de usuario y se le solicitar una
contrasea. A continuacin pasar al modo EXEC con privilegios.
5. Cuando haya completado los cambios en su configuracin, retire el cable
en serie del punto de acceso.
Consulte Configuracin del WAP Stratix 5100 mediante la interface de lnea de

comandos en la pgina 193 para obtener informacin detallada. Una vez que haya
completado la configuracin inicial mediante la CLI y el cable de consola, podr
iniciar sesin en el punto de acceso y empezar a utilizar Stratix 5100 Device
Manager.

Ajustes de radio Las radios del WAP Stratix 5100 estn inhabilitadas y no tienen ningn SSID
predeterminado asignado. Este hecho tiene como objetivo evitar que los usuarios
predeterminados no autorizados obtengan acceso a su red inalmbrica a travs de un punto de
acceso con un SSID predeterminado y sin ajustes de seguridad. Deber crear un
SSID para poder habilitar las interfaces de radio del punto de acceso.
Consulte Configuracin de los ajustes de radio en la pgina 255 si desea

informacin adicional sobre los ajustes de radio predeterminados.
Restablecimiento de los Si necesita empezar de cero durante el proceso de configuracin inicial, puede
restablecer los ajustes predeterminados de fbrica del punto de acceso.
ajustes predeterminados
del WAP
Restablecimiento de los ajustes predeterminados del WAP mediante
el botn MODE
Siga estos pasos para restablecer los parmetros predeterminados de fbrica en el
punto de acceso a travs de su botn MODE:
1. Desconecte la alimentacin elctrica (la toma de la alimentacin externa o

el cable Ethernet para la alimentacin PoE) del punto de acceso.
2. Mantenga presionado el botn MODE mientras vuelve a conectar la
alimentacin del punto de acceso.
3. Mantenga presionado el botn MODE hasta que el indicador de estado se
ilumine en mbar (aproximadamente entre 20 y 30 segundos) y sultelo
entonces.
Todos los ajustes del punto de acceso volvern a los ajustes
predeterminados de fbrica.
Restablecimiento de los ajustes predeterminados a travs de la GUI

Si restablece los ajustes predeterminados de un dispositivo que ha configurado,
adquirir de nuevo sus valores de fbrica. Necesitar introducir el nombre de
usuario y contrasea asignados al WAP Stratix 5100 para iniciar sesin y a
continuacin siga estos pasos para restablecer los valores predeterminados del
dispositivo.
Siga estos pasos para restablecer los ajustes predeterminados mediante la GUI del
punto de acceso:
1. Abra su navegador de internet.

2. Introduzca la direccin IP del punto de acceso en la lnea de direccin del
navegador y presione Enter.
Aparecer el cuadro de dilogo Authentication Required.
3. Introduzca su nombre de usuario en el campo User Name.
4. Introduzca la contrasea del punto de acceso en el campo Password y
presione Enter.

Aparecer la pgina Summary Status.

5. En el men superior, haga clic en Software.
Aparecer la pantalla System Software.

6. Haga clic en System Configuration.
Aparecer la pantalla System Configuration.
7. Haga clic en Reset to Defaults para restablecer los valores de fbrica de

todos los ajustes, incluida la direccin IP.
Para restablecer los ajustes predeterminados mediante la CLI, consulte

Restablecimiento de los ajustes predeterminados mediante la CLI en la
pgina 201.

Inicio de sesin en el punto Los usuarios pueden iniciar sesin en el punto de acceso mediante uno de estos
mtodos.
de acceso
La interface del usuario grfica (GUI)
Telnet, si el punto de acceso est configurado con una direccin IP
SSH (Secure Shell), si esta opcin est habilitada en el punto de acceso
Puerto de consola
Si desea informacin sobre cmo iniciar sesin en el punto de acceso a travs de:
La GUI, consulte Inicio de sesin en el WAP Stratix 5100 en la pgina 51.
La CLI, consulte Acceso a la CLI en la pgina 200.
El puerto de consola, consulte Conexin con el punto de acceso WAP
Stratix 5100 a escala local en la pgina 52.
Ayuda en lnea Haga clic en el icono de ayuda de la parte superior de cualquier

pgina de la interface del navegador web para ver la ayuda en
lnea. Haga clic en el icono de la impresora para imprimir la
pgina en la que se encuentre.
La pgina de ayuda aparecer en una nueva pgina del navegador, utilice el men
desplegable de seleccin de un tema para ver el ndice de ayuda o instrucciones
para las tareas de configuracin habituales, como la configuracin de redes
VLAN.
Configuracin de los ajustes Una vez que se haya determinado o asignado la direccin IP del punto de acceso,
podr explorar la pgina Express Setup del punto de acceso y llevar a cabo la
bsicos de un punto de configuracin inicial.
acceso
2. Introduzca la direccin del WAP en la lnea de direccin del navegador y
presione Enter.
Aparecer la pantalla Enter Network Password.
3. Presione la tecla de tabulacin para obviar el campo Username e ir

directamente al campo Password.

4. Introduzca la contrasea, que es sensible a las maysculas y minsculas:

wirelessap.
5. Presione Enter.
Aparecer la pgina Summary Status. Puede que su pgina vare en funcin
del modelo de punto de acceso que est utilizando.
Figura 16 Pgina Summary Status
6. Haga clic en Easy Setup.
7. Abra Easy Setup y haga clic en Network Configuration.

8. Introduzca los ajustes de configuracin de la red.
Esta tabla describe los ajustes de configuracin de la red en la pgina Easy Setup.
Para obtener ms informacin acerca de los parmetros, consulte Pgina de
configuracin de red Easy Setup en la pgina 78.
Tabla 5 Ajustes de configuracin de la red
Parmetro Descripcin
Host Name El nombre de anfitrin, a pesar de que no es un ajuste esencial, ayuda a identificar el dispositivo
inalmbrico en su red. El nombre de anfitrin aparece en los ttulos de las pginas del sistema de
administracin.
Server Protocol Elija el elemento que coincida con el mtodo de red para la asignacin de direcciones IP.
IP Address Utilice este ajuste para asignar o modificar la direccin IP del dispositivo inalmbrico. Si DHCP
est habilitado para su red, deje este campo en blanco.
IP Subnet Mask Introduzca la mscara de subred IP facilitada por su administrador de red de modo que la
direccin IP pueda reconocerse en la LAN.
Default Gateway Introduzca la direccin IP de la pasarela predeterminada facilitada por su administrador de red.
Si DHCP est habilitado, deje este campo en blanco.
IPv6 Protocol DCHP
Autoconfig
Static IP
IPv6 Address (X:X:X:X::X/<0-128>)
Username Nombre de usuario que quiera utilizar para este WAP.
Password Contrasea que quiera utilizar para este WAP.
SNMP Community Para utilizar el protocolo simple de administracin de redes (SNMP), introduzca un nombre
de comunidad. SNMP es un protocolo de capa de aplicacin compatible con la comunicacin
orientada a los mensajes entre los agentes y las estaciones de gestin SNMP.
Current SSID List Lista de los SSID configurados.

9. Introduzca los ajustes de configuracin de la radio.
Figura 17 Ajustes de configuracin de la radio en la pgina Network Configuration
Tabla 6 Ajustes de configuracin de la radio

Parmetro Descripcin
SSID Identifica el SSID que los dispositivos cliente deben utilizar para asociarse a un
dispositivo.
SSID de difusin en la baliza Este ajuste se encuentra activo cuando el dispositivo se encuentra en el modo de
punto de acceso raz. Cuando se transmita el SSID, los dispositivos que no
especifiquen un SSID podrn asociarse al puente si se trata de un punto de acceso
raz.
Security Enumera los tipos de seguridad.
VLAN Elija un ajuste VLAN.
Role in Radio Network
Access Point Elija Access Point (Root) si el punto de acceso est conectado a la red LAN por cable.
Repeater Elija Repeater (Non-root) si no est conectado a la red LAN por cable.
Root Bridge Establece una conexin con un puente no raz.
Non-root Bridge En este modo, el dispositivo establece una conexin con un puente raz.
Workgroup Bridge Especifica el funcionamiento del WAP como un puente de grupo de trabajo que
conecta otros puntos de acceso Cisco a una red LAN Ethernet a travs de un switch o
concentrador Ethernet.
Universal Workgroup Bridge Especifica el funcionamiento del WAP como un puente de grupo de trabajo que
conecta cualquier otro punto de acceso a una red LAN Ethernet a travs de un switch
o concentrador Ethernet.
Scanner Especifica el funcionamiento del punto de acceso exclusivamente como un escner
de radio que no acepta asociaciones de dispositivos cliente.
Spectrum Especifica el funcionamiento del punto de acceso como un sensor del espectro de RF
especfico que se utiliza con el software Cisco Spectrum Expert.
Optimize Radio Network for Utilice este ajuste para elegir los valores preconfigurados de la radio del punto de
acceso o personalizarlos punto de acceso.
Las opciones son: default, range y throughput.

Tabla 6 Ajustes de configuracin de la radio

Parmetro Descripcin
Aironet Extensions Elija la opcin Enable si solo hay WAP de Rockwell Automation o dispositivos Cisco
Aironet en su LAN inalmbrica y si la unidad funciona como un punto de acceso o
puente de grupo de trabajo o como un repetidor.
Channel Nmero/frecuencia de canal
Least Congested
Si elige la opcin Least congested, el WAP determinar por s solo cul es el mejor
canal.
Alimentacin elctrica Mximo
Nivel de potencia especfica (dBm)
10. Haga clic Apply para guardar sus ajustes.
Si desea configurar ajustes adicionales de la radio, utilice estos enlaces:

Pgina de configuracin de red Easy Setup en la pgina 78
Pgina Network Interface Summary en la pgina 85
Habilitacin de la radio en Adems de configurar los parmetros de la pgina Easy Setup, deber ir a la
pgina de ajustes de la radio para habilitar la radio.
la red
1. En el men superior, haga clic en Network.
Aparecer la pgina Network Summary.
2. Haga clic en Network Interface.
3. Haga clic en Summary.

Aparecer la pgina Network Interfaces Summary.
4. Haga clic en la radio que quiera configurar.
Aparecer la pgina Radio Status.
5. Haga clic en la pestaa Settings.

Aparecer la pgina de ajustes de la radio.
6. Marque la opcin Enable.
7. Haga clic en Apply.
SUGERENCIA Su punto de acceso ya est en marcha, pero requiere acciones de configuracin

adicionales para adaptarse a los requisitos operativos y de seguridad de su red.
De manera predeterminada, no hay ningn SSID creado; hasta que no habilite
los SSID, el punto de acceso no podr aceptar clientes inalmbricos.
Redes VLAN Si utiliza redes VLAN en su LAN inalmbrica y les asigna SSID, puede crear
SSID mltiples mediante cualquiera de los cuatro ajustes de seguridad de la
pgina Express Security. No obstante, si no utiliza redes VLAN en su LAN
inalmbrica, las opciones de seguridad que podr asignar a los SSID sern
limitadas, ya que, en la pgina de Easy Setup, los ajustes de cifrado y los tipos de
autenticacin estn vinculados.
Sin redes VLAN, los ajustes de cifrado (conjuntos de algoritmos de cifrado) se

aplicarn a una interface, como la de la radio de 2.4 GHz, y no podr utilizar ms
de un ajuste de cifrado en una interface.
Por ejemplo, cuando cree un SSID con WEP esttico con redes VLAN
inhabilitadas, no podr crear SSID adicionales con autenticacin WPA porque
utilizarn ajustes de cifrado distintos. Si el ajuste de seguridad de un SSID entra
en conflicto con otro SSID, podr eliminar uno o varios SSID para suprimir el
conflicto.

Configuracin de seguridad Una vez que asigne los ajustes bsicos al WAP, deber configurar los ajustes de
seguridad para evitar el acceso no autorizado a su red. Dado que se trata de un
dispositivo de radio, el punto de acceso se podr comunicar ms all de los lmites
fsicos de su lugar de trabajo.
Utilice la pgina Easy Setup para crear SSID nicos y asignarles uno de los cuatros
tipos de seguridad.
Figura 18 Ajustes de seguridad de la radio en Easy Setup

Tipos de seguridad de la pgina Easy Setup
Esta tabla describe los cuatro tipos de seguridad que puede asignar a un SSID en la
pgina Easy Setup Network Configuration.
Tabla 7 Tipos de seguridad en la pgina de configuracin de seguridad Easy Setup

Tipo de seguridad Descripcin Funciones de seguridad habilitadas
No Security Se trata de la opcin menos segura. Utilice esta opcin para los SSID que solo se Ninguna
utilicen en un espacio pblico y asgnela a una VLAN que limite el acceso a su
red.
WEP Key Esta opcin es ms segura que la anterior. WEP obligatoria. Los dispositivos cliente no podrn asociarse mediante
este SSID sin una clave WEP que coincida con la clave del punto de acceso.
ADVERTENCIA: La claves WEP estticas son
vulnerables a los ataques. La seguridad WEP
es un mtodo obsoleto que debera dejar de
utilizarse.
EAP Authentication Esta opcin habilita la autenticacin 802.1X (por ejemplo, LEAP, PEAP, EAP-TLS, Autenticacin 802.1X obligatoria. Los dispositivos cliente que se asocien
EAP-FAST, EAP-TTLS, EAP-GTC, EAP-SIM y otros productos basados en con este SSID debern llevar a cabo una autenticacin 802.1X.
802.1X/EAP). Si los clientes de radio se configuran de modo que se autentiquen
Este ajuste utiliza un cifrado obligatorio, WEP, autenticacin abierta + EAP, mediante EAP-FAST, tambin se podr configurar la autenticacin abierta
autenticacin EAP de red, administracin sin clave, puerto de autenticacin del con EAP. Si no configura la autenticacin abierta con EAP, aparecer este
servidor RADIUS 1645. mensaje de aviso de la GUI:
Deber introducir la direccin IP y la clave secreta compartida para un servidor ATTENTION: Network EAP is used only for LEAP authentication. Si los
de autenticacin RADIUS en su red (puerto de autenticacin del servidor 1645). clientes de radio se configuran de modo que se autentiquen mediante
Dado que la autenticacin 802.1X proporciona claves de cifrado dinmico, no EAP-FAST, tambin se podr configurar la autenticacin abierta con EAP.
necesitar introducir una clave WEP. Si utiliza la CLI, aparecer este mensaje de aviso:
Si su red no cuenta con un servidor RADIUS, puede plantearse utilizar un punto SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH
de acceso como servidor de autenticacin local, vase Configuracin de un OPEN with EAP must be configured.
punto de acceso como autenticador local en la pgina 307.
WPA El acceso protegido wifi (Wi-Fi Protected Access o WPA) proporciona acceso Autenticacin WPA obligatoria. Los dispositivos cliente que se asocien
inalmbrico a los usuarios autenticados comparndolos con las entradas de una mediante este SSID debern disponer de tecnologa WPA.
base de datos mediante los servicios de un servidor de autenticacin; despus Si los clientes de radio se configuran de modo que se autentiquen
cifra su trfico IP con algoritmos ms fuertes que los que se utilizan en WEP. mediante EAP-FAST, deber configurarse la autenticacin abierta con EAP.
Este ajuste utiliza un conjunto de algoritmos de cifrado, TKIP, autenticacin Si no configura la autenticacin abierta con EAP, aparecer este mensaje de
abierta + EAP, autenticacin EAP de red, WPA de administracin de clave aviso de la GUI:
obligatoria y puerto de autenticacin del servidor RADIUS 1645. ATTENTION: Network EAP is used only for LEAP authentication. Si los
Al igual que con al autenticacin EAP, deber introducir la direccin IP y la clave clientes de radio se configuran de modo que se autentiquen mediante
secreta compartida para un servidor de autenticacin en su red (puerto de EAP-FAST, deber configurarse la autenticacin abierta con EAP.
autenticacin del servidor 1645). Si utiliza la CLI, aparecer este mensaje de aviso:
SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH
OPEN with EAP must be configured.

Limitaciones de seguridad para la configuracin de red en Easy Setup
Dado que la pgina Easy Setup ha sido diseada con el fin de simplificar la
configuracin de la seguridad y los ajustes de red bsicos, las opciones disponibles
conforman un subconjunto de las funciones de seguridad del punto de acceso.
Si elige la opcin No VLAN, podr configurar la clave WEP esttica una vez.
Si elige la opcin Enable VLAN, inhabilite la clave WEP esttica.
Para obtener informacin detallada sobre la seguridad de configuracin, consulte

Pgina Security en la pgina 109.
Recuerde estas restricciones cuando utilice la pgina Easy Setup:

Tabla 8 Limitaciones de los ajustes de seguridad de la pgina Easy Setup
No puede Notas
Editar SSID. No obstante, puede eliminar SSID y crearlos de nuevo.
Asignar SSID a interfaces de radio especficas. Los SSID se crean y aplican a cada radio por separado.
Para asignar el mismo SSID a las dos interfaces de radio, utilice la
pgina Security SSID Manager o la pgina Easy Setup.
Configurar varios servidores de autenticacin. Para configurar varios servidores de autenticacin, utilice la pgina
Security Server Manager.
Asignar un SSID a una VLAN que ya est Para asignar un SSID a una VLAN existente, utilice la pgina Security
configurada en el dispositivo inalmbrico. SSID Manager.
Configurar combinaciones de tipos de Para configurar combinaciones de tipos de autenticacin, utilice la
autenticacin en el mismo SSID (por ejemplo, pgina Security SSID Manager.
autenticacin de direcciones MAC y
autenticacin EAP).
Creacin de un SSID desde el men Security

Siga estos pasos para crear un SSID mediante el men Security. Tambin puede
definir un SSID en la pgina Easy Setup.
Consulte Pgina SSID Manager en la pgina 114 para obtener detalles
sobre las convenciones para la asignacin de nombres.
Consulte Ejemplos de configuracin de la CLI de seguridad en la
pgina 202 si desea obtener informacin sobre cmo crear un SSID a
travs de la interface de lnea de comandos (Command Line Interface o
CLI).
1. En el men superior, haga clic en Security.

2. En el men de la izquierda, haga clic en SSID Manager.

3. Haga clic en NEW e introduzca el SSID en el campo del mismo nombre.
El SSID puede tener un mximo de 32 caracteres alfanumricos.

Consulte Pgina SSID Manager en la pgina 114 para obtener detalles
sobre las convenciones para la asignacin de nombres.
4. Para transmitir el SSID en la baliza del punto de acceso, marque la casilla

Broadcast SSID in Beacon.
Este ajuste se encuentra activo nicamente cuando el dispositivo se
encuentra en el modo de punto de acceso raz. Cuando se transmita el
SSID, los dispositivos que no especifiquen un SSID podrn asociarse al
puente si se trata de un punto de acceso raz. Se trata de una opcin prctica
para los SSID que utilizan los invitados o los dispositivos cliente en un
espacio pblico. Si no transmite el SSID, los dispositivos cliente no podrn
asociarse al punto de acceso si sus SSID no coinciden con este. En la baliza
solo puede haber un SSID.
Si no se especifica un SSID, un dispositivo enviar un mensaje de difusin
buscando un punto de acceso al que asociarse. Este ajuste permite la
asociacin con el punto de acceso de los dispositivos sin un SSID
especificado

5. (Opcional) Asigne el SSID a una VLAN.

a. Haga clic en Define VLANS.
b. Seleccione NEW.
c. Introduzca un nmero de VLAN (entre 1 y 4094).
d. Elija una radio y haga clic en Apply.
6. (Opcional) Marque la casilla Native VLAN para designar la red VLAN

como VLAN nativa.
7. Elija el mtodo de autenticacin de los clientes.
8. Elija las prioridades del servidor.

9. En caso necesario, elija las opciones de MAC Authentication Servers.

10. Defina la gestin de claves.
SUGERENCIA Si no utiliza VLAN en su red LAN inalmbrica, las opciones de seguridad que
puede asignar a varios SSID son limitadas. Para obtener ms informacin,
consulte Configuracin de redes VLAN en la pgina 411.

El SSID aparecer en la tabla de SSID de la parte superior de la pgina.
Habilitacin de HTTPS para la navegacin segura
Puede proteger la comunicacin con la interface del navegador web del punto de
acceso si habilita HTTPS. HTTPS protege las sesiones del navegador HTTP
mediante el uso del protocolo de capa de conexin segura (Secure Socket Layer o
SSL).
Si habilita HTTPS, puede que su navegador pierda la conexin con el punto de

acceso. Si pierde la conexin, cambie la URL en la lnea de direccin de su
navegador de http://ip_address a https://ip_address e inicie sesin en el punto de
acceso de nuevo.
Cuando habilite HTTPS, la mayora de los navegadores solicitarn su permiso

cada vez que vaya a un dispositivo sin un nombre de dominio completo (FQDN).
Para evitar las solicitudes de permiso, complete los pasos del 2 al 9 de estas
instrucciones para crear un FQDN para el punto de acceso. No obstante, si no
quiere crear un FQDN, vaya directamente al paso 10.
Siga estos pasos para crear un FQDN y habilitar HTTPS:
1. Vaya a Services > DNS.

Figura 19 Pgina DNS
2. Elija la opcin Enable en Domain Name System.

3. En el campo Domain Name, escriba el nombre de dominio de su empresa.
En Rockwell Automation, por ejemplo, el nombre de dominio es
rockwellautomation.com.
4. Introduzca como mnimo una direccin IP para su servidor DNS en Name
Server IP Addresses.
El FQDN del punto de acceso es una combinacin del nombre del
sistema y el nombre de dominio. Por ejemplo, si el nombre de su sistema
es ap1100 y su nombre de dominio es company.com, el FQDN ser
ap1100.company.com.
6. Introduzca el FQDN en su servidor DNS.
De este modo, el servidor DNS podr asignar un nombre del punto de
acceso sencillo a la direccin IP adecuada. Se trata de un paso importante
para DNS, ya que el servidor DNS tiene que conocer el nombre del punto
de acceso para traducir convenientemente el nombre sencillo a la IP para
una conexin correcta.
SUGERENCIA Si no dispone de un servidor DNS, puede registrar el FQDN del punto de

acceso con un servicio DNS dinmico. Busque en internet DNS dinmico para
encontrar un servicio DNS basado en tarifas.
7. Vaya a la pgina Services: HTTP Web Server.

Figura 20 Pgina Services: HTTP Web Server
8. Haga clic en la casilla Enable Secure (HTTPS) Browsing y haga clic en

Apply.
9. Introduzca un nombre de dominio y haga clic en Apply.
SUGERENCIA A pesar de que puede habilitar tanto HTTPS como HTTP estndar, le
recomendamos que habilite una opcin u otra.
Aparecer una pgina de aviso donde se le indicar que tiene que utilizar HTTPS
para ir al punto de acceso. La pgina tambin le sealar que debe cambiar la URL
que utiliza para navegar hasta el punto de acceso de http a https.
Figura 21 Pgina de aviso HTTPS
10. Haga clic en OK.

La direccin en la lnea de direccin de su navegador cambiar de
http://ip-address a https://ip-address.
Aparecer otra pgina de aviso donde se le indicar que el certificado de
seguridad del punto de acceso es vlido, pero no procede de una fuente
conocida. No obstante, puede aceptar el certificado con tranquilidad ya
que el emplazamiento en cuestin es su propio punto de acceso.
Figura 22 Pgina de aviso sobre el certificado
11. Acepte el certificado antes de proseguir, haga clic en View Certificate.

Para proseguir sin aceptar el certificado, haga clic en Yes y vaya al paso 17.
Figura 23 Pgina del certificado
12. En el cuadro de dilogo Certificate, haga clic en Install Certificate.

Aparecer la pgina Certificate Import Wizard de Microsoft.
Figura 24 Pgina Certificate Import Wizard
13. Haga clic en Next.

Aparecer el cuadro de dilogo Certificate Storage Area y le preguntar
dnde quiere almacenar el certificado. Le recomendamos que utilice la
zona de almacenamiento predeterminada de su sistema.
Figura 25 Pgina Certificate Storage Area
14. Haga clic en Next para aceptar la zona de almacenamiento

predeterminada.
Aparecer un cuadro de dilogo donde se le indicar que ha importado el
certificado correctamente.
Figura 26 Pgina de cierre de la importacin del certificado
15. Haga clic en Finish.

Aparecer un aviso de seguridad final.

Figura 27 Aviso de seguridad sobre el certificado
16. Haga clic en Yes.

Se mostrar otra pgina donde se le indicar que la instalacin se ha llevado
a cabo correctamente.
Figura 28 Pgina donde se indica que la importacin se ha llevado a cabo correctamente
17. Haga clic en OK.

Aparecer el cuadro de dilogo de inicio de sesin del punto de acceso y
deber iniciar sesin en el punto de acceso de nuevo.
Ejemplo de configuracin en Este ejemplo muestra los comandos CLI que son equivalentes a los pasos
enumerados en Habilitacin de HTTPS para la navegacin segura en la
la CLI pgina 67.
En este ejemplo, el nombre del sistema del punto de acceso es ap1100, el nombre
de dominio es company.com y la direccin IP del servidor DNS es 10.91.107.18.
AP# configure terminal
AP(config)# hostname ap1100
AP(config)# ip domain name company.com
AP(config)# ip name-server 10.91.107.18
AP(config)# ip http secure-server
AP(config)# end
Si desea obtener una descripcin completa de los comandos empleados en este

ejemplo, consulte el documento Using the Cisco IOS Command-Line Interface
Configuration Guide 15.3 (manual sobre el uso de la interface de lnea de
comandos Cisco IOS 15.3 con fines de configuracin).

Eliminacin de un certificado El punto de acceso genera un certificado automticamente cuando se habilita

HTTPS. No obstante, si tiene que cambiar el nombre de dominio completo
HTTPS (FQDN) de un punto de acceso o aadir un FQDN despus de habilitar
HTTPS, puede eliminar el certificado. Para eliminar el certificado, siga estos
pasos.
1. Vaya a la pgina Services>HTTP.

2. Elimine la seleccin de la casilla Secure (HTTPS) Browsing para
inhabilitar HTTPS.
3. Haga clic en Delete Certificate.
4. Vuelva a habilitar HTTPS.
El punto de acceso generar un nuevo certificado utilizando el nuevo
FQDN.
Inhabilitacin de la interface Para evitar cualquier uso de la interface del navegador web, marque la casilla
Disable Web-Based Management en la pgina Services: HTTP-Web Server y
del navegador web haga clic en Apply.
Para volver a habilitar la interface del navegador web, introduzca este comando de
configuracin global en la CLI.
ap(config)# ip http server

Notas:

Captulo 4
Definicin de los parmetros de Stratix 5100

Device Manager
El presente captulo define los ajustes de los parmetros de cada una de las pginas
de Device Manager.
Tema Pgina
Pestaas de administracin del sistema en Device Manager 77
Pgina de configuracin de red Easy Setup 78
Ajustes de configuracin de red en la pgina Easy Setup 79
Ajustes de configuracin de la radio en la pgina Easy Setup 81
Ajustes de configuracin de seguridad en la pgina Easy Setup 83
Pgina Network 84
Pgina Network Interface Summary 85
Pgina Network Interface IP Address 88
Interfaz de red: estado de Radio0-802.11n 2 GHz y Radio1-802.11n 5 GHz 93
Pgina Network Interface Radio Settings 97
Pgina Association 102
Pgina Wireless 103
Pgina Security 109
Pgina Admin Access 111
Pgina Encryption Manager 112
Pgina SSID Manager 114
Pgina Server Manager 117
Propiedades globales del administrador de servidor 119
Autenticacin del punto de acceso 121
Certificados de autenticacin del punto de acceso 123
Deteccin de intrusiones 125
Servidor RADIUS local 127
Pgina Services 133
Telnet/SSH 133
Pgina Hot Standby 135
Pgina CDP 136
Pgina DNS 138
Pgina Filters 139
Pgina MAC Address Filters 140
Pgina HTTP 145
Pgina QoS Policies 147
Pgina Stream 152
Pgina SNMP 153

Captulo 4 Definicin de los parmetros de Stratix 5100 Device Manager
Tema (Continuacin) Pgina

Pgina SNTP 156
Pgina VLAN 157
Pgina ARP Caching 159
Pgina Band Select 160
Pgina Management 162
Pgina Software 164
Pgina Software Upgrade HTTP 165
Pgina Software Upgrade TFTP 166
Pgina System Configuration 167
Pgina Event Log 169

Definicin de los parmetros de Stratix 5100 Device Manager Captulo 4
Pestaas de administracin Una vez que inicialmente haya configurado el punto de acceso con una direccin
IP y haya iniciado sesin, aparecer la pgina de inicio. La pgina de inicio ofrece
del sistema en Device un resumen de las estaciones asociadas, los eventos del sistema y el estado del
Manager puerto. La pgina de inicio tambin proporciona muchos enlaces con pginas que
contienen informacin detallada.
Las pestaas de administracin del sistema ofrecen una forma coherente de ver
y guardar informacin de configuracin. Aparecer un men ampliado a la
izquierda de cada tema de administracin del sistema.
SUGERENCIA No debe olvidar que cuando haga clic para retroceder en el navegador web,
este le devolver a la pgina anterior y el software no guardar ninguno de los
cambios que haya realizado. Los cambios nicamente se aplicarn cuando
haga clic en Apply.
Figura 29 Pgina de inicio Stratix 5100 Device Manager
Tabla 9 Descripcin de las pestaas de administracin del sistema en Stratix 5100 Device
Manager
tem Descripcin
Home La pgina Home-Summary proporciona a la pgina de estado del dispositivo
inalmbrico informacin sobre el nmero de dispositivos de radio asociados al
dispositivo inalmbrico, el estado de las interfaces de radio y Ethernet y una lista
de la actividad reciente del dispositivo inalmbrico.
Red La pgina Summary indica el estado e incluye estadsticas de las interfaces
Ethernet y de la radio. Network Interface contiene un resumen de las interfaces y
enlaces con las pginas de configuracin de cada interface.
Consulte Pgina Network en la pgina 84 para obtener detalles.
Association Contiene una lista de todos los dispositivos en su LAN inalmbrica donde se
indican sus nombres de sistema, funciones de red y relaciones unidad principal-
cliente.
Consulte Pgina Association en la pgina 102 para obtener detalles.
Wireless Proporciona un resumen de los servicios de dominio inalmbrico (Wireless Domain
Services o WDS).
Consulte Pgina Wireless en la pgina 103 para obtener detalles.
Seguridad Proporciona acceso a servicios de seguridad, como el acceso administrativo y el
administrador de SSID.
Consulte Pgina Security en la pgina 109 para obtener detalles.

Tabla 9 Descripcin de las pestaas de administracin del sistema en Stratix 5100 Device
Manager (Continuacin)
tem Descripcin
Servicios Proporciona acceso a otros servicios disponibles; por ejemplo, HTTP y QOS.
Consulte Pgina Services en la pgina 133 para obtener detalles.
Administracin Ubicacin donde se puede gestionar una cuenta de usuario invitado y la
autenticacin web. En WebAuth se puede personalizar el aspecto de la pgina
Login cuando est habilitada la autenticacin web para el SSID.
Consulte Pgina Management en la pgina 162 para obtener detalles.
Software Proporciona acceso a las opciones de actualizacin y configuracin de su software.
Consulte Pgina Software en la pgina 164 para obtener detalles.
Event Log Crea el registro de eventos del dispositivo inalmbrico y proporciona enlaces con
las pginas de configuracin donde se pueden seleccionar eventos que se incluirn
en interrupciones, configurar niveles de gravedad de los eventos y mtodos de
notificacin.
En la pgina Summary, la columna Time muestra la hora del evento expresada
en tiempo productivo del sistema o tiempo de reloj de pared.
En la esquina superior derecha de cada pgina aparece el tiempo productivo
del sistema actual expresado en el nmero acumulado de das, horas, minutos
y segundos de funcionamiento desde el arranque o reinicio.
La columna Severity indica la importancia del evento. Las opciones de
gravedad son: Emergency, Alert, Critical, Error, Warning, Notification,
Information o Debugging.
Consulte Pgina Event Log en la pgina 169 para ver el nivel de gravedad y la
descripcin de cada tipo.
La columna Description contiene una breve explicacin del evento.
Pgina de configuracin de La funcin Easy Setup en la barra de navegacin enumera los ajustes bsicos de la
configuracin de red, incluido el nombre del sistema, la direccin IP y la funcin
red Easy Setup en la red de radio.

Ajustes de configuracin de red en la pgina Easy Setup
Esta es la pgina de configuracin de red en Easy Setup. Easy Setup contiene una
versin abreviada de los parmetros de la pgina Network.
Figura 30 Configuracin de red en Easy Setup
Tabla 10 Descripcin de los parmetros de configuracin de la red

Parmetro Descripcin
Host Name El nombre de anfitrin, a pesar de que no es un ajuste esencial, ayuda a identificar el dispositivo
inalmbrico en su red. El nombre de anfitrin aparece en los ttulos de las pginas del sistema de
administracin.
Puede introducir hasta 32 caracteres para el nombre del sistema. No obstante, cuando el
dispositivo inalmbrico se identifique ante los dispositivos cliente, nicamente utilizar los
primeros 15 caracteres del nombre del sistema. Es importante que los usuarios cliente distingan
los diferentes dispositivos inalmbricos: asegrese de que en los 15 primeros caracteres aparezca
una parte del nombre del sistema nica.
ADVERTENCIA: Cuando se cambia el nombre del sistema,

las radios del dispositivo inalmbrico se reinician y los
dispositivos cliente asociados se desasocian y desconectan.
Server Protocol Elija el elemento que coincida con el mtodo de red para la asignacin de direcciones IP.
DHCP: su servidor DHCP de red asignar automticamente las direcciones IP.
IP esttica: el dispositivo inalmbrico emplear una direccin IP esttica que deber
introducir en el campo de la direccin IP.
IP Address Utilice este ajuste para asignar o modificar la direccin IP del dispositivo inalmbrico. Si DHCP
est habilitado para su red, deje este campo en blanco.
Si la direccin IP de su dispositivo inalmbrico cambia cuando est configurando el dispositivo
inalmbrico a travs de la interface del navegador web o una sesin Telnet en la LAN por cable,
perder la conexin con el dispositivo inalmbrico. Si pierde la conexin, vuelva a conectarse al
dispositivo inalmbrico mediante su nueva direccin IP.
Si DHCP no est habilitado, la direccin IP que introduzca en este campo ser la direccin IP
del dispositivo.
Si se habilita DHCP, este campo nicamente proporcionar la direccin IP en caso de que un
servidor responda con una direccin IP para el dispositivo.
Siga los pasos en Restablecimiento de los ajustes predeterminados a travs de la GUI en la
pgina 53 o Restablecimiento de los ajustes predeterminados mediante la CLI en la pgina 201.

Tabla 10 Descripcin de los parmetros de configuracin de la red (Continuacin)

Parmetro Descripcin
IP Subnet Mask Introduzca la mscara de subred IP facilitada por su administrador de red de modo que la
direccin IP pueda reconocerse en la LAN.
Si DHCP no est habilitado, este campo ser la mscara de subred.
Si DHCP est habilitado, este campo proporcionar la mscara de subred nicamente en caso
de que un servidor responda a la solicitud DHCP (de lo contrario, djelo en blanco).
Default Gateway Introduzca la direccin IP de la pasarela predeterminada facilitada por su administrador de red.
Si DHCP est habilitado, deje este campo en blanco.
IPv6 Protocol Determine el modo de asignacin de las direcciones IP, por ejemplo: DHCP, esttica y
configuracin automtica.
El protocolo de internet (Internet Protocol o IP) define el modo en el que los ordenadores se
comunican en una red. El sistema es compatible con IPv6.
DCHP
Autoconfig
Static IP
IPv6 Address Valor para las direcciones, por ejemplo, FE80::E690:69FF:FEAE:66D0
(X:X:X:X::X/<0-128>)
Username Nombre de usuario que quiera utilizar para este WAP.
Password Contrasea que quiera utilizar para este WAP.
SNMP Community Para utilizar el protocolo simple de administracin de redes (SNMP), introduzca un nombre de
comunidad. SNMP es un protocolo de capa de aplicacin compatible con la comunicacin
orientada a los mensajes entre los agentes y las estaciones de gestin SNMP. Este nombre de
comunidad aparece automticamente en la lista de usuarios autorizados para ver y realizar
cambios en el sistema de administracin cuando SNMP est habilitado.
La cadena de la comunidad SNMP se utiliza como un nombre de usuario para los servicios de
autenticacin, privacidad y autorizacin dentro del SNMP. Puede determinar si la comunidad
tendr funciones de solo lectura o lectura/escritura.
La opcin de solo lectura indica que el punto de acceso nicamente permitir acceso para
la lectura del SNMP. Cuando se utiliza esta opcin, no es posible cambiar los ajustes de
configuracin del punto de acceso.
La opcin de lectura/escritura indica que el punto de acceso permitir acceso para la
lectura y escritura del SNMP. Este ajuste permite modificar la configuracin del punto de
acceso.
Current SSID List Lista de los SSID configurados.
Si desea ajustar parmetros de configuracin bsicos en la CLI, consulte

Configuracin del WAP Stratix 5100 mediante la interface de lnea de comandos
en la pgina 193.

Ajustes de configuracin de la radio en la pgina Easy Setup
Esta pgina contiene informacin sobre el estado de las interfaces

GigabitEthernet y Radio-802.11b, Radio-802.11a, o Radio-802.11g, en funcin
de la radio instalada en el punto de acceso. Se trata de un resumen de los
parmetros de la pestaa de ajustes de la radio de Network>Network Interface.
Figura 31 Ajustes de configuracin de la radio en la pgina Network Configuration
Tabla 11 Descripcin de los parmetros de configuracin de la radio

Parmetro Descripcin
SSID Broadcast SSID in Beacon
Identifica el SSID que los dispositivos cliente deben utilizar para asociarse a un dispositivo.
Deber crear un SSID para poder habilitar la interface de la radio. El SSID ayudar a los
dispositivos cliente a distinguir entre mltiples redes inalmbricas en la misma zona.
En este campo de texto no se pueden utilizar estos caracteres: tabulacin, ?, $, +, !, # y ;.
Security No Security
WEP Key
EAP Authentication
WPA
VLAN Elija un ajuste VLAN.
VLAN
Si utiliza redes VLAN en su LAN inalmbrica y les asigna SSID, puede crear SSID mltiples
mediante cualquiera de los cuatro ajustes de seguridad de la pgina Express Security. No
obstante, si no utiliza redes VLAN en su LAN inalmbrica, las opciones de seguridad para la
asignacin de SSID sern limitadas, ya que, en la pgina Express Security, los ajustes de
cifrado y los tipos de autenticacin estn vinculados. Sin redes VLAN, los ajustes de cifrado
(WEP y algoritmos de cifrado) se aplicarn a una interface, como la radio de 2.4 GHz, y no
podr utilizar ms de un ajuste de cifrado en una interface.
No VLAN
Seleccione este ajuste si no utiliza ninguna VLAN.
Enable VLAN ID
Seleccione este ajuste si desea especificar el nmero de identificacin de la LAN Ethernet
virtual vinculado al SSID.
Native VLAN
Seleccione este ajuste si desea que este identificador de VLAN sea VLAN nativa.
Punto de acceso Elija el ajuste del punto de acceso (raz) si el dispositivo inalmbrico est conectado a la LAN por
cable.
Un dispositivo raz acepta asociaciones procedentes del trfico inalmbrico de los clientes y
puentes desde los clientes hasta la LAN inalmbrica. Este ajuste se puede aplicar a cualquier
punto de acceso.
Indica que la unidad funciona como un punto de acceso conectado a la red LAN Ethernet
principal. En este modo, los dispositivos cliente inalmbricos pueden asociarse al punto de
acceso.

Tabla 11 Descripcin de los parmetros de configuracin de la radio (Continuacin)

Parmetro Descripcin
Repeater Elija el ajuste repetidor (no raz) si no est conectada a la LAN por cable.
Un dispositivo no raz acepta asociaciones procedentes del trfico inalmbrico de los clientes y
puentes desde los clientes hasta el punto de acceso raz conectado a la LAN inalmbrica. Este
ajuste se puede aplicar a cualquier punto de acceso.
Cuando el puerto Ethernet est inhabilitado, el dispositivo inalmbrico se convierte en un
repetidor y se asocia a un punto de acceso raz cercano. No necesitar especificar un punto de
acceso raz al que asociar el repetidor de emergencia; el repetidor se asociar automticamente
al punto de acceso raz que proporcione la mejor conectividad de radio.
Root Bridge Establece una conexin con un puente no raz.
En este modo, el dispositivo tambin acepta asociaciones procedentes de clientes y su conexin
directa con la red LAN Ethernet principal. Este modo no admite las asociaciones de clientes
inalmbricos.
Non-root Bridge En este modo, el dispositivo establece una conexin con un puente raz.
Especifica el funcionamiento de la unidad como un puente no raz, su conexin con una red LAN
remota y que debe asociarse a un puente raz Cisco Aironet mediante la interface inalmbrica.
Workgroup Bridge Especifica el funcionamiento del WAP como puente de grupo de trabajo conectado a una
pequea red LAN Ethernet por cable a travs de un switch o concentrador Ethernet.
En el modo de puente de grupo de trabajo, el WAP se asocia a otro punto de acceso como cliente
y proporciona una conexin de red con los dispositivos conectados a su puerto Ethernet. El
puente de grupo de trabajo debe asociarse a un punto de acceso Cisco Aironet en su red. Cuando
se configura una interface de radio como un puente de grupo de trabajo, la otra interface de
radio se inhabilita automticamente.
Universal Workgroup Proporciona los medios para configurar el WAP Stratix 5100 como puente de grupo de trabajo
Bridge (WGB) y asociarlo a puntos de acceso distintos de Cisco. Adems, esta funcin permite al WGB
permanecer continuamente en el modo mundo.
Scanner Especifica el funcionamiento del punto de acceso exclusivamente como un escner de radio que
no acepta asociaciones procedentes de dispositivos clientes. Como escner, el punto de acceso
recopila datos de radio y los enva al punto de acceso WDS de su red.
Esta opcin nicamente se admite cuando se utiliza con un dispositivo WLSE en su red.
Spectrum Especifica el funcionamiento del punto de acceso como un sensor del espectro de RF especfico
que se utiliza con el software Cisco Spectrum Expert.
Optimize Radio Utilice este ajuste para elegir los ajustes preconfigurados de la radio del dispositivo inalmbrico
Network for o personalizarlos dispositivo inalmbrico.
Las opciones son: default, range y throughput.
Aironet Extensions Elija la opcin Enable si solo hay WAP de Rockwell Automation o dispositivos Cisco Aironet en su
LAN inalmbrica y si la unidad funciona como un punto de acceso o puente de grupo de trabajo
o como un repetidor. Este ajuste debe estar configurado como Enable para que pueda utilizar
funciones como el equilibrado de cargas, la comprobacin de la integridad del mensaje (MIC) o
el protocolo de integridad de clave temporal (TKIP).
Channel 2.4 GHz
Least Congested
Channel Number/Frequency
5 GHz
Dynamic Frequency Selection
Channel Number/Frequency
Power 2.4 GHz
Maximum, nivel de potencia especfico (dBm)
5 GHz
Maximum, nivel de potencia especfico (dBm)

Ajustes de configuracin de seguridad en la pgina Easy Setup
Puede configurar un nmero limitado de parmetros de seguridad para el WAP

Stratix 5100. Existen cuatro posibilidades:
No Security
WEP Key
EAP Authentication
WPA
Utilice la pgina Security para revisar y configurar los ajustes de seguridad del
punto de acceso.
Tambin puede configurar la

seguridad a travs de la CLI, consulte
Ejemplos de configuracin de la CLI
de seguridad en la pgina 202.
Tabla 12 Tipos de seguridad en la pgina de configuracin Easy Set-up

Tipo de seguridad Descripcin Funciones de seguridad habilitadas
No Security Se trata de la opcin menos segura. Utilice esta opcin nicamente para los SSID Ninguna
utilizados en un espacio pblico y asgnela a una VLAN que limite el acceso a su
red.
WEP Key Esta opcin es ms segura que la anterior. Mandatory WEP. Los dispositivos cliente no pueden asociarse mediante
este SSID sin una clave WEP que coincida con la clave del dispositivo
inalmbrico.
ADVERTENCIA: La claves WEP estticas son
vulnerables a los ataques. La seguridad WEP
es un mtodo obsoleto que ya no debera
utilizarse.
EAP Authentication Esta opcin habilita la autenticacin 802.1X (por ejemplo, LEAP, PEAP, EAP-TLS, Autenticacin 802.1X obligatoria. Los dispositivos cliente que se asocien
EAP-FAST, EAP-TTLS, EAP-GTC, EAP-SIM y otros productos basados en con este SSID debern llevar a cabo una autenticacin 802.1X.
802.1X/EAP). Si los clientes de radio se configuran de modo que se autentiquen
Este ajuste utiliza un cifrado obligatorio, WEP, autenticacin abierta + EAP, mediante EAP-FAST, tambin se podr configurar la autenticacin abierta
autenticacin EAP de red, administracin sin clave, puerto de autenticacin del con EAP. Si no configura la autenticacin abierta con EAP, aparecer este
servidor RADIUS 1645. mensaje de aviso de la GUI:
Deber introducir la direccin IP y la clave secreta compartida para un servidor WARNING: Network EAP is used only for LEAP authentication. If radio
de autenticacin RADIUS en su red (puerto de autenticacin del servidor 1645). clients are configured to authenticate by using EAP-FAST, Open
Dado que la autenticacin 802.1X proporciona claves de cifrado dinmico, no Authentication with EAP can also be configured.
necesitar introducir una clave WEP. Si utiliza la CLI, aparecer este mensaje de aviso:
Si su red no cuenta con un servidor RADIUS, plantese el uso de un punto de SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH
acceso como servidor de autenticacin local, vase Configuracin de arranque OPEN with EAP must be configured.
de Stratix 5100 Device Manager en la pgina 49.
WPA El acceso protegido wifi (Wi-Fi Protected Access o WPA) proporciona acceso Autenticacin WPA obligatoria. Los dispositivos cliente que se asocien
inalmbrico a los usuarios autenticados por comparacin con una base de datos mediante este SSID debern disponer de tecnologa WPA.
mediante los servicios de un servidor de autenticacin; despus cifra su trfico Si los clientes de radio se configuran de modo que se autentiquen
IP con algoritmos ms fuertes que los que se utilizan en WEP. mediante EAP-FAST, deber configurarse la autenticacin abierta con EAP.
Este ajuste utiliza un conjunto de algoritmos de cifrado, TKIP, autenticacin Si no configura la autenticacin abierta con EAP, aparecer este mensaje de
abierta + EAP, autenticacin EAP de red, WPA de administracin de clave aviso de la GUI:
obligatoria y puerto de autenticacin del servidor RADIUS 1645. WARNING: Network EAP is used only for LEAP authentication. If radio
Al igual que con al autenticacin EAP, deber introducir la direccin IP y la clave clients are configured to authenticate by using EAP-FAST, Open
secreta compartida para un servidor de autenticacin en su red (puerto de Authentication with EAP must be configured.
autenticacin del servidor 1645). Si utiliza la CLI, aparecer este mensaje de aviso:
SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH
OPEN with EAP must be configured.

Pgina Network La pgina Network contiene informacin sobre el mapa de red y los nodos
adyacentes. La pgina Network Interface contiene informacin sobre el estado
de las interfaces GigabitEthernet y Radio-802.11b, Radio-802.11a o
Radio-802.11g, en funcin de la radio instalada en el punto de acceso.
Elija Enable o Disable en las funciones Network Map. Si elige Enable, es mejor
que vuelva a marcar la opcin predeterminada, Disable, antes de salir de la pgina
porque, de lo contario, puede que el tiempo de deteccin de la red incremente
considerablemente la carga del sistema.
Figura 32 Mapa de red
Tabla 13 Descripcin de los parmetros del mapa de red Stratix 5100

tem Descripcin
Mapa de red
Resumen La pgina Network Map ofrece informacin para cualquier dispositivo en su red inalmbrica.
Esta pgina no enumera los dispositivos conectados por cable de su LAN. Si desea ver los
dispositivos conectados por cable en una LAN, consulte Pgina Association en la pgina 102.
Elija la opcin Enable para ver el mapa de red. Si elige esta opcin, vuelva a marcar Disable
antes de salir de la pgina porque, de lo contrario, puede que el tiempo de deteccin de la
red incremente considerablemente la carga del sistema.
MAC Address Identificador nico asignado al dispositivo por el fabricante.
Direccin IP Direccin IP del puerto.
Device Tipo de dispositivo (cliente, punto de acceso, puente, etc.).
Name Nombre asignado a este dispositivo.
Software Version Versin del software en ejecucin en ese momento en su dispositivo.
Radio Determina si la radio es 802.11a o 802.11b.
Canal Especifica el canal que est utilizando la radio.

Tabla 13 Descripcin de los parmetros del mapa de red Stratix 5100 (Continuacin)
tem Descripcin
Age (hrs) Especifica el tiempo que el punto de acceso permanece en la lista adyacente antes de ser
eliminado por falta de actividad.
SSID Identifica el SSID que los dispositivos cliente deben utilizar para asociarse a un dispositivo.
El SSID ayuda a los dispositivos cliente a distinguir entre mltiples redes inalmbricas en la
misma zona.
Adjacent Nodes Se trata del tiempo que el punto de acceso permanece en la lista adyacente antes de ser
eliminado por falta de actividad.
AP Age Timeout 11000 hours
Pgina Network Interface Summary
Interfaz de red
Resumen
Direccin IP
GigabitEthernet
Radio0-802.11n 2.4 GHz
Radio1-802.11n 5 GHz
Esta pgina de resumen contiene informacin sobre el estado de las interfaces

GigabitEthernet y Radio-802.11b, Radio-802.11a o Radio-802.11g, en funcin
de la radio instalada en el punto de acceso.
Figura 33 Pgina Network Interface Summary

Tabla 14 Descripcin de los parmetros de ajuste del sistema

Ajustes del sistema Descripcin
IP Address (DHCP)/IP Address (Static) Direccin IP del punto de acceso. La direccin IP se puede asignar de forma dinmica con DHCP o de forma esttica.
IP Subnet Mask La mscara de subred IP identifica la subred de modo que la direccin IP se pueda reconocer en la LAN.
Default Gateway Aqu aparecer la direccin IP de su pasarela de internet predeterminada.
MAC Address La direccin de control de acceso al medio (Media Access Control o MAC) es un identificador nico que el fabricante asigna a la interface de
la red.
Interface Status Estado de GigabitEthernet, Radio0-802.11N2.4 GHz y Radio0-802.11N5 GHz.
Software Status Indica si el operador ha habilitado o inhabilitado las interfaces GigabitEthernet, Radio-802.11b, Radio-802.11a o Radio-802.11g.
Hardware Status Indica si el protocolo de lnea para las interfaces GigabitEthernet, Radio-802.11a, Radio-802.11b o Radio-802.11g est activo o inactivo.
Interface Resets Nmero de veces que una interface se ha reiniciado por completo.
Input Rate Timespan Periodo de tiempo del rgimen de entrada.
Input Rate (bits/sec) Cantidad media de bits por segundo transmitidos durante el periodo de tiempo del rgimen de entrada establecido.
Input Rate (packets/sec) Cantidad media de paquetes por segundo transmitidos durante el periodo de tiempo del rgimen de entrada establecido.
Time Since Last Input Nmero de horas, minutos y segundos transcurridos desde que una interface recibi el ltimo paquete correctamente. Conocer este tiempo
ayuda a determinar la carga de la interface y a localizar los problemas de red.
Total Packets Input Nmero total de paquetes recibidos por el sistema sin errores.
Total Bytes Input Nmero total de bytes recibidos por el sistema sin errores.
Broadcast Packets Nmero total de paquetes de difusin recibidos por la interface.
Total Input Errors Nmero total de errores asociados a la entrada que se han producido, incluidos paquetes demasiado pequeos o demasiado grandes, bfer
insuficiente, CRC, trama, anulacin y recuentos obviados.
Overrun Errors Nmero de veces que el hardware receptor no ha podido enviar datos recibidos a un bfer de hardware porque el rgimen de entrada
superaba la capacidad del receptor de procesar los datos.
Ignored Packets Nmero de paquetes recibidos que la interface ha pasado por alto porque su hardware se ejecutaba lentamente en los bferes internos.
Las tormentas de difusin y los ruidos impulsivos pueden hacer que el recuento obviado aumente.
Throttles Nmero de veces que se ha inhabilitado el receptor en el puerto, posiblemente como consecuencia de una sobrecarga en un bfer o
procesador.
Output Rate Timespan Duracin de tiempo que se est utilizando para los regmenes de salida.
Output Rate (bits/sec) Cantidad media de bits transmitidos por segundo durante el periodo de tiempo del rgimen de salida establecido.
Output Rate (packets/sec) Cantidad media de paquetes transmitidos por segundo durante el periodo de tiempo del rgimen de salida establecido.
Time Since Last Output Nmero de horas, minutos y segundos transcurridos desde que la interface recibi el ltimo paquete correctamente. Conocer este tiempo
ayuda a determinar la carga de trfico y a localizar los problemas de red.
Total Packets Output Nmero total de mensajes transmitidos por el sistema.
Total Bytes Output Nmero total de bytes, incluidos los datos y el encapsulado MAC, transmitidos por el sistema.
Total Output Errors La suma de todos los errores que han impedido la transmisin final de datagramas fuera de la interface que se est examinando.

Tabla 14 Descripcin de los parmetros de ajuste del sistema (Continuacin)

Ajustes del sistema Descripcin
Last Output Hang Nmero de horas, minutos y segundos (o nunca) transcurridos desde que la interface se reinici por ltima vez como consecuencia de una
transmisin demasiado prolongada. Cuando el nmero de horas en los campos Time Since Last Input, Time Since Last Output o Last Output
Hang supera las 24 horas, el nmero de das y horas se imprime.
Lost Parent Counts No beacons
(Repeater Mode Only) Nmero de veces que el repetidor ha dejado de recibir balizas de la unidad principal. Probablemente se deba a que el punto de acceso
principal se encuentra fuera del alcance. Nivel de tentativas medio
Deauthenticated
Nmero de veces que el repetidor ha recibido un paquete sin autenticar de la unidad principal.
Disassociated
Nmero de veces que el repetidor ha recibido un paquete desasociado de la unidad principal.
Time lost base
Nmero de veces que la difusin basada en el tiempo del repetidor ha cambiado a una cantidad excesiva. El punto de acceso principal
probablemente se haya reiniciado.
Host request
Nmero de veces que la conexin entre el repetidor y el punto de acceso principal se ha reiniciado. El operador ha modificado la unidad
principal asignada.
Better parent found
Nmero de veces que el repetidor ha cambiado a un nuevo punto de acceso principal porque la seal procedente de la unidad principal
en ese momento se estaba debilitando.
Association Statistics Si el repetidor no se est asociando a una unidad principal, anote estas estadsticas.
(Repeater Mode Only) SSID mismatched
Nmero de veces que el repetidor ha recibido una respuesta de sonda o baliza que no coincida con el SSID solicitado.
Not specified AP
Nmero de veces que el repetidor ha recibido una respuesta de una unidad principal que no estaba configurada en la lista de unidades
principales.
Rates mismatched
Nmero de veces que el repetidor ha recibido una respuesta de una unidad principal que admite las velocidades solicitadas.
Privacy mismatched
Nmero de veces que el repetidor ha recibido una respuesta de una unidad principal que admite los ajustes de privacidad solicitados.
Authentication rejects
Nmero de veces que el repetidor ha recibido una respuesta de autenticacin de una unidad principal con un estado incorrecto.
Association timeout
Nmero de veces que el repetidor no ha recibido una respuesta a una solicitud de asociacin de un punto de acceso principal.

Pgina Network Interface IP Address
Utilice esta pgina para identificar el protocolo del servidor de configuracin y la

direccin IP, la mscara de subred IP y la direccin IP de la pasarela predetermi-
nada.
Figura 34 Direccin IP de las interfaces de red
Tabla 15 Descripcin de los parmetros de direccin IP

Parmetro Descripcin
Configuration Server Protocol Configure este parmetro de modo que coincida con el mtodo de asignacin de
direcciones IP de la red. Elija DHCP si sus servidores de red estn utilizando una
asignacin de direcciones IP automtica. Elija Static IP si se estn asignando
direcciones IP fijas. Elija Disable DHCP Address Binding si requiere compatibilidad
con servidores DHCP ms antiguos. Normalmente no se debe marcar esta casilla.
Si lo hace, no se enviar ningn identificador de cliente al servidor DHCP. El
servidor DHCP utiliza el identificador de cliente para emitir direcciones IP
coherentes.
Nota: cuando se configura el punto de acceso como servidor DHCP, este asigna
direcciones IP a los dispositivos en su subred. Los dispositivos se comunican con
otros dispositivos en la subred pero no fuera de ella. Si necesita transmitir datos
fuera de la subred, deber asignar un router predeterminado.
Direccin IP Utilice este ajuste para asignar o modificar la direccin IP del punto de acceso.
Si DHCP no est habilitado en su red, la direccin IP que introduzca en este
campo ser la direccin IP del punto de acceso. Si DHCP est habilitado, no podr
modificar este campo.
IP Subnet Mask Introduzca una mscara de subred IP para identificar la subred de modo que la
direccin IP se pueda reconocer en la LAN. Si DHCP no est habilitado, este campo
ser la mscara de subred. Si DHCP est habilitado, no podr modificar este
campo.
Default Gateway IP Address Introduzca la direccin IP de la pasarela predeterminada de la red. Si DHCP est
habilitado, no podr modificar este campo, salvo que seleccione la opcin
Override DHCP Default Gateway.
Override DHCP Default Gateway Este ajuste permite modificar la pasarela predeterminada negociada por el
servidor DHCP. Si habilita esta opcin, puede detener el trfico hacia el punto de
acceso; por lo tanto, le recomendamos que deje la pasarela configurada como la
asignada por el servidor DHCP.

Pgina Network Interface GigabitEthernet Status
Utilice esta pgina para revisar el estado de la interface GigabitEthernet.
Figura 35 Pgina Network Interface GigabitEthernet Status
Tabla 16 Descripcin de los parmetros de estado GigabitEthernet

Parmetro Descripcin
Configuration
Software Status Indica si el operador ha habilitado o inhabilitado la interface.
Hardware Status Indica si el protocolo de lnea de la interface est activo o inactivo.
Maximum Rate Ajuste de la velocidad de la interface Ethernet: 10 Mbps, 100 Mbps o 1 Gbps.
Duplex Ajuste dplex de la interface Ethernet: semi o completo.
Interface Statistics
No Carrier Nmero de veces que la portadora no ha estado presente durante la transmisin.
Lost Carrier Nmero de veces que se ha perdido la portadora durante la transmisin.
Receive Statistics
5 min Input Rate (bits/sec) Nmero medio de bits transmitidos por segundo durante los ltimos 5 minutos.
5 min Input Rate (packets/sec) Nmero medio de paquetes transmitidos por segundo durante los ltimos
5 minutos.

Tabla 16 Descripcin de los parmetros de estado GigabitEthernet (Continuacin)

Parmetro Descripcin
Time Since Last Input Nmero de horas, minutos y segundos transcurridos desde que una interface
recibi el ltimo paquete correctamente. Conocer este tiempo ayuda a
determinar la carga de trfico en la interface y a localizar los problemas de red.
Total Bytes Input Nmero total de bytes, incluidos los datos y el encapsulado MAC, recibidos por el
sistema.
Broadcast Packets Nmero total de paquetes de difusin recibidos por la interface.
Transmit Statistics
5 min Output Rate (bits/sec) Nmero medio de bits transmitidos por segundo durante los ltimos 5 minutos.
5 min Output Rate (packets/sec) Nmero medio de paquetes transmitidos por segundo durante los ltimos
5 minutos.
Time Since Last Output Nmero de horas, minutos y segundos transcurridos desde que la interface
recibi el ltimo paquete correctamente. Conocer este tiempo ayuda a
determinar la carga de trfico en la interface y a localizar los problemas de red.
Total Bytes Output Nmero total de bytes, incluidos los datos y el encapsulado MAC, transmitidos por
el sistema.
Error Statistics/Receive
Total Input Errors Nmero total de errores asociados a la entrada que se han producido, incluidos
paquetes demasiado pequeos o demasiado grandes, bfer insuficiente, CRC,
trama, anulacin y recuentos ignorados.
Overrun Errors Nmero de veces que el hardware receptor no ha podido enviar datos recibidos a
un bfer de hardware porque el rgimen de entrada superaba la capacidad del
receptor de procesar los datos.
Ignored Packets Nmero de paquetes recibidos que la interface ha pasado por alto porque su
hardware se ejecutaba lentamente en los bferes internos. Las tormentas de
difusin y los ruidos impulsivos pueden hacer que el recuento obviado aumente.
Framing Errors Nmero de paquetes recibidos de forma incorrecta con un error CRC y un nmero
no entero de octetos. Estos errores se producen en una LAN como consecuencia de
una colisin o un fallo del dispositivo Ethernet.
CRC Errors Suma de comprobacin de redundancia cclica generada por la estacin LAN de
origen o un dispositivo distante que no coincide con la suma de comprobacin
calculada a partir de los datos recibidos. Estos errores sealan problemas de ruido
o transmisin en la interface LAN o en el propio bus LAN. Un nmero de errores
CRC elevado normalmente da lugar a colisiones o a la transmisin de datos
deficientes.
Packet too Short (Runts) Nmero de paquetes descartados porque estn por debajo del tamao de
paquete mnimo del medio. Por ejemplo, cualquier paquete Ethernet inferior a
64 bytes se considerar un paquete runt.
Packet too Long (Giants) Nmero de paquetes descartados porque estn por encima del tamao de
paquete mximo del medio. Por ejemplo, cualquier paquete Ethernet superior a
1,518 bytes se considerar un paquete giant.
Throttles Nmero de veces que se ha inhabilitado el receptor en el puerto, posiblemente
como consecuencia de una sobrecarga del bfer o procesador.
Error Statistics/Transmit
Total Output Errors Suma de todos los errores que han impedido el examen de la transmisin final de
datagramas.
Underrun Errors Nmero de veces que el transmisor se ha ejecutado a una velocidad mayor que la
que puede gestionar el router.
Deferred Packets Nmero de paquetes pospuestos durante demasiado tiempo.
Babbles Nmero de veces que ha expirado el tiempo de jabber de transmisin.

Tabla 16 Descripcin de los parmetros de estado GigabitEthernet (Continuacin)

Parmetro Descripcin
Collisions Nmero de paquetes retransmitidos como consecuencia de una colisin Ethernet
(solo se aplica en casos de semidplex).
Late Collisions Nmero de colisiones tardas. Esta colisin normalmente se debe a una LAN
demasiado extensa en la que el cable Ethernet o del transceptor es demasiado
largo, donde se utilizan demasiados transceptores multipuerto en cascada o
donde se utilizan ms de dos repetidores entre estaciones.
Last Output Hang Nmero de horas, minutos y segundos (o nunca) transcurridos desde que la
interface se reinici por ltima vez como consecuencia de una transmisin
demasiado prolongada. Cuando el nmero de horas en los campos Time Since
Last Input, Time Since Last Output o Last Output Hang supera las 24 horas, el
nmero de das y horas se imprime.

Interfaz de red: ajustes de GigabitEthernet
Puede utilizar la pgina de ajustes para definir los ajustes fsicos y de autenticacin
del punto de acceso.
Tabla 17 Descripcin de los parmetros GigabitEthernet

Parmetro Descripcin
Physical Settings
Enable Ethernet Enable
Disable
Current Status Enabled
Up
Requested Duplex Ajuste de dplex para la interface Ethernet: Auto, Half y Full.
Importante: no modifique el parmetro Requested Duplex si
utiliza alimentacin en lnea. Si cambia estos ajustes mientras
utiliza alimentacin en lnea, puede hacer que el dispositivo se
reinicie.
Requested Speed Auto
1000 Mbps
100 Mbps
10 Mbps
Importante: no modifique el parmetro Requested Speed si utiliza
alimentacin en lnea. Si cambia estos ajustes mientras utiliza
alimentacin en lnea, puede hacer que el dispositivo se reinicie.
AP Authentication
Credentials Elija una credencial o haga clic en Define Credentials para ir a AP
Authentication, donde podr definir las credenciales que necesite.
Authentication Methods Profile Elija un perfil o haga clic en Authentication Methods Profile para ir
a AP Authentication, donde podr definir los perfiles que necesite.

Interfaz de red: estado de Radio0-802.11n 2 GHz y Radio1-802.11n

5 GHz
Las pginas Radio Status y Detailed Status proporcionan un resumen de las

estadsticas y la configuracin actual de la interface de radio.
Tabla 18 Descripcin de los parmetros de estadsticas y configuracin de la interface de radio
Parmetro Descripcin
Configuration
Software Status Indica si el operador ha habilitado o inhabilitado la interface.
Operational Rates Velocidades de datos (expresadas en megabits por segundo) que utiliza el dispositivo
para la transmisin de datos. El dispositivo siempre intentar transmitir a la velocidad
de datos ms alta habilitada. Si existen obstculos o interferencias, el dispositivo
pasar a la velocidad ms alta que permita la transmisin de datos.
Aironet Extensions Si la instalacin requiere la compatibilidad con productos distintos de Cisco/Aironet,
elimine la seleccin de la opcin Aironet Extensions. La inhabilitacin de esta opcin
limita varias funciones avanzadas del punto de acceso, como el equilibrado de cargas,
MIC y TKIP.
Carrier Set Indica el dominio regulador en el que opera el punto de acceso. Los conjuntos de
portadoras limitan las frecuencias y los niveles de potencia disponibles.
Current Radio Channel Canal y frecuencia actuales de la radio 802.11b, 802.11a o 802.11g.
Transmitter Power Nivel de potencia de la radiotransmisin. El ajuste de potencia predeterminado es la
potencia de transmisin ms alta permitida en su dominio regulador.
Hardware Status Indica si el protocolo de lnea de la interface est activo o inactivo. Normalmente, si la
opcin Software Status est habilitada, el Hardware Status es activo. Cuando la opcin
Software Status est habilitada y el Hardware Status est inactivo se da una condicin
de error.
Basic Rate Habilita la transmisin a esta velocidad de todos los paquetes, unidifusin y
multidifusin. Debe configurarse como mnimo una velocidad de datos como bsica.
Role in Network Los Stratix 5100 en el modo Access Point (Root) conectan clientes inalmbricos con la
red por cable.
Los Stratix 5100 en el modo Workgroup Bridge se convierten en un cliente inalmbrico
del punto de acceso raz y se utilizan para conectar uno o varios clientes por cable a
travs de la conexin inalmbrica.

Tabla 18 Descripcin de los parmetros de estadsticas y configuracin de la interface de radio

(Continuacin)
Parmetro Descripcin
Antenna Gain Permite ver el estado de la ganancia de antena. Puede configurar la ganancia a travs
de la interface web (Radio Interface Detailed Settings).
Interface Statistics
Receive Statistics
5 min Input Rate (bits/sec) Nmero medio de bits recibidos por segundo durante los ltimos 5 minutos.
5 min Input Rate (packets/sec) Nmero medio de paquetes recibidos por segundo durante los ltimos 5 minutos.
Time Since Last Input Nmero de horas, minutos y segundos transcurridos desde que una interface
transmiti el ltimo paquete correctamente. Conocer este tiempo ayuda a determinar
la carga de trfico en la interface y a localizar los problemas de red.
Total Bytes Input Nmero total de bytes, incluidos los datos y el encapsulado MAC, recibidos por el
sistema.
Transmit Statistics
5 min Output Rate (bits/sec) Nmero medio de bits transmitidos por segundo durante los ltimos 5 minutos.
5 min Output Rate Nmero medio de paquetes transmitidos por segundo durante los ltimos 5 minutos.
(packets/sec)
Time Since Last Output Nmero de horas, minutos y segundos transcurridos desde que la interface recibi el
ltimo paquete correctamente. Conocer este tiempo ayuda a determinar la carga de
trfico en la interface y a localizar los problemas de red.
Total Bytes Output Nmero total de bytes, incluidos los datos y el encapsulado MAC, transmitidos por el
sistema.
Error Statistics
Total Input Errors Nmero total de errores asociados a la entrada que se han producido, incluidos
paquetes demasiado pequeos o demasiado grandes, bfer insuficiente, CRC, trama,
anulacin y recuentos obviados.
Total Output Errors Suma de todos los errores que han impedido el examen de la transmisin final de
datagramas.
Last Output Hang Nmero de horas, minutos y segundos (o nunca) transcurridos desde que la interface
se reinici por ltima vez como consecuencia de una transmisin demasiado
prolongada. Cuando el nmero de horas en los campos Time Since Last Input, Time
Since Last Output o Last Output Hang supera las 24 horas, el nmero de das y horas se
imprime.
Throttles Nmero de veces que se ha inhabilitado el receptor en el puerto, posiblemente como
consecuencia de una sobrecarga en un bfer o procesador.

Estado detallado
Esta pgina muestra detalles del estado de la interface.
Figura 36 Estado detallado de la interface
Tabla 19 Interfaces de red: estado detallado de Radio0-802.11N2.4 GHz y 5 GHz

Parmetro Descripcin
Radio
Radio Type Indica el nmero de serie y la interface.
Radio Firmware Version Versin del firmware actualmente instalada en el WAP.
Receive/Transmit Statistics
Host Kilobytes Received/Sent Nmero de Kilobytes enviados y recibidos por el servidor.
Unicast Packets Received/Sent Nmero de paquetes unidifusin recibidos/enviados en la comunicacin de
punto a punto.
Unicast Packets Sent To Host/By Host Nmero de paquetes unidifusin recibidos/enviados por el servidor.
Broadcast Packets Received/Sent Nmero de paquetes de difusin recibidos/enviados por el punto de acceso.
Beacon Packets Received/Sent Nmero de paquetes baliza recibidos/enviados por el punto de acceso.
Broadcast Packets To Host/By Host Nmero de paquetes de difusin recibidos/enviados por el servidor.
Multicast Packets Received/Sent Nmero de paquetes recibidos que se han enviado como una
transmisin a un conjunto de nodos.
Nmero de paquetes transmitidos que se han enviado como una
transmisin a un conjunto de nodos.
Multicasts Received/Sent By Host Nmero de paquetes multidifusin recibidos/enviados por el servidor.
Mgmt Packets Received/Sent Nmero de paquetes de administracin recibidos/enviados por el punto de
acceso.

Tabla 19 Interfaces de red: estado detallado de Radio0-802.11N2.4 GHz y 5 GHz (Continuacin)

Parmetro Descripcin
RTS Received/Transmitted Nmero de tramas CTS recibidas por el punto de acceso como respuesta a
una trama RTS.
Duplicate Frames Nmero de veces que se recibe una trama con un campo de control de
secuencia que indica que se trata de un duplicado.
CTS Not Received Nmero de tramas CTS no recibidas por el punto de acceso.
CRC Errors Muestra el nmero de paquetes con errores CRC.
Unicast Fragments Sent Nmero de fragmentos de tramas trasmitidas por el punto de acceso.
WEP Errors Nmero de tramas descartadas porque el punto de acceso no ha podido
descifrarlas o porque no estaban cifradas.
Retries Nmero de tentativas de envo de un paquete.
Buffer full Mensaje que se enva al dispositivo emisor para que suspenda la
transmisin hasta que se hayan procesado los datos en los bferes.
Packets With One Retry Nmero de paquetes transmitidos con un intento.
Host Buffer Full Mensaje que se enva al dispositivo emisor para que suspenda la
transmisin hasta que se hayan procesado los datos en los bferes.
Packets With More Than One Retry Nmero de paquetes transmitidos con varios intentos.
Header CRC Errors Nmero de errores CRC de encabezado recibidos.
Protocol Defers Nmero de aplazamientos de protocolo transmitidos.
Invalid Header Nmero de encabezados no vlidos recibidos.
Energy Detect Defers Nmero de aplazamientos de deteccin de energa transmitidos.
Length Invalid Nmero de paquetes recibidos con una longitud no vlida.
Jammer Detected Nmero de dispositivos de perturbacin detectados.
Incomplete Fragments Nmero de paquetes fragmentados recibidos.
Rx/Tx Contacts Receive y Transmit

Pgina Network Interface Radio Settings
Esta pgina de configuracin enumera los ajustes de los parmetros detallados de

la interface que tiene que configurar. Algunos de estos parmetros se solapan con
los de la pgina Easy Setup.
Figura 37 Pgina Interface Settings
Tabla 20 Descripcin de los ajustes Radio0-802.11n 2 GHz y Radio1-802.11n 5 GHz
Parmetro Descripcin
Operating Mode Este valor seala si la radio es compatible o no con mltiples protocolos, como en 802.11b,
802.11g o 802.11n, por ejemplo.
Las radios en modo combinado admiten clientes de mltiples clientes de forma simultnea.
Enable Radio Permite habilitar las radios. En la pgina Easy Setup, puede configurar algunos parmetros,
pero tendr que ir a esta pgina para habilitar la radio.
Network>Network Interface>Radio0-802.11n 2 GHz (or Radio0-802.11n 5 GHz) >Settings
to enable a radio.


(Continuacin)
Parmetro Descripcin
Current Status Este valor procede de los botones que se encuentran justo encima. Si configura la radio
como habilitada, este valor cambia.
Software Status Up/Down/Disabled
Hardware Status Up/Down/Reset
Role in Radio Network Permite elegir una funcin en la red de radio. Las opciones son:
punto de acceso
repetidor
root bridge
puente no raz
install
puente de grupo de trabajo
scanner
spectrum
Para obtener ms informacin, consulte Descripcin de los parmetros de configuracin de
la radio en la pgina 81.
11r Configuration Configura la compatibilidad con el protocolo 802.11r para la itinerancia rpida. Se necesita
un dispositivo WDS habilitado en la red.
Enable
Disable
Over-air
Over-ds
Reassociation-time: (201200 ms)

Figura 38 Pgina Interface Settings (Continuacin)

Parmetro Descripcin
Data Rates Predeterminado
Best Range
Best Throughput
1.0, 2.0, 5.5, 11.0, 6.0, 9.0, 12.0, 18.0, 24.0, 36.0, 48.0 y 54.0 Mbps
Require, Enable, Disable
MCS (802.11n) Rates 023
Enable
Disable
Transmitter Power (dBm) Especifica los ajustes de potencia del transmisor en dBm. Los valores de potencia
difieren en las radios de 2.4 y 5 GHz. Tambin vara en funcin del emplazamiento y el
canal.
Client Power (dBm) Especifica los ajustes de potencia que deben utilizar los clientes inalmbricos para
comunicarse con el punto de acceso. El cliente elige el nivel de potencia de transmisin
real en funcin de este ajuste y del valor configurado a escala local. Los valores de
potencia difieren en las radios de 2.4 y 5 GHz. Tambin vara en funcin del
emplazamiento y el canal.
Default Radio Channel Least Congested Channel Search
(Use Only Selected Channels)
Channel Width 20 MHz/40 MHz


(Continuacin)
World Mode Disable
Multi-Domain Operation Legacy
Dot11d
Country Code Country Code, Indoor, Outdoor
La seleccin del cdigo de pas nicamente se encuentra
disponible cuando la opcin World Mode est configurada como
802.11d.
Receive Antenna Diversity
Left (B)
Center (C)
Transmit Antenna Diversity
Left (B)
Internal Antenna Configuration Enable
Disable
Antenna Gain (dBi): (128128)

ADVERTENCIA: Los ajustes de radio a continuacin son opciones avanzadas y

en condiciones normales no deberan modificarse.

(Continuacin)
Traffic Stream Metric Enable
Disable
Aironet Extension Enable
Disable
Ethernet Encapsulation Transform RFC1042
802.1H
Reliable Multicast to WGB Enable
Disable
Public Secure Packet Forwarding Enable
Disable
Beacon Privacy Guest-Mode Enable
Disable
Beacon Period Entre 20 y 4000 Kusec
Data Beacon Rate (DTIM) 1100
Max. Data Retries 1128
RTS Max. Retries (tentativas mx. RTS) 1128
Fragmentation Threshold 2562346
RTS Threshold 02347
Root Parent Timeout Entre 0 y 65535 s
Root Parent MAC 14 (optional) HHHH.HHHH.HHHH

Prueba de portadora ocupada
Puede llevar a cabo una prueba de portadora ocupada para comprobar la

actividad de la radio en los canales inalmbricos. Durante la prueba de portadora
ocupada, el dispositivo inalmbrico desactiva todas las asociaciones con
dispositivos de red inalmbricos durante 4 segundos mientras lleva a cabo la
prueba y despus aparecen los resultados de esta. Esta prueba interrumpe el
trfico de los usuarios.
Pgina Association La pgina Association permite ver informacin sobre los clientes asociados al
punto de acceso (en modo de punto de acceso raz) o al punto de acceso principal
(en modo de puente de grupo de trabajo).
Figura 41 Pgina Association
Tabla 24 Descripcin de los parmetros de la pgina Association

Parmetro Descripcin
SSID Name
Tipo de dispositivo Tipo de dispositivo.
Name Muestra el nombre del dispositivo.
Direccin IP Direccin IP del cliente.
State Estado del cliente: Associated o Association Processing.
Parent Define el dispositivo cliente inalmbrico principal.

Tabla 24 Descripcin de los parmetros de la pgina Association (Continuacin)

Parmetro Descripcin
VLAN Identifica si hay una VLAN asignada a este cliente.
MAC Address La direccin de control de acceso al medio (Media Access Control o MAC) es un
identificador nico que el fabricante asigna a la interface de la red. Si hace clic en
el enlace MAC Address, le llevar a la pantalla Association: Station View Client.
Activity Timeout En esta pgina deber especificar el nmero de segundos durante los que el
punto de acceso rastrear un dispositivo inactivo.
Device Class
Especifica una clase de dispositivo Cisco Aironet.
Default (optional) 1100000 s
Especifica el valor del tiempo de espera de la actividad que utilizar el punto
de acceso cuando se asocie un dispositivo y determina si propondr o no una
velocidad de actualizacin.
Maximum (optional)
Especifica el tiempo de espera mximo de la actividad permitido para un
dispositivo con independencia de la frecuencia de actualizacin propuesta por
un dispositivo cuando se asocia.
Bridge: nombre de un puente.
Client Station: nombre de una estacin de cliente.
Repeater: nombre de un repetidor.
Workgroup Bridge: nombre de un puente de grupo de trabajo.
Unknown (Non-Cisco): nombre de los dispositivos desconocidos.
Pgina Wireless La pgina Wireless ofrece un resumen de los servicios inalmbricos. Puede
obtener acceso a la configuracin general de WDS/WNM y del servicio
inalmbrico del punto de acceso.
AP
Un punto de acceso que preste servicios de dominio inalmbrico (WDS) en su

LAN inalmbrica mantendr una cach de credenciales para los dispositivos
cliente con tecnologa CCKM en la red. Cuando un cliente con tecnologa
CCKM itinere de un punto de acceso a otro, el dispositivo WDS enviar las
credenciales del cliente al nuevo punto de acceso. Tan solo se transmitirn dos
paquetes entre el cliente y el nuevo punto de acceso, lo que reducir en gran
medida el tiempo de reasociacin.

Figura 42 Resumen de los servicios de punto de acceso inalmbricos
Tabla 25 Descripcin de los parmetros de la pgina Wireless AP

Parmetro Descripcin
Participate in SWAN Infrastructure Enable
Disable
WDS Discovery Auto Discovery
Specified Discovery (IP Address)
Username Nombre de usuario del participante
Password Contrasea del participante
Authentication Methods Profile
El enlace Define autenticacin Methods Profile le lleva a Security>AP

Authentication. Consulte Pgina Security en la pgina 109 para obtener ms
informacin.

WDS
Cuando configure los servicios de dominio inalmbrico en la red, los puntos de

acceso en su LAN inalmbrica utilizarn el punto de acceso con tecnologa WDS
para proporcionar una itinerancia rpida y segura a los dispositivos cliente y para
participar en la administracin de la radio. Utilice estos parmetros para
identificar si es preciso utilizar la interface como unidad de servicios de dominio
inalmbrico (Wireless Domain Services o WDS).
Consulte Configuracin de WDS y la itinerancia rpida segura en la pgina 353

para obtener informacin de configuracin detallada.
Figura 43 Pgina WDS (Wireless Domain Service) Status
Esta pgina describe el estado general de los servicios de dominio inalmbrico

configurados.
Tabla 26 Descripcin de los parmetros de la pgina Wireless WSD/WNM General Setup
Parmetro Descripcin
WDS Information
identificador nico que el fabricante asigna a la interface de la red.
Direccin IP Direccin IP de los puntos de acceso que intentan registrarse con este dominio
inalmbrico.
Priority Muestra un nmero de prioridad entre 1 y 255 de este candidato WDS. El candidato
WDS con el nmero de prioridad ms elevado se convertir en el dispositivo WDS.
State Muestra el estado del punto de acceso como registrado o no.
AP Information


(Continuacin)
Parmetro Descripcin
Direccin IP Direccin IP del cliente/repetidor.
CDP Neighbor Direccin IP del vecino CDP al que est directamente conectado el puerto Ethernet del
punto de acceso.
State Muestra el estado del cliente/repetidor como registrado o no.
Mobile Node Information
Direccin IP Direccin IP del cliente/repetidor.
State Muestra el estado del cliente/repetidor como registrado o no.
SSID Especifica el SSID vinculado a la red VLAN.
VLAN ID Especifica el nmero de identificacin Ethernet LAN virtual vinculado al SSID. Puede
asignar un nombre a una VLAN adems de su identificador numrico.
BSSID Especifica la direccin MAC del identificador del conjunto de servicios bsico. Este
consiste en un conjunto de estaciones que se comunican entre s.
Wireless Network Manager Information
Direccin IP Contiene la direccin IP del servicio de dominio inalmbrico configurada para su uso
por parte del punto de acceso hasta el que ha navegado.
Authentication Status Servidor empleado para autenticar dispositivos de infraestructura, como puntos de
acceso, en su red LAN inalmbrica.

Figura 44 Pgina WDS and WNM General Set-up

Parmetro Descripcin
WDS Wireless Domain Services Global Properties
Use this AP as Wireless Domain Services Marque la casilla si quiere utilizar el punto de acceso como WDS.
Marque la casilla si quiere que este punto de acceso se convierta en el dispositivo WDS para una itinerancia segura y
rpida utilizando clientes con tecnologa CCKM o si quiere que este punto de acceso enve estadsticas al WNM para su
recopilacin por parte del WLSE.
Si quiere que el punto de acceso acte como dispositivo WDS o como un candidato a WDS, deber utilizar esta pgina
para configurar el punto de acceso como WDS. Para su WDS deber elegir un punto de acceso que:
Pueda dotarse de medios de seguridad fsicos que impidan el robo.
Preste servicio a pocos dispositivos cliente, ya que las obligaciones WDS del punto de acceso pueden deteriorar el
rendimiento de los dispositivos cliente asociados.
Wireless Domain Services Priority Configure la prioridad de los WDS: entre 1 y 255 para este candidato a WDS.
El punto de acceso candidato a WDS con el nmero ms alto se convertir en el punto de acceso que acte como
dispositivo WDS. Si configura puntos de acceso como WDS de reserva, asigne la prioridad ms alta al punto de acceso
que quiera que acte como WDS principal y prioridades ms bajas a los WDS de reserva. Si su WDS principal falla, la
unidad de reserva con la prioridad ms alta se convertir en el dispositivo WDS activo.
Use Local MAC List for Client Authentication Marque esta opcin para autenticar los dispositivos cliente mediante direcciones MAC en la lista de direcciones local
configurada en el dispositivo WDS.
Si no selecciona esta casilla, el dispositivo WDS utilizar el servidor especificado para la autenticacin de direcciones
MAC en la pgina Server Groups para autenticar a los clientes en funcin de sus direcciones MAC.
La seleccin de esta opcin no obligar a los dispositivos cliente a llevar a cabo una autenticacin basada en MAC. Ofrece
una alternativa local a la autenticacin de direcciones MAC basada en servidor.

Figura 45 Pgina WDS Server Groups
Esta pgina permite configurar los servidores de autenticacin que puede utilizar
el punto de acceso WDS. Si desea que un punto de acceso acte como dispositivo
WDS o candidato WDS, tendr que configurarlo como tal.
Deber configurar como mnimo un servidor en la pestaa Security>Server

Manager antes de configurar grupos de servidores en esta seccin.
Tabla 28 Descripcin de los parmetros de los grupos de servidores inalmbricos
Parmetros Descripcin
Server Group List Haga clic para seleccionar los servidores que quiera editar.
Server Group Name Introduzca un nombre de grupo nico.
Group Sever Priorities Configure la prioridad de los servidores utilizados para las autenticaciones de
dispositivos cliente y de infraestructura.
Define Servers Haga clic en esta opcin para ir a la pgina Security>Server Manager, donde
podr configurar los servidores.
Infrastructure Authentication/ Seleccione los dispositivos en los que se autenticar el grupo de servidores.
Client Authentication Elija entre dispositivos de infraestructura como puntos de acceso, clientes que
utilizan autenticacin EAP, clientes que utilizan autenticacin LEAP, clientes que
utilizan autenticacin basada en MAC o clientes que utilizan cualquier tipo de
autenticacin. Si est configurada, la opcin Any Authentication ser el grupo
predeterminado, que se aplicar cuando no se aplique ninguno de los otros grupos
Client Authentication: EAP, LEAP o MAC.
SSID Settings De manera predeterminada, el grupo de servidores se aplicar a todos los SSID.
Para definirlo para una lista de SSID especificada, haga clic en Restrict SSIDs.
Haga clic en Add para aadir los SSID que desee.

Pgina Security Utilice la pgina Security para configurar los ajustes de seguridad e impedir el
acceso no autorizado a su red. Dado que el WAP es un dispositivo de radio, el
dispositivo inalmbrico se podr comunicar ms all de los lmites fsicos de su
lugar de trabajo. La pgina Security Summary le ofrece una instantnea de los
ajustes de seguridad y enlaces con otras pginas relacionadas con este campo.
Figura 46 Pgina Security Summary
Enlaces de la pgina Security Summary Descripcin

Administrators Enlace con Admin Access, consulte Pgina Admin Access en la
pgina 111.
Service Set Identifiers (SSIDs) Enlace con SSID Manager, consulte Pgina SSID Manager en la
pgina 114.
Radio0-802.11N2.4 GHz Encryption Settings Enlace con Encryption Manager, consulte Pgina Encryption Manager en
la pgina 112.
Radio1-802.11N 5 GHz Encryption Settings Enlace con Encryption Manager, consulte Pgina Encryption Manager en
la pgina 112.
Server-Based Security Enlace con Server Manager, consulte Pgina Server Manager en la
pgina 117.
Proteccin de trama de administracin Enlace con Intrusion Detection, consulte Deteccin de intrusiones en la
pgina 125.

Tabla 29 Descripcin de los parmetros del resumen de seguridad

Parmetros Descripcin
Username Nombre de usuario del usuario activo.
Read-Only Especifica si el usuario posee capacidades de solo lectura.
Read-Write Especifica si el usuario posee capacidades de lectura-escritura.
SSID Especifica el nico identificador que los dispositivos cliente utilizarn para
asociarse al punto de acceso.
VLAN Especifica las VLAN asignadas en ese momento.
SSID Unique Identifier
Seleccin de banda Cuando esta opcin est habilitada, permite a las radios de cliente de doble banda
pasar a la banda de 5 GHz, menos congestionada.
Web-Auth Especifica si la autenticacin web est habilitada para los clientes.
Radio Especifica la radio en uso.
BSSID/Guest Mode Especifica el BSSID/modo invitado vinculado a este SSID.
Open/Shared/Network EAP Especifica el mtodo de autenticacin en uso.
La autenticacin abierta permite a cualquier dispositivo autenticarse y a
continuacin tratar de comunicarse con el punto de acceso.
La autenticacin compartida enva una cadena de impugnacin sin cifrar a
cualquier dispositivo que intente comunicarse con el punto de acceso.
La autenticacin EAP de red utiliza EAP para interaccionar con un servidor
compatible con EAP en su red con el fin de proporcionar servicios de
autenticacin para los dispositivos cliente inalmbricos.
Management Frame Protection Las tramas de administracin se pueden proteger con el fin de detectar enemigos
(MFP) que estn lanzando ataques de denegacin del servicio. Estos pueden incluir
anegacin de la red con asociaciones y sondas, interrupciones como puntos de
acceso maliciosos y merma del rendimiento de la red mediante ataques a QoS y a
las tramas de medicin de la radio. Este enlace lleva a la pgina Intrusion
Detection.

Pgina Admin Access
La pgina Admin Access proporciona al administrador informacin relativa a la

seguridad, la autenticacin y las listas de usuarios.
Figura 47 Seguridad: acceso de administrador
Tabla 30 Descripcin de los parmetros del acceso de administrador de seguridad

Parmetro Descripcin
Administrator Authenticated by Default Authentication (Global Password)
Local User List Only (Individual Passwords)
Authentication Server Only
Authentication Server if not found in Local List
Local List if no response from Authentication Server
Authentication Cache Enable Authentication Server Caching
Default Authentication Default Authentication Password (Global Password)
Especifica la contrasea que hay que introducir en el modo EXEC con privilegios
(administrador).
Local User List Username
Password
Use Password as secret: permite obtener acceso al modo EXEC con
privilegios (administrador).
Capability Settings: Read only/Read-Write

Pgina Encryption Manager
Esta pgina permite seleccionar el modo de cifrado y los parmetros para cifrar y
descifrar las seales de radio.
Figura 48 Descripcin de los parmetros del administrador de cifrado
Figura 49 Seguridad, administrador de cifrado

Tabla 31 Descripcin de los parmetros del administrador de cifrado de seguridad

Parmetro Descripcin
Encryption Modes Indica si los clientes deben utilizar el cifrado de datos en las comunicaciones con el puente.
Ninguna El cifrado no est habilitado en la radio.
WEP Encryption Elija entre Optional o Mandatory. Si elige Optional, los dispositivos cliente se podrn comunicar con este punto de acceso o puente con o sin WEP.
Si elige Mandatory, los dispositivos cliente debern utilizar WEP cuando se comuniquen con el punto de acceso. Los puentes que no utilicen WEP
no podrn comunicarse.
WEP es un algoritmo de cifrado estndar 802.11 originalmente diseado para redes LAN inalmbricas. No obstante, la estructura WEP bsica es
vulnerable y los atacantes pueden comprometer la privacidad con un esfuerzo razonable.
NO se recomienda utilizar WEP como mtodo de seguridad para WLAN. Las radios 802.11n Cisco requieren la configuracin sin cifrado o
AES-CCMP para su correcto funcionamiento.
Cipher Las suites de algoritmos de cifrado son conjuntos de algoritmos de integridad y cifrado diseados para proteger las comunicaciones por radio en
las redes LAN inalmbricas. Deber utilizar una suite de algoritmos de cifrado para habilitar el acceso protegido wifi (Wi-Fi Protected Access o
WPA) o la gestin de claves centralizadas de Cisco (Cisco Centralized Key Management o CCKM). Utilice el men desplegable para elegir entre AES,
TKIP, CKIP, CMIC y WEP. AES CCMP es la opcin ms segura y, en consecuencia, la recomendada. AES-CCMP es un conjunto de algoritmos de cifrado
de bloque simtrico que puede cifrar y descifrar datos con claves de 128, 192 y 256 bits. AES-CCMP ofrece un cifrado superior a WEP, definido en la
norma IEEE 802.11i.
WEP es la suite de algoritmos de cifrado menos segura y se desaconseja su uso.
Transmit Key Este parmetro solo se utiliza con WEP y no se recomienda su uso. Haga clic en Transmit Key y seleccione la clave WEP que utilizar este puente.
Solo se puede seleccionar una clave cada vez. Todas las claves configuradas se pueden utilizar para recibir datos.
La clave que seleccione como clave de transmisin tambin deber introducirse en la misma ranura de clave en los dispositivos cliente que se
asocien al punto de acceso o puente, aunque no tendr que seleccionarse como clave de transmisin en estos.
Encryption Key 1-4 Introduzca una clave WEP en uno de los campos Encryption Key. Para el cifrado de 40 bit, introduzca 10 dgitos hexadecimales; para el cifrado de
128 bit, introduzca 26 dgitos hexadecimales. Los dgitos hexadecimales son un conjunto de caracteres que incluye nmeros del 0 al 9, minsculas
de la a a la f y maysculas de la A a la F. Sus claves WEP pueden contener una combinacin de cualquiera de estos caracteres. Las claves
WEP no son sensibles a las maysculas y minsculas.
Puede introducir hasta cuatro claves WEP. La clave que seleccione como clave de transmisin tambin deber introducirse en la misma ranura de
clave en los dispositivos cliente que se asocien al punto de acceso o puente, aunque no tendr que seleccionarse como clave de transmisin en
estos.
Si tiene cuatro claves WEP configuradas y se selecciona la clave WEP 2 como clave de transmisin, la clave WEP 2 del dispositivo cliente deber
tener el mismo contenido. Si se configura la clave WEP 4 en el dispositivo cliente pero no se selecciona como clave de transmisin, no ser
necesario configurar la clave WEP 4 en el punto de acceso en absoluto.
Key Size Seleccione un cifrado de 40 bits o 128 bits para cada clave.
Global Properties Broadcast Key Rotation Interval: Disable Rotation o Enable Rotation with Interval
(10 a 10000000 s)
Broadcast Key Rotation Interval Permite al punto de acceso generar la mejor clave de grupo aleatoria posible y actualizar todas las estaciones con tecnologa de gestin de claves
peridicamente. La rotacin de clave de difusin no funciona con clientes WEP estticos. Esta caracterstica mantiene la clave de grupo privada
solo para los miembros activos en ese momento. No obstante, puede que genere cierto tiempo de procesamiento interno si los clientes en su red
itineran con frecuencia.
WPA Group Key Update Marque la casilla adecuada para determinar la frecuencia con al que el punto de acceso cambiar y distribuir la clave de grupo para los
dispositivos cliente con tecnologa WPA.
Enable Group Key Update on Membership Termination
Enable Group Key Update on Members Capability Change

Pgina SSID Manager
Utilice la pgina SSID Manager para asignar SSID a interfaces de radio

especficas.
Figura 50 SSID Manager
Tabla 32 Descripcin de los parmetros del administrador de SSID

Parmetro Descripcin
Current SSID List Introduzca el nico identificador que los dispositivos cliente utilizarn para asociarse al punto de acceso. El SSID ayuda a los dispositivos cliente
a distinguir entre mltiples redes inalmbricas en la misma zona. El SSID puede ser cualquier entrada alfanumrica, sensible a las maysculas y
minsculas, entre 2 y 32 caracteres.
SSID El identificador del conjunto de servicios (SSID), tambin denominado SSID de la radio, es un identificador nico que utilizan los clientes para
asociarse a la radio. Puede aadir hasta 16 SSID.
No se permite el uso de estos seis caracteres: +, ], /, ", tabulacin y espacio final. Adems, estos tres caracteres no pueden situarse en primera
posicin: !, # y ;.
El parmetro SSID es sensible a las maysculas y minsculas.
VLAN Permite asociar un SSID a una VLAN configurada. Una VLAN es una red conmutada que se segmenta lgicamente por funciones, equipos de
proyecto o aplicaciones en lugar de en funcin de criterios fsicos o geogrficos. Por ejemplo, todas las estaciones de trabajo y servidores
utilizados por un equipo de grupo de trabajo concreto se pueden conectar a la misma VLAN con independencia de sus conexiones fsicas a la red
o del hecho de que se puedan combinar con otros equipos.
Define VLANs Esta opcin le llevar a la pgina Services>VLAN. Si no aplica los cambios de configuracin antes de hacer clic en este enlace, estos se perdern.
En esta pgina puede configurar las VLAN predeterminadas y asignar las VLAN actuales y su identificador e informacin. Por ejemplo, los
usuarios empresariales pueden utilizar distintas VLAN para separar el trfico de empleados del trfico de invitados y despus volver a separar
esos grupos de trfico de los de voz con alta prioridad. El trfico que entrante y saliente de los clientes inalmbricos con distintas funciones de
seguridad se puede separar en redes VLAN con distintas polticas de seguridad.
Band-select La seleccin de banda permite trasladar el funcionamiento del cliente inalmbrico (con funcin de doble banda, 2.4 y 5 GHz) a una banda de
radio de 5 GHz menos congestionada.
Interface Seleccione las interfaces de radio que quiera habilitar. El SSID permanecer inactivo hasta que lo habilite para una interface de radio.
Network ID Identificador de la red

Tabla 32 Descripcin de los parmetros del administrador de SSID (Continuacin)

Parmetro Descripcin
Client Authentication Settings and Open Authentication
Methods Accepted Elija la opcin Open Authentication marcando la casilla correspondiente.
Esta opcin permite a cualquier dispositivo autenticarse y a continuacin tratar de comunicarse con el punto de acceso.
Ser preciso utilizar mtodos adicionales, como EAP o la clave previamente compartida WPA/WPA2, con el fin de hacer seguro el proceso de
autenticacin.
Una vez que haya elegido Open Authentication, podr seleccionar el mtodo adicional que quiera utilizar en el men desplegable. Estas son las
opciones del men desplegable.
MAC authentication
EAP
MAC authentication and EAP
MAC authentication or EAP, or with optional EAP.
Para habilitar EAP, es preciso configurar los servidores de autenticacin EAP en esta pgina o en la pgina Server Manager. Para habilitar la
autenticacin MAC, deber introducir la direccin MAC a escala local o seleccionar la opcin Authentication Server Only en la pgina Advanced
Security. Elija EAP opcional para permitir a los clientes y a los clientes EAP opcionales asociarse y autenticarse con cualquier mtodo de
autenticacin.
A pesar de que los puntos de acceso pueden emplear la autenticacin abierta con el mtodo EAP para autenticar un dispositivo cliente
inalmbrico, no pueden emplear EAP para autenticar otro punto de acceso. Dicho de otro modo, los puntos de acceso deben autenticarse entre
s mediante mtodos de autenticacin abierta, compartida o EAP de red.
Shared Authentication
Elija la opcin de autenticacin compartida marcando la casilla Shared Authentication. El mtodo de autenticacin con clave compartida no se
recomienda por deficiencias de seguridad. Utilice la autenticacin abierta con EAP o clave previamente compartida WPA/WPA2 en su lugar.
El punto de acceso enviar una cadena de impugnacin sin cifrar a cualquier dispositivo que intente comunicarse con el punto de acceso. El
dispositivo que solicite la autenticacin cifrar el texto de impugnacin y lo enviar de vuelta al punto de acceso. Si el texto de impugnacin se
ha cifrado correctamente, el punto de acceso permitir al dispositivo solicitante autenticarse.
Es posible supervisar tanto la impugnacin cifrada como la impugnacin sin cifrar. No obstante, esto deja el punto de acceso expuesto a los
ataques de cualquier intruso que adivine la clave WEP comparando las cadenas de texto cifradas y sin cifrar. Esta debilidad puede hacer menos
segura la autenticacin con clave compartida que la autenticacin abierta. Tan solo un SSID puede utilizar la autenticacin compartida. Una vez
que haya elegido Shared Authentication, podr seleccionar el mtodo que quiera utilizar en el men desplegable. Las opciones son MAC
Authentication, EAP o MAC Authentication and EAP.
Network EAP
Elija la opcin de EAP de red marcando la casilla Network EAP. El dispositivo utilizar el protocolo de autenticacin extensible (Extensible
autenticacin Protocol o EAP) para interaccionar con un servidor RADIUS compatible con EAP en su red con el fin de proporcionar servicios de
autenticacin a los dispositivos cliente inalmbricos. Los dispositivos cliente utilizan claves WEP dinmicas para autenticarse en la red. Una vez
que haya elegido Network EAP, podr seleccionar MAC Authentication.
La autenticacin EAP de red es necesaria para operar con los dispositivos cliente Cisco compatibles con el mtodo de autenticacin LEAP.
Normalmente, la autenticacin abierta con EAP se utiliza en su lugar como un mtodo ms seguro.
Server Priorities Determine cmo va a utilizar servidores RADIUS concretos en este SSID. En las secciones de EAP y MAC Authentication Server, puede elegir entre
utilizar los valores predeterminados o personalizar la prioridad a travs del men desplegable. Si habilita el uso de los valores predeterminados,
haga clic en el enlace Define Defaults para ir a la pgina Server Manager.
Authenticated Key Management WPA y CCKM son las soluciones de gestin de claves autenticadas. El acceso protegido wifi (WPA) depende de la versin de la norma IEEE
802.11i. WPA admite los algoritmos de cifrado TKIP y WEP as como 802.1X y EAP para facilitar su integracin en el sistema de autenticacin
existente. La gestin de claves WPA emplea una combinacin de mtodos de cifrado para proteger la comunicacin entre los dispositivos cliente
y el punto de acceso.
En la actualidad, la gestin de claves WPA es compatible con dos mtodos de gestin de claves autenticadas que son mutuamente excluyentes:
WPA y WPA-PSK. Si la gestin de claves de autenticacin es WPA, el cliente y el servidor de autenticacin se autenticarn entre s mediante un
mtodo de autenticacin EAP (como EAP-TLS) y generarn una clave maestra de par (Pairwise Master Key o PMK). Si la gestin de claves de
autenticacin es WPA-PSK, la clave previamente compartida se utilizar directamente como PMK.
Con la gestin de claves centralizada de Cisco (Cisco Centralized Key Management o CCKM), los dispositivos cliente autenticados pueden itinerar
de un punto de acceso a otro sin ninguna demora perceptible durante la reasociacin. Un punto de acceso en su red prestar servicios de
dominio inalmbrico (Wireless Domain Services o WDS) y crear una cach de credenciales de seguridad para los dispositivos cliente con
tecnologa CCKM en la subred.
La cach de credenciales WDS reduce drsticamente el tiempo necesario para la reasociacin cuando un dispositivo cliente con tecnologa CCKM
itinera hasta un nuevo punto de acceso. Para habilitar CCKM para un SSID, tambin deber habilitar la autenticacin EAP de red. Cuando CCKM y
la autenticacin EAP de red estn habilitadas para un SSID, los dispositivos cliente que utilizan LEAP, EAP-FAST, PEAP/GTC, MSPEAP y EAP-TLS
pueden autenticarse mediante el SSID. Para poder habilitar WPA para un SSID, tambin tendr que habilitar la autenticacin abierta, la
autenticacin EAP de red o ambas. Para poder habilitar CCKM o WPA, deber configurar el modo de cifrado para la VLAN de los SSID como una
de las opciones de suite de algoritmos de cifrado.
Key Management Utilice el men desplegable para indicar si quiere que la gestin de claves sea obligatoria u opcional. Puede seleccionar la gestin de claves de
autenticacin WPA y CCKM al mismo tiempo para la radio 802.11b u 802.11g. Para la radio 802.11a, solo se puede seleccionar un mtodo de
gestin de claves.
WPA Pre-shared Key Para admitir dispositivos cliente con la gestin de claves WPA, deber configurar una clave previamente compartida en el punto de acceso.
Introduzca la clave y especifique si va a utilizar caracteres hexadecimales o ASCII.
Si utiliza caracteres hexadecimales, deber introducir 64 caracteres hexadecimales para completar la clave de 256 bits. Si utiliza caracteres
ASCII, deber introducir un mnimo de 8 letras, nmeros o smbolos, y el punto de acceso ampliar la clave por usted. Puede introducir un
mximo de 63 caracteres ASCII.
IDS Client MFP Habilite la opcin Client MFP en este SSID para proteger el trfico de gestin inalmbrica entre el cliente y el punto de acceso.

Tabla 32 Descripcin de los parmetros del administrador de SSID (Continuacin)

Parmetro Descripcin
AP Authentication Las credenciales se utilizan para autenticar el punto de acceso en la red. No es igual que la autenticacin del cliente.
Credentials Utilice el men desplegable para especificar un perfil de credenciales para un SSID.
Define Credentials
Si necesita definir credenciales, haga clic en el enlace para ir a la pgina AP Authentication General Setup, donde podr establecer un nombre
de usuario y una contrasea o identificador annimo y un punto de confianza para las credenciales.
Authentication Methods Profile Cuando un punto de acceso se conecta a la red, este y el dispositivo de autenticacin de la red negocian para acordar un mtodo compatible con
ambos para completar la autenticacin. Entonces se utiliza un perfil de mtodos de autenticacin para limitar los tipos de autenticacin que el
punto de acceso acuerda utilizar. Utilice el men desplegable para especificar un perfil de autenticacin para un SSID.
Define Authentication Methods Si necesita definir un perfil de mtodos de autenticacin, haga clic en el enlace para ir a la pgina AP Authentication General Setup.
Profile
Accounting Settings Indique si quiere que este servidor registre los datos de uso de los clientes que se asocien al punto de acceso. Algunos datos de uso se pueden
Enable Accounting utilizar con fines de facturacin o seguimiento del uso.
Accounting Server Priorities Puede elegir entre utilizar los valores predeterminados o personalizar las prioridades a travs del men desplegable. Si habilita el uso de los
valores predeterminados, haga clic en el enlace Define Defaults para ir a la pantalla Server Manager.
General Settings Advertise Incluye el nombre y las funciones del SSID en el elemento informativo del servicio de aprovisionamiento inalmbrico (WPS).
Extended Capabilities of this SSID
Advertise Wireless Provisioning Habilita el indicador de funcin WPS en el elemento informativo WPS.
Services (WPS) Support
Advertise this SSID as a Secondary Incluye el nombre y las funciones del SSID en el elemento informativo WPS.
Broadcast SSID
Enable IP Redirection on this SSID Cuando configure la redireccin IP para un SSID, el punto de acceso redirigir todos los paquetes enviados desde los dispositivos cliente
asociados a ese SSID a una direccin IP especfica. Puede redirigir todos los paquetes procedentes de los dispositivos cliente asociados con un
SSID o redirigir nicamente los paquetes destinados a puertos TCP o UDP especficos. Cuando configure el punto de acceso para redirigir solo
paquetes destinados a puertos concretos, el punto de acceso redirigir los paquetes procedentes de clientes que utilicen el SSID y dejar que se
pierda el resto de los paquetes procedentes de clientes que utilicen el SSID.
Direccin IP Introduzca la direccin IP de destino de los paquetes redirigidos.
IP Filter Una vez que haya habilitado el redireccionamiento IP e introducido la direccin IP, haga clic en Define Filter para ir a la pgina IP Filters, donde
podr especificar los puertos TCP o UDP adecuados para el redireccionamiento. Si no especifica puertos TCP o UDP, el punto de acceso redirigir
todos los paquetes que reciba desde los dispositivos cliente.
Association Limit (optional) Nmero mximo de clientes que pueden asociarse a un SSID concreto. Este lmite impide que los puntos de acceso se sobrecarguen y ayuda a
prestar un nivel de servicio adecuado a los clientes asociados.
EAP Client (optional) Cisco le recomienda utilizar la opcin AP Authentication en lugar de EAP Client para autenticar el punto de acceso en la red.
Username Indica el nombre de usuario utilizado para la autenticacin EAP de red cuando el punto de acceso del repetidor se asocia a un punto de acceso
principal o cuando un punto de acceso de reserva se asocia a un punto de acceso supervisado.
Password Indica la contrasea utilizada para la autenticacin EAP de red cuando el punto de acceso repetidor se asocia a un punto de acceso principal o
cuando un punto de acceso de reserva se asocia a un punto de acceso supervisado. Nota: no se permite el uso de estos caracteres:
tabulacin, ?, $, + y [.
Multiple BSSID Beacon Settings Seleccione la casilla Set SSID as Guest Mode si quiere incluir el SSID en balizas. Para incrementar la vida til de la batera para los clientes con
Multiple BSSID Beacon ahorro de energa que utilicen este SSID, seleccione la casilla Set Data Beacon Rate (DTIM) e introduzca una frecuencia de baliza para el SSID.
Esta opcin determinar la frecuencia con la que el punto de acceso enviar una baliza con un mensaje indicador del trfico de entrega (Delivery
Traffic Indicator Message o DTIM). Cuando los dispositivos cliente reciban una baliza con un DTIM, normalmente se reactivarn para comprobar
la existencia de paquetes pendientes. La ampliacin de los intervalos entre DTIM permitir a los clientes dormir ms tiempo y ahorrar energa. Y
al contrario, unos periodos DTIM ms cortos reducirn la demora en la recepcin de los paquetes pero consumirn ms energa de la batera, ya
que los clientes se reactivarn con ms frecuencia.
Consulte Configuracin de SSID mltiples en la pgina 289 si desea ms informacin sobre el procedimiento.
Guest Mode/Infrastructure SSID Haga clic para elegir un nico mensaje de baliza del punto de acceso o varios de ellos. En el men desplegable, indique el modo de invitado, que
Settings Set Beacon Mode permitir a los clientes sin ningn SSID asociarse a este punto de acceso.
Consulte Configuracin de SSID mltiples en la pgina 289 si desea informacin detallada sobre el procedimiento.
Set Infrastructure SSID Cuando el punto de acceso se encuentre en el modo de repetidor, este SSID se utilizar para asociarlo a un punto de acceso principal. Marque la
casilla junto al men desplegable si quiere forzar la asociacin de los dispositivos de infraestructura nicamente a este SSID.

Pgina Server Manager
La pgina Server Manager le permite introducir los ajustes del servidor de

autenticacin. El servidor RADIUS/TACACS+ de su red utiliza EAP para
prestar servicios de autenticacin a los dispositivos cliente inalmbricos.
Figura 51 Administrador de servidor

Tabla 33 Seguridad: descripcin de los parmetros del administrador de servidores

Parmetro Descripcin
Backup RADIUS Server Introduzca el nombre de anfitrin o la direccin IP del punto de acceso que
acte como servidor RADIUS local. Otros puntos de acceso de su LAN
inalmbrica utilizarn este autenticador de seguridad cuando el servidor
RADIUS principal no responda.
Shared Secret Introduzca la clave secreta compartida que utilice su servidor RADIUS local/
de seguridad. La clave secreta compartida en el dispositivo debe coincidir
con la clave secreta compartida del servidor local/de seguridad.
Corporate Servers Current Server List Identifica los servidores disponibles en ese momento.
Server Introduzca el nombre o la direccin IP del servidor.
Shared Secret Introduzca la clave secreta compartida que utilice su servidor RADIUS/
TACACS+. La clave secreta compartida en el dispositivo debe coincidir con
la clave secreta compartida del servidor RADIUS/TACACS+.
Authentication Port (optional) Introduzca el nmero de puerto que utilice su servidor RADIUS/TACACS+
para la autenticacin. El ajuste del puerto para el servidor Cisco RADIUS
(el servidor de control de acceso, Access Control Server o ACS) es 1645 y el
ajuste del puerto para muchos servidores RADIUS es 1812. Compruebe la
documentacin de su servidor para encontrar el ajuste de puerto correcto.
Accounting Port (optional) Introduzca el nmero de puerto que su servidor RADIUS utiliza con fines
de contabilidad. El ajuste del puerto para el servidor RADIUS de Cisco
(el servidor de control de acceso, Access Control Server o ACS) es 1646 y el
ajuste del puerto para varios servidores RADIUS es 1813. Compruebe la
documentacin de su servidor para encontrar el ajuste de puerto de
contabilidad correcto.
Default Server Priorities EAP Seleccione los servidores que se utilizarn para la autenticacin EAP en el
Authentication orden de prioridad que desee.
MAC Authentication Seleccione los servidores que se utilizarn para la autenticacin MAC en el
orden de prioridad que desee.
Accounting Seleccione los servidores que se utilizarn para la contabilidad en el orden
de prioridad que desee.
Admin Authentication (RADIUS) Seleccione los servidores que se utilizarn para la autenticacin de
administrador RADIUS en el orden de prioridad que desee.
Admin Authentication (TACACS+) Seleccione los servidores que se utilizarn para la autenticacin de
administrador TACACS en el orden de prioridad que desee.

Propiedades globales del administrador de servidor
La pgina Server Manager Global Properties ofrece ms informacin sobre los

servidores en uso y su ubicacin global.
Figura 52 Propiedades globales del administrador de servidor

Tabla 34 Descripcin de los parmetros de las propiedades globales del administrador de

servidores
Parmetro Descripcin
Accounting Update Interval (optional) 12147483647 min
TACACS+ Server Timeout (optional) 11000 sec
RADIUS Server Timeout (optional) 11000 sec
RADIUS Server Retransmit Retries (optional) 0100
Dead RADIUS Server List Enable Server remains on list for 11440 min
Disable
RADIUS Calling/Called Station ID Format Predeterminado
Example: 0000.4096.3e4a
IETF
Example: 00-00-40-96-3e-4a
Unformatted
Example: 000040963e4a
RADIUS Service-Type Attributes Login
Framed
RADIUS WISPr Attributes (optional) ISO County Code 2 letters
E.164 Country Code 1999
E.164 Area Code three digits

Autenticacin del punto de acceso
Tradicionalmente, la relacin autenticador/cliente dot1x se entablaba siempre

entre un dispositivo de red y un ordenador personal, respectivamente, ya que el
usuario del ordenador personal tena que autenticarse para obtener acceso a la red.
No obstante, las redes inalmbricas plantean retos nicos para la relacin
tradicional autenticador/cliente.
En primer lugar, los puntos de acceso se pueden situar en lugares pblicos, con
la consiguiente posibilidad de que se desconecten y de que un extrao utilice su
conexin de red. En segundo lugar, cuando el punto de acceso repetidor o puente
de grupo de trabajo se incorpora a una red inalmbrica, este debe autenticarse
en el punto de acceso raz del mismo modo que un cliente. Si se utiliza la
autenticacin EAP en lugar de la de clave previamente compartida, ser necesario
configurar las credenciales de autenticacin en el WGB o repetidor.
Primero deber crear y configurar un perfil de credenciales y aplicarlas a una

interface o SSID. Las credenciales se utilizan para autenticar el punto de acceso en
la red.
Figura 53 Autenticacin del punto de acceso

Tabla 35 Descripcin de los parmetros de configuracin general de la autenticacin del punto

de acceso
Parmetro Descripcin
Current Credentials Elija <NEW> si quiere aadir un perfil de credenciales dot1x.
Credentials Name Introduzca un nombre para el perfil de credenciales dot1x si est aadiendo un perfil nuevo.
Puede cambiar el nombre si ha elegido un perfil existente.
Username Introduzca el identificador del usuario del servicio de autenticacin.
Password Introduzca la contrasea de autenticacin.
Anonymous ID Introduzca la identidad annima que quiera utilizar. En funcin de sus requisitos de
autenticacin de red, puede configurar un identificador annimo en lugar de un nombre de
usuario y una contrasea.
Trustpoint Los certificados del router y el certificado de la AC asociado se gestionan a travs de un
punto de confianza. Introduzca el punto de confianza PKI predeterminado. Introduzca el
punto de confianza si se requiere uno para la autenticacin de red.
Define Trustpoints Si necesita definir un punto de confianza, haga clic en el enlace para ir a la pgina AP
Authentication Certificates, donde podr configurar su parmetros.
Authentication Methods Los perfiles de credenciales se aplican a una interface o a un SSID del mismo modo. Cuando
Profile un punto de acceso se conecta a la red, este y el dispositivo de autenticacin de la red
negocian para acordar un mtodo compatible con ambos para completar la autenticacin.
Entonces se utiliza un perfil de mtodos de autenticacin para limitar los tipos de
autenticacin que el punto de acceso acuerda utilizar. Si desea limitar los tipos de
autenticacin que se utilizan para autenticarse en la red, defina un perfil de mtodos de
autenticacin y asgnelo a los SSID pertinentes o a la interface GigabitEthernet.
Puede que necesite esta restriccin para impedir que el servidor de autenticacin de la red y
el punto de acceso negocien un mtodo de autenticacin como LEAP en lugar de un
mecanismo ms seguro como EAP-FAST.
Current Authentication Elija <NEW> si quiere aadir un perfil de mtodos de autenticacin.
Methods Profile
Profile Name Si va a aadir un perfil de mtodos de autenticacin nuevo, introduzca un nombre para l.
Puede cambiar el nombre si ha elegido un perfil existente.
Authentication Methods Elija los mtodos de autenticacin que necesite utilizar el punto de acceso para autenticarse
en la red. Si elige un mtodo de autenticacin fuerte, podr impedir que el punto de acceso
apruebe mtodos de autenticacin ms dbiles.
Por ejemplo, si un servidor RADIUS es compatible con EAP-FAST y LEAP, en determinadas
configuraciones el servidor puede emplear inicialmente LEAP en lugar de un mtodo ms
seguro. Si no define una lista de mtodos con preferencia en este parmetro, cabe la
posibilidad de que se elija LEAP en lugar de EAP-FAST, ms fuerte y conveniente.

Certificados de autenticacin del punto de acceso
Esta pgina enumera los certificados y las claves pblicas actualmente disponibles.
Tambin puede configurar los parmetros del punto de confianza.
Figura 54 Certificados de autenticacin del punto de acceso

Tabla 36 Descripcin de los parmetros de propiedades de la pgina Certificates

Parmetro Descripcin
Certificates Enumera los certificados actualmente instalados en el punto de acceso.
Current Public Keys Enumera la claves pblicas que se encuentran disponibles.
Current Trustpoints Autoridades certificadoras (AC) que el punto de acceso est utilizando en la
actualidad para las operaciones de certificado.
CA Certificate
Una vez definido el punto de confianza, haga clic en el botn Retrieve para
descargar el certificado de la autoridad certificadora.
Router Certificates
Una vez que haya recuperado el certificado de la AC, haga clic en el botn
Enroll para registrar el certificado o certificados del punto de acceso ante la AC.
Esta accin enviar una solicitud de registro del certificado a la AC e instalar el
certificado o certificados recibidos. Puede producirse de inmediato o puede
que tarde algn tiempo en funcin de los ajustes de la AC. Por ejemplo, la
configuracin de algunas AC hace que el certificado se expida de inmediato,
mientras que algunas requieren una intervencin humana, lo que demora la
expedicin del certificado un tiempo.
Dont delete associated keys
Cuando se elimina un punto de confianza, tambin se borran las claves RSA
asociadas. Si quiere mantener las claves intactas, debe elegir esta opcin antes
de eliminar el punto de confianza.
Trustpoint Name Nombre nico asignado para definir o agrupar toda la informacin de la autoridad
certificadora.
URL URL de registro de la AC (vara de un fabricante a otro).
Subject Informacin del campo del asunto en el certificado X.509 solicitado.
Revocation Check Especifica si se debe llevar a cabo una comprobacin de renovacin de un
certificado recibido. En el caso de EAP-TLS, esta opcin debe estar configurada
como None.
RSA Key Pair Label Nombre opcional para identificar las claves RSA del certificado.
Signature/Encryption Size Nmero de bits necesarios para las claves RSA. Las de mayor tamao son ms
seguras.
Regenerate on Enroll Si se elige esta opcin, las claves RSA se generarn cuando el certificado se
registre ante la autoridad certificadora.
Auto-enroll Los certificados se registrarn automticamente cuando se configure el punto de
confianza. No necesitar descargar de manera expresa el certificado de la AC y
despus registrar el certificado del router porque se har automticamente.
CA Certificate Una vez definido el punto de confianza, haga clic en el botn Retrieve para

Tabla 36 Descripcin de los parmetros de propiedades de la pgina Certificates (Continuacin)

Parmetro Descripcin
Router Certificates Una vez que haya recuperado el certificado de la AC, haga clic en el botn Enroll
para registrar el certificado o certificados del punto de acceso ante la AC. Esta
accin enviar una solicitud de registro del certificado a la AC e instalar el
certificado o certificados recibidos. Puede producirse de inmediato o puede que
tarde algn tiempo en funcin de los ajustes de la AC. Por ejemplo, la
Dont delete associated keys Cuando se elimina un punto de confianza, tambin se borran las claves RSA
asociadas. Si quiere mantener las claves intactas, debe elegir esta opcin antes de
eliminar el punto de confianza.
Current Trustpoints CA Certificate
Una vez definido el punto de confianza, haga clic en el botn Retrieve para
Router Certificates
Una vez que haya recuperado el certificado de la AC, haga clic en el botn
Enroll para registrar el certificado o certificados del punto de acceso ante la AC.
Esta accin enviar una solicitud de registro del certificado a la AC e instalar el
certificado o certificados recibidos. Puede producirse de inmediato o puede
que tarde algn tiempo en funcin de los ajustes de la AC. Por ejemplo, la
Dont delete associated keys
Cuando se elimina un punto de confianza, tambin se borran las claves RSA
asociadas. Si quiere mantener las claves intactas, debe elegir esta opcin antes
de eliminar el punto de confianza.
Deteccin de intrusiones
La proteccin de trama de administracin se puede utilizar para identificar a los

enemigos que lanzan ataques de denegacin del servicio, anegando la red con
asociaciones y sondas, con interrupciones como puntos de acceso maliciosos o
mermando el rendimiento de la red mediante ataques a las tramas de medicin de
la radio y QoS.
Figura 55 Deteccin de intrusiones: proteccin de trama de administracin

Figura 56 Deteccin de intrusiones: estadsticas MFP
Tabla 37 Descripcin de los parmetros de la pgina Intrusion Detection

Parmetro Descripcin
Transmit MFP Frames Cuando esta opcin est habilitada, el punto de acceso protege las tramas de administracin
que transmite aadiendo un elemento informativo de comprobacin de la integridad del
mensaje (IE MIC) a cada una de ellas. Cualquier intento de copia, alteracin o reproduccin de
la trama invalidar la MIC, haciendo que los puntos de acceso receptores configurados para
detectar tramas MFP notifiquen la discrepancia. El punto de acceso debe ser miembro de un
WDS para transmitir tramas MFP. Si no lo es, aparecer un mensaje de aviso en esta pgina.
Detect MFP Frames Cuando la deteccin MFP est habilitada, el punto de acceso valida cada una de las tramas de
administracin que recibe de otros puntos de acceso en la red. Garantiza que el IE MIC est
presente (cuando el dispositivo que lo origina est configurado para transmitir tramas MFP) y
que coincida con el contenido de la trama de administracin.
El punto de acceso debe ser miembro de un WDS para transmitir tramas MFP. Si no lo es,
aparecer un mensaje de aviso en esta pgina.
Distribute Keys Debe haber como mnimo un dispositivo WDS configurado en la red para poder distribuir
claves de firma a los generadores de MFP (protectores) y a los detectores de MFP
(validadores) en la red. Estas son necesarias para que los generadores creen IE MIC y para que
los detectores los validen.
Esta casilla no est presente cuando el punto de acceso no puede ser un dispositivo WDS.

Servidor RADIUS local
Normalmente se utiliza un servidor RADIUS externo para autenticar a los

usuarios. En algunos casos, esta no es una solucin viable. En esas situaciones, un
punto de acceso puede actuar como servidor RADIUS. En tal caso, los usuarios se
autenticarn mediante su comparacin con la base de datos local configurada en
el punto de acceso. Es lo que se denomina funcin Local RADIUS Server.
Tambin puede hacer que otros puntos de acceso en la red utilicen la funcin
Local RADIUS Server en un punto de acceso.
Figura 57 Pgina Local RADIUS Server Statistics
Tabla 38 Descripcin de los parmetros de la pgina Local RADIUS Server Statistics

Parmetro Descripcin
Blocks Nmero de veces que se ha obviado una autenticacin porque un nombre de
usuario se ha bloqueado tras mltiples tentativas de autenticacin fallidas.
Failures Nmero de autenticaciones fallidas para este usuario, generalmente como
consecuencia de la introduccin de una contrasea incorrecta.
Network Access Server xx.xx.xx.xx Elija el servidor de acceso a la red que quiera ver. El servidor de acceso a la red es
el punto de acceso configurado para utilizar el servidor RADIUS local como
autenticador de seguridad.
Successes Nmero de autenticaciones correctas.
User Name Muestra el nombre de usuario del usuario activo.

Figura 58 Pgina Local RADIUS Server General Set-up
Tabla 39 Descripcin de los parmetros de la pgina Local RADIUS Server General Set-up
Parmetro Descripcin
Enable Authentication Protocols EAP FAST
LEAP
MAC
Network Access Server Current Network Access Servers
(AAA Clients) Network Access Server (IP Address)
Shared Secret
Individual Users Current Users
Username: Text or NT Hash
Password
Group name (nombre del grupo)
MAC Authentication Only
User Groups Current User Groups
Group name
Session Timeout (optional): 14294967295 s
Failed Authentications before Lockout (optional): 14294967295 s
Lockout (optional): Infinite or Interval 14294967295 s
VLAN ID (optional)
SSID (optional)

Figura 59 Pgina Local RADIUS Server EAP-Fast Set-up
SUGERENCIA Los ajustes predeterminados de la autenticacin EAP-FAST son adecuados para

la mayora de las redes LAN inalmbricas. No obstante, puede personalizar los
valores de tiempo de espera de las credenciales, el identificador de autoridad y
las claves de servidor de modo que se adapten a sus requisitos de red.
Tabla 40 Descripcin de los parmetros de la pgina Local RADIUS Server EAP-Fast Set-up
Parmetro Descripcin
PAC Encryption Keys Primary Key (optional): 32 Hex characters; Generate Random
Secondary Key (optional): 32 Hex characters; Copy from primary
PAC Content Authority Info (optional)
Authority ID (optional) 32 Hex characters
Automatic PAC Provisioning Current User Groups
(optional) PAC Expiration: 24095 days
PAC Grace Period: 24095 days
Out-of- PAC Generation TFTP File Server: server name or IP address
PAC File Name: path/filename
Recipient Username
PAC Encryption Password (optional)
PAC Expiration (optional): 14095 days

Opciones avanzadas de seguridad
Puede configurar el punto de acceso para que autentique los dispositivos cliente
mediante una combinacin de autenticacin EAP y basada en MAC; consulte
Pgina SSID Manager en la pgina 114. Cuando habilite esta funcin, los
dispositivos cliente que se asocien al punto de acceso mediante la autenticacin
abierta 802.11, primero lo intentarn con la autenticacin MAC.
Si la autenticacin MAC se lleva a cabo correctamente, el cliente se unir a
la red.
Si la autenticacin MAC falla, el punto de acceso esperar a que el
dispositivo cliente pruebe la autenticacin EAP.
Figura 60 Pgina MAC Address Authentication
Tabla 41 Descripcin de los parmetros de la pgina MAC Address Authentication

Parmetro Descripcin
MAC Addresses Authenticated by Local list only
Si quiere que la autenticacin se guarde en el punto de acceso, elija la opcin Local List Only e introduzca las direcciones
MAC.
Authentication Server Only
Si quiere que la autenticacin se guarde en el servidor, elija la opcin Authentication Server Only.
Authentication Server if not found in Local List
Elija la opcin Authentication Server if not found in Local List si quiere probar con la lista de autenticacin MAC primero y
despus probar automticamente con la lista del servidor de autenticacin. Si la autenticacin se lleva a cabo
correctamente, el cliente se unir a la red.
Local List if no response from Authentication Server
Tendr que seleccionar como mnimo una autenticacin MAC en la pgina Server Manager si selecciona Authentication
Server Only o Authentication Server if not found in Local List.
Local MAC Address List Local List
Las direcciones MAC aparecen en la lista local. Las direcciones MAC permanecern en el sistema de administracin hasta
que las elimine. Para eliminar la direccin MAC de la lista, seleccinela y haga clic en Delete.
New MAC Address: HHHH.HHHH.HHHH
Si necesita introducir una nueva direccin MAC, escrbala separando los tres grupos de cuatro caracteres con puntos, por
ejemplo: 40.9612.3456.
Para asegurarse de que el filtro funcione adecuadamente, escriba todas las letras de las direcciones MAC que introduzca
en minscula. Haga clic en Apply para introducir la direccin MAC en el sistema de administracin. Tambin deber
habilitar la autenticacin de direcciones MAC en la pgina SSID Manager. Puede navegar hasta la pgina Association para
verificar que los clientes preconfigurados se hayan asociado y autenticado.

Figura 61 Pgina Timers
Tabla 42 Descripcin de los parmetros de la pgina Timers

Parmetro Descripcin
Global Client Properties Client Holdoff Time
Disable Holdoff
Enable Holdoff with Interval: 165555 s
EAP or MAC Reauthentication Disable Reauthentication
Interval Enable Reauthentication with Interval: 165555 s
Enable Reauthentication with Interval given by Authentication Server
Radio0-802.11N2.4 GHz TKIP MIC Failure Holdoff Time
Authentication Disable Holdoff
Enable Holdoff with Interval: (165535 s)
Radio1-802.11N2.4 GHz TKIP MIC Failure Holdoff Time
Authentication Disable Holdoff
Enable Holdoff with Interval: (165535 s)
Descripcin de los parmetros de Filter client association with MAC address access list
la pgina Association Access List Define Filter: el enlace le llevar a MAC Address Filters en la pgina Services.

Figura 62 Pgina Associated Access List
Tabla 43 Descripcin de los parmetros de la pgina Association Access List

Parmetro Descripcin
Filter client association with MAC Seleccione un filtro.
address access list
Define Filter Este enlace le llevar a Service>Filter, donde podr configurar filtros.

Pgina Services El resumen proporciona una lista de los principales servicios habilitados o
inhabilitados en ese momento. Puede hacer clic en cualquiera de los enlaces para
ir a esa pgina y modificar la configuracin.
Figura 63 Pgina Services
Telnet/SSH
Figura 64 Pgina Telnet/SSH

Tabla 44 Descripcin de los parmetros de la pgina Telnet/SSH

Parmetro Descripcin
Telnet/SSH Telnet
Enable o Disable. Seleccione Enable para permitir a Telnet obtener acceso al sistema de
administracin.
Terminal Type
Teletype o ANSI. El ajuste preferido es ANSI, que ofrece funciones grficas como los
botones de vdeo inverso y los enlaces subrayados. No todos los simuladores de terminal
son compatibles con ANSI, por lo que el ajuste predeterminado es Teletype.
Columns
64132
Define el ancho de la visualizacin del simulador de terminal, que puede comprender
entre 64 y 132 caracteres. Ajuste el valor para obtener la visualizacin ptima para su
simulador de terminal.
Lines
0512
Define la altura de la visualizacin del simulador de terminal, que puede comprender
entre 16 y 50 caracteres. Ajuste el valor para obtener la visualizacin ptima para su
simulador de terminal.
Secure Shell Antes de que existiera el intrprete de rdenes seguro (SSH), la seguridad se limitaba a
Configuration Telnet. El SSH permite utilizar un cifrado ms robusto en la autenticacin del software
Cisco IOS.
Secure Shell
Enable o Disable
Seleccione Enable si desea habilitar la funcin del intrprete de rdenes seguro (SSH)
para proporcionar una conexin remota segura al punto de acceso mediante mecanismos
criptogrficos estndar.
System Name
Nombre del sistema anfitrin para su punto de acceso.
Domain Name
Dominio anfitrin para su punto de acceso. Necesario para generar claves para el SSH.
RSA Key Size (optional)
Tamao del par de clave RSA generado para el punto de acceso.
Authentication Timeout (optional): 1120 s
Tiempo que el punto de acceso espera a que el cliente responda durante la fase de
negociacin SSH.
Authentication Retries (optional): 05
Nmero de tentativas de negociacin SSH antes del reinicio de la interface.
Secure Shell Server Se trata del estado de las conexiones del servidor SSH.
Connections Connection
Nmero nico que identifica una sesin SSH.
Version
Nmero de versin del protocolo compatible con el cliente SSH.
Encryption
Tipo de cifrado que est utilizando el cliente SSH.
State
Progreso de la sesin SSH.
Username
Nombre de usuario para inicio de sesin que se ha autenticado para la sesin.

Pgina Hot Standby

Figura 65 Pgina Hot Standby
Tabla 45 Descripcin de los parmetros de la pgina Hot Standby

Parmetro Descripcin
Hot Standby Mode La habilitacin de la funcin de reserva designar este dispositivo como equipo de
respaldo de otro punto de acceso. El dispositivo de reserva se sita cerca del punto
de acceso al que supervisa y posee exactamente la misma configuracin que l.
El dispositivo de reserva interroga al punto de acceso con regularidad a travs de
Ethernet y la radio. Si el dispositivo supervisado no responde, el punto de acceso
de reserva se conectar y ocupar el puesto del dispositivo supervisado en la red.
Cuando se habilita la funcin de reserva, aparece un campo Standby Status.
Este campo muestra el estado actual del dispositivos de reserva y se actualiza
pulsando Refresh.
MAC Address for Monitored MAC Address for Monitored 802.11 b/g/n Radio: HHHH.HHHH.HHHH
Radio0-802.11N2.4 GHz Direccin MAC del dispositivo supervisado.
MAC Address for Monitored MAC Address for Monitored 802.11a/n Radio: HHHH.HHHH.HHHH
Radio1-802.11N5 GHz Direccin MAC del dispositivo supervisado.
Polling Interval (optional) Nmero de segundos entre cada consulta que el dispositivo de reserva enva al
punto de acceso supervisado.
Timeout for Each Polling Nmero de segundos durante los que el dispositivo de reserva debe esperar una
(optional) respuesta del punto de acceso supervisado antes de dar por hecho que este
presenta un fallo.
Shutdown Primary Radios on Seleccione Yes si desea configurar el punto de acceso de reserva de modo que
Failover enve un mensaje de protocolo de dispositivo no inteligente (Dumb Device
Protocol o DDP) al punto de acceso supervisado para inhabilitar sus radios cuando
la unidad de reserva se vuelva activa. Esta funcin impedir que los dispositivos
cliente asociados al punto de acceso supervisado sigan asociados a una unidad
que funciona incorrectamente.
ATENCIN: Los clientes asociados al punto de acceso de reserva perdern la

conexin durante el proceso de configuracin del modo de reserva.

Pgina CDP
El protocolo de descubrimiento de Cisco (CDP) es un protocolo de deteccin de

dispositivos que se ejecuta en todos los equipos de la red Cisco. Cada dispositivo
enva mensajes de identificacin a una direccin multidifusin y cada dispositivo
supervisa los mensajes enviados por los otros dispositivos. La informacin de los
paquetes CDP se utiliza en el software de gestin de la red. Utilice la pgina CDP
para configurar los ajustes CDP del dispositivo.
Figura 66 Pgina CDP
Tabla 46 Descripcin de los parmetros de la pgina CDP

Parmetro Descripcin
Cisco Discovery Protocol (CDP) Seleccione Disabled para inhabilitar el CDP en el dispositivo; seleccione Enabled para
habilitar el CDP en el dispositivo. El CDP est habilitado de manera predeterminada.
Packet Hold Time (optional) Nmero de segundos que otros dispositivos con tecnologa CDP tienen que
considerar la informacin CDP como vlida. Si otros dispositivos no reciben otro
paquete CDP procedente del dispositivo transcurrido este tiempo, probablemente se
deba a que este ha perdido la conexin. El valor predeterminado es 180. El tiempo
de espera del paquete debe ser siempre mayor que el valor del campo Packets Sent
Every.

Tabla 46 Descripcin de los parmetros de la pgina CDP (Continuacin)

Parmetro Descripcin
Packets Sent Every (optional) Nmero de segundos entre cada paquete CDP que enva el dispositivo. El valor
predeterminado es 60. Este valor tiene que ser inferior al del tiempo de espera del
paquete.
Individual Port Enable Ethernet
Cuando esta opcin est seleccionada, el dispositivo enva paquetes CDP a travs
de su puerto Ethernet y supervisa en Ethernet los paquetes CDP procedentes de
otros dispositivos.
Access point Radio Options
Cuando esta opcin est seleccionada, el dispositivo enva paquetes CDP a travs
de su puerto de radio interna y supervisa en la radio interna los paquetes CDP
procedentes de otros dispositivos.
Nota: existe un archivo MIB disponible para su uso con CDP. El nombre del archivo es
CISCO-CDP-MIB.my; puede descargar el MIB en http://www.cisco.com/public/mibs/
v1/CISCO-CDP-MIB-V1SMI.my.
CDP Neighbors Table Esta seccin muestra el tipo de dispositivo descubierto. Concretamente, muestra
estos valores.
Device ID
Identificador, direccin MAC o nmero de serie configurados del dispositivo.
Interface
Nmero y tipo de protocolo de la interface local que se est utilizando.
Hold time
Nmero de segundos restantes que el dispositivo actual retendr el anuncio CDP
procedente de un router transmisor antes de descartarlo.
Capability
Tipo de dispositivo segn figura en la tabla CDP Neighbors. Los posibles valores
incluyen R (router), T (puente transparente), B (puente enrutamiento fuente),
S (switch), H (anfitrin), I (dispositivo IGMP) o r (repetidor). Si hace clic en la
imagen de la calculadora, ver una ventana emergente con la leyenda de los
cdigos de funcin.
Platform
Nmero de producto del dispositivo.
Port ID
Nmero de puerto y protocolo del dispositivo.

Pgina DNS
En esta pgina decidir si quiere habilitar o inhabilitar el DNS (sistema de

nombres de dominio). El DNS es un servidor de nombres que permite la
conexin con un dispositivo sin conocer su direccin IP, pero al que se puede
obtener acceso con un nombre determinado. Por lo tanto, despus de asignar
un nombre al WAP y de designar el servidor DNS que utilizar, tendr que
comprobar que el servidor DNS posea un registro del WAP. Si desea ms
informacin sobre el uso de un DNS, consulte Habilitacin de HTTPS para la
navegacin segura en la pgina 67.
Figura 67 Pgina DNS
Tabla 47 Descripcin de los parmetros de la pgina DNS

Parmetro Descripcin
Domain Name System (DNS) Elija si desea habilitar o inhabilitar el DNS. Si habilita DNS, deber introducir como
mnimo un servidor de nombres de dominio.
Domain Name (optional) Si su red utiliza un sistema de nombre de dominio (DNS), introduzca el nombre del
dominio IP de su red. Su entrada puede tener un aspecto similar a este:
mycompany.com.
Name Server IP Addresses Introduzca las direcciones IP de hasta tres servidores de nombres de dominio de su
red.

Pgina Filters
Los filtros de protocolo impiden o permiten el uso de protocolos especficos a

travs de la interface. Puede configurar filtros de protocolo por separado o
conjuntos de filtros. Esta pgina bsica permite aplicar filtros de entrada y salida
a las interfaces Ethernet y 802.11b Radio. Los filtros deben crearse antes de su
aplicacin Los filtros de protocolo se denominan comnmente listas de control
de acceso (ACL).
Figura 68 Pgina Filters
Ninguno de los filtros que configure en las pginas MAC Address, IP Filters o
Ethertype Filters se aplicar hasta que lo habilite en la pgina Apply Filters.
Aplique los filtros con cuidado. Los filtros mal configurados pueden impedirle
el acceso al punto de acceso. Si esto ocurre, los mtodos de recuperacin consisten
en el acceso a travs del puerto de consola (si est disponible) o el restableci-
miento de la configuracin predeterminada del punto de acceso.
Tabla 48 Descripcin de los parmetros de la pgina Apply Filters
Parmetro Descripcin
Incoming En el men desplegable, seleccione el conjunto de filtros de protocolo que desee habilitar para
MAC, Ethertype e IP.
Outgoing En el men desplegable, seleccione el conjunto de filtros de protocolo que desee habilitar para
MAC, Ethertype e IP.
Si desea ms informacin sobre cmo restablecer la configuracin

predeterminada del WAP, consulte Restablecimiento de los ajustes
predeterminados del WAP en la pgina 53.

Pgina MAC Address Filters
Utilice esta pgina para permitir o impedir la transmisin de paquetes unidifu-

sin y multidifusin enviados desde o a direcciones MAC concretas. Puede crear
un filtro que transmita trfico a todas las direcciones MAC excepto a aquellas que
especifique o puede crear un filtro que bloquee el trfico a todas las direcciones
MAC, excepto a las que especifique. Puede aplicar los filtros que cree al puerto
Ethernet, al puerto de radio o a ambos, y a los paquetes entrantes, los paquetes
salientes o a ambos.
Figura 69 Pgina MAC Address Filters
Tabla 49 Descripcin de los parmetros de la pgina MAC Address Filters

Parmetro Descripcin
Create/Edit Filter Index Si est creando un nuevo filtro de direccin MAC, asegrese de que selecciona
<NEW>, el valor predeterminado.
Filter Index Nombre el filtro con un nmero entre 700 y 799. El nmero que asigne crear una
lista de control de acceso (ACL) para el filtro.
Add MAC Address Introduzca una direccin MAC de destino con los tres grupos de cuatro caracteres
separados por puntos; por ejemplo, 0040.9612.3456.
Para asegurarse de que el filtro funcione adecuadamente, escriba todas las letras
de las direcciones MAC que introduzca en minscula.
Si planea bloquear el trfico hacia todas las direcciones MAC, excepto a aquellas
que especifique como permitidas, incluya su direccin MAC en la lista de
direcciones MAC permitidas.
Mask Introduzca la mscara para la direccin MAC. Introduzca la mscara con los cuatro
grupos de tres caracteres separados por puntos; por ejemplo, 112.334.556.778.
El mtodo de introduccin de la mscara depender de la versin.
Si introduce 255.255.255.255 como mscara, el punto de acceso aceptar cualquier
direccin IP. Si introduce 0.0.0.0, el punto de acceso buscar una coincidencia
exacta con la direccin IP que haya introducido en el campo IP Address. La mscara
que introduzca en este campo se comportar del mismo modo que lo hara si la
introdujese en la CLI.

Tabla 49 Descripcin de los parmetros de la pgina MAC Address Filters (Continuacin)

Parmetro Descripcin
Accin Seleccione Forward o Block. Haga clic en Add. La direccin MAC aparece en el
campo Filters Classes.
Default Action Los paquetes que no coincidan con ninguna de las clases de filtro se gestionarn en
funcin de la accin predeterminada.
Seleccione Forward All o Block All. La accin predeterminada del filtro debe ser
contraria a la accin de al menos una de las direcciones de este. Por ejemplo, si
introduce varias direcciones y selecciona Block como accin para todas ellas, deber
elegir Forward All como accin predeterminada del filtro.
Cuando haga clic en Apply, el filtro se guardar en el punto de acceso, pero no se
habilitar hasta que lo aplique en la pgina Apply Filters.
Filters Classes Para eliminar la direccin MAC de la lista de clases de filtros, seleccinela y haga clic
en Delete Class.

Pgina IP Filters
Utilice esta pgina para crear o editar filtros de protocolo. Los filtros IP impiden
o permiten el uso de direcciones IP, protocolos IP y puertos TCP/UDP a travs
de los puertos Ethernet y de radio del punto de acceso. Puede crear un filtro que
transmita trfico a todas las direcciones MAC, a excepcin de las que especifique,
o puede crear un filtro que bloquee el trfico a todas las direcciones MAC, a
excepcin de las que especifique. Puede crear filtros que contengan elementos
de uno, dos o los tres mtodos de filtrado IP. Puede aplicar los filtros que cree al
puerto Ethernet, al puerto de radio o a ambos, y a los paquetes entrantes, los
paquetes salientes o a ambos.
Figura 70 Pgina IP Filters
Tabla 50 Descripcin de los parmetros de la pgina IP Filters

Parmetro Descripcin
Create/Edit Filter Name Si est creando un nuevo filtro, compruebe que <NEW>, el valor predeterminado,
est seleccionado en el men desplegable Create/Edit Filter.
Para editar un filtro existente, seleccione el nombre de este en el men
desplegable Create/Edit Filter.
IP Protocol IPv4
IPV6
Filter Name Introduzca un nombre descriptivo para el nuevo filtro.

Tabla 50 Descripcin de los parmetros de la pgina IP Filters (Continuacin)

Parmetro Descripcin
Default Action Los paquetes que no coinciden con ninguna de las clases de filtro se gestionan en
funcin de la accin predeterminada.
Elija entre Forward All o Block All como accin predeterminada del filtro. La accin
predeterminada del filtro debe ser contraria a la accin de al menos una de las
direcciones de este.
Por ejemplo, si crea un filtro que contiene una direccin IP, un protocolo IP y un
puerto TCP/UDP y selecciona Block como accin para todos ellos, deber elegir
Forward All como accin predeterminada del filtro.
Destination Address Identifique la direccin IP de destino que quiera filtrar.
Si planea bloquear el trfico hacia todas las direcciones IP, excepto a aquellas que
configure como permitidas, incluya la direccin de su propio ordenador en la lista
de direcciones permitidas para no perder la conectividad con el punto de acceso.
Source Address Identifique la direccin IP de origen que quiera filtrar.
Si planea bloquear el trfico hacia todas las direcciones IP, excepto a aquellas que
configure como permitidas, incluya la direccin de su propio ordenador en la lista
de direcciones permitidas para no perder la conectividad con el punto de acceso.
Mask Introduzca la mscara para la direccin IP de destino. Introduzca la mscara con los
tres grupos de cuatro caracteres separados por puntos; por ejemplo,
112.334.556.778.
Si introduce 255.255.255.255 como mscara, el punto de acceso aceptar
cualquier direccin IP.
Si introduce 0.0.0.0, el punto de acceso buscar una coincidencia exacta con la
direccin IP que haya introducido en el campo IP Address.
La mscara que introduzca en este campo se comportar del mismo modo que lo
hara si la introdujese en la CLI.
IP Protocol Permite filtrar un protocolo IP. Seleccione uno de los protocolos comunes en el
men desplegable o haga clic en Custom e introduzca el nmero de una ACL
existente en el campo Custom.
Introduzca un nmero de ACL entre 0 y 255.
TCP Port Permite filtrar un protocolo TCP. Seleccione uno de los protocolos de puerto
comunes en el men desplegable o seleccione el botn Custom e introduzca el
nmero de un protocolo existente en uno de los campos Custom.
Introduzca un nmero de protocolo entre 0 y 65535.
UDP Port Permite filtrar un protocolo UDP. Seleccione uno de los protocolos de puerto
comunes o marque el botn Custom e introduzca el nmero de un protocolo
existente en uno de los campos Custom.
Introduzca un nmero de protocolo entre 0 y 65535.
Filters Classes Los protocolos aparecen en esta parte de la pgina.
Para eliminar el protocolo de la lista Filters Classes, seleccinelo y haga clic en
Delete Class.

Pgina Ethertype Filters
Los filtros Ethertype impiden o permiten el uso de protocolos L3 especficos a

travs de los puertos Ethernet y de radio del punto de acceso. Puede aplicar los
filtros que cree al puerto Ethernet, al puerto de radio o a ambos, y a los paquetes
entrantes, los paquetes salientes o a ambos.
Figura 71 Pgina Ethertype Filters
Tabla 51 Descripcin de los parmetros de la pgina Ethertype Filters

Parmetro Descripcin
Create/Edit Filter Index Si est creando un nuevo filtro, compruebe que <NEW>, el valor predeterminado, est
seleccionado en el men Create/Edit Filter Index.
Para editar un filtro existente, seleccione su nmero en el men Create/Edit Filter Index.
Filter Index Nombre el filtro con un nmero entre 200 y 299.
El nmero que asigne crear una lista de control de acceso (ACL) para el filtro.
Add Ethertype Permite identificar el nmero Ethertype e introducir la mscara para Ethertype.
Default Action Los paquetes que no coincidan con ninguna de las clases de filtro se gestionarn en funcin
de la accin predeterminada. Puede seleccionar Forward All o Block All.
La accin predeterminada del filtro debe ser contraria a la accin de al menos uno de los
Ethertypes de este.
Por ejemplo, si introduce varios Ethertypes y selecciona Block All como accin para todos
ellos, deber elegir Forward All como accin predeterminada del filtro.
Filters Classes Muestra la lista actual de filtros que estn configurados.

Pgina HTTP
Utilice la pgina Web Server para habilitar la navegacin web por los archivos del
sistema de administracin e introduzca los ajustes de un sistema web a medida
para la administracin.
Figura 72 Pgina HTTP
Tabla 52 Descripcin de los parmetros de la pgina HTTP

Parmetro Descripcin
Web-based Configuration Marque la opcin Enable Standard (HTTP) Browsing para permitir la navegacin no
Management segura del sistema de administracin.
Marque la opcin Enable Secure (HTTP) Browsing para permitir la navegacin segura
(SSL) del sistema de administracin.
Se desaconseja seleccionar ambas. Seleccione Disable Web-based Management
para impedir la navegacin del sistema de administracin. En este modo, nicamente
se puede obtener acceso al punto de acceso a travs de la consola y las interfaces
Telnet/SSH.
Cuando se habilita HTTPS por primera vez, se genera y guarda un certificado
autofirmado en el punto de acceso. El certificado se basa en su nombre del sistema y
nombre de dominio actuales.
El certificado se presentar al navegador en cada acceso posterior para el
establecimiento de una conexin SSI. El certificado se puede instalar en su navegador
o se puede aprobar en cada acceso.
Se mostrar un aviso en los navegadores si el nombre de dominio y el dominio del
certificado no coinciden con los de la URL. Para evitar este aviso, el nombre del sistema
y el nombre de dominio deben coincidir con el nombre de dominio completo en lugar
de una direccin IP durante la navegacin por el punto de acceso.
Seleccione la opcin Delete Existing SSL Certificate si se han modificado el nombre del
sistema o el nombre de dominio. Esto generar un nuevo certificado.
System Name (or Host Name) Nombre del sistema que aparece en los ttulos de las pginas del sistema de
administracin y en la pgina Association y que ayuda a identificar el dispositivo en la
red. El nombre del sistema se guarda en el certificado autofirmado que se utiliza para
establecer una conexin de navegador segura.
Domain Name Nombre del dominio IP de su red (como mycompany.com). El nombre de dominio se
guarda en el certificado autofirmado que se utiliza para establecer una conexin de
navegador segura.

Tabla 52 Descripcin de los parmetros de la pgina HTTP (Continuacin)

Parmetro Descripcin
HTTP Port Este ajuste determina el puerto al que su dispositivo proporcionar acceso web no
seguro. Utilice el ajuste de puerto indicado por su administrador del sistema. El valor
predeterminado es 80.
HTTPS Port Este ajuste determina el puerto al que su dispositivo proporcionar acceso web seguro
(SSL). Utilice el ajuste de puerto indicado por su administrador del sistema. El valor
predeterminado es 443.
Target Help URL Muestra la URL de archivos de ayuda completa, incluido el nmero de versin y el
nmero de modelo anexos.

Pgina QoS Policies
Esta pgina permite configurar la calidad de servicio (QoS) en su punto de acceso.

Con esta opcin, puede dar un trato preferente a un determinado trfico. Sin
QoS, el punto de acceso ofrece un servicio de mejor esfuerzo a cada paquete, con
independencia de su contenido o tamao. Enva los paquetes sin ninguna garanta
de confiabilidad, lmites de retraso o rendimiento efectivo.
Figura 73 Pgina QoS Policy
Tabla 53 Descripcin de los parmetros de la pgina QoS Policies

Parmetro Descripcin
Create/Edit Policies Si est introduciendo una nueva poltica, compruebe que <NEW>, el valor
predeterminado, est seleccionado en el men Create/Edit Policy. Para editar una
poltica existente, seleccione el nombre de esta en el men Create/Edit Policy. Las
opciones actuales son WMM o Spectralink y es preciso cumplimentar una de ellas
en el campo Policy Name.
Policy Name Introduzca el nombre de una poltica que se asignar a una interface de entrada o
salida. Si elige una poltica existente en el campo Create/Edit Policy, el nombre de
esta se cumplimentar automticamente.
Classifications La clasificacin es el proceso de distincin de un tipo de trfico de otros mediante
el examen de los campos en el paquete. Se indicarn la clasificaciones que se
puedan elegir para el nombre de poltica especificado. Especifique los campos de
la trama o paquete que quiera utilizar para clasificar el trfico de entrada.
Match Classifications Especifique criterios para la clasificacin del trfico como la prioridad de IP, DSCP y
filtros.
IP Precedence En RFC791 se definen ocho valores de prioridad de IP. Seleccione cualquiera de
ellos como criterio de coincidencia.

Tabla 53 Descripcin de los parmetros de la pgina QoS Policies (Continuacin)

Parmetro Descripcin
IP DSCP IP DSCP (Differentiated Service Code Point, punto de cdigo de servicios
diferenciados) se define en RFC2474. Seleccione los valores IP DSCP como criterios
de coincidencia.
IP Protocol 119 Este protocolo se aplica para la coincidencia con el protocolo de voz SpectraLink.
Apply Class of Services Determina la clase de servicio que aplicar el punto de acceso a los paquetes que
coincidan con el filtro que haya seleccionado en el men Filter. Haga clic en Add
junto al men desplegable Class of Service.
Filtro Si tiene filtros configurados, podr asignar una prioridad a los paquetes que
coincidan con el filtro seleccionado.
En el men desplegable Filter, seleccione el filtro que quiera incluir en la poltica.
Por ejemplo, podra asignar una prioridad elevada a un filtro de direccin MAC que
incluya las direcciones MAC de los telfonos IP.
El enlace Define Filters le llevar a Services>Filters, donde podr configurar filtros.
Nota: la lista de acceso que utilice en QoS no afectar a las decisiones de envo de
paquetes del punto de acceso.
Rate Limiting Bits per Sec: 80002000000000
Burst Rate (Bytes): 1000512000000
Confirm Action: Transmit
Exceed Action: Drop
Apply Policies to Interface/VLANs Una vez que haya creado y aplicado polticas QoS, podr asignarlas al trfico
entrante o saliente de cualquiera de las dos interfaces.
Incoming Utilice el men desplegable para elegir la poltica que quiera asignar al trfico
entrante a las interfaces de radio GigabitEthernet y 802.11.
Outgoing Utilice el men desplegable para elegir la poltica que quiera asignar al trfico
saliente de las interfaces de radio GigabitEthernet y 802.11.

Pgina QoS: Radio
Esta pgina permite definir los parmetros de acceso mltiple por deteccin de
portadora (Carrier Sense Multiple Access o CSMA) para cada categora de acceso
de trfico. Estos parmetros influyen en el modo en el que los paquetes se
entregan para distintas clases de servicio.
Consulte Pgina QoS Policies en la pgina 147 para determinar el nivel de

servicio que quiera.
Estos parmetros deben modificarse con cuidado, ya que influyen en el com-

portamiento de la radio. Para restablecer los valores predeterminados, consulte
Restablecimiento de los ajustes predeterminados del WAP en la pgina 53.
Tabla 54 Descripcin de los parmetros de la pgina Access Category Definition

Parmetro Descripcin
Min Contention Para cada categora de acceso, introduzca el valor del intervalo de contencin
mnimo. Dar prioridad al acceso al canal mediante la asignacin de valores del
intervalo de contencin ms pequeos a una clase de trfico con una prioridad
superior. Si un canal est ocupado o una transmisin colisiona, un nodo elegir un
nmero aleatorio entre 0 y el intervalo de contencin mnimo actual.
Max Contention Para cada categora de acceso, introduzca el valor del intervalo de contencin
mximo. El valor del intervalo de contencin mnimo se duplicar cada vez que se
produzca una colisin hasta que se alcance el mximo. Un valor de intervalo de
contencin pequeo reducir la demora en el acceso pero incrementar la
probabilidad de una colisin.
Fixed Slot Time Para cada categora de acceso, introduzca el tiempo de ranura fijo. Puede dar
prioridad estricta al acceso al canal mediante la asignacin de valores del tiempo
de ranura fijo ms pequeos a una clase de trfico con una prioridad superior.
El trfico en la categora de acceso deber esperar este nmero de ranuras fijo
despus de cada paquete recibido antes de reanudar su tiempo de retroceso
aleatorio.

Tabla 54 Descripcin de los parmetros de la pgina Access Category Definition (Continuacin)

Parmetro Descripcin
Transmit Opportunity Introduzca el nmero de microsegundos durante los que los transmisores
cualificados podrn transmitir a travs del procedimiento de retroceso normal con
un conjunto de paquetes pendientes.
Unos valores ms elevados permitirn a un cliente controlar el canal durante
periodos de tiempo ms prolongados, permitindole lograr un rendimiento
efectivo ms alto en esta categora de acceso a costa de unos tiempos de acceso
ms prolongados para todas las categoras.
Admission Control Las casillas Admission Control controlan el uso por parte del cliente de las
categoras de acceso. Si habilita el control de admisin para una categora de
acceso, los clientes de servicios visuales y de voz asociados al punto de acceso
debern completar el procedimiento de control de admisin WMM para poder
utilizar esa categora de acceso.
Optimized Voice Si hace clic en este botn, se efectuarn estos cambios.
Los valores de Access Category Definition se modificarn para los servicios de
voz optimizados.
La gestin de paquetes para las prioridades de usuario 5 y 6 cambiar a baja
latencia.
Consulte Services>Stream>Packet Handlings per User Priority.
La respuesta de sonda gratuita (Gratuitous Probe Response o GPR) se habilitar
en esta radio.
Consulte Network Interfaces>Radio1-802.11A>Setting.
WFA Default Haga clic en este botn para que los campos antes sealados recuperen los valores
predeterminados.
Admission Control for Video and Video (CoS 4-5): Enables Admission Control
Voice Voice (CoS 6-7): Enables Admission Control
Max Channel Capacity (%) La capacidad de canal mxima predeterminada es del 75%; el intervalo admitido
comprende entre 0 y 100%. Si el canal no tiene llamadas, configure este
parmetro como 0%. De lo contrario, determine qu porcentaje de las llamadas de
voz puede ocupar el canal.
Roam Channel Capacity (%) La capacidad de canal de itinerancia predeterminada es del 6%; el intervalo
admitido comprende entre 0 y 100%. Determine el porcentaje de llamadas que
pueden itinerar a la celda o al canal en otra celda.
Figura 74 Pgina QOS Advanced

Tabla 55 Descripcin de los parmetros de la pgina QoS Policies Advanced

Parmetro Descripcin
IP Phone Si habilita esta caracterstica, se crearn clasificadores de voz dinmicos para
QoS Element for Wireless Phones algunos de los clientes de los proveedores de telfonos inalmbricos, asignando la
prioridad ms alta a todos los paquetes de voz. De manera adicional, el conjunto
de servicios bsicos QoS (QoS Basic Service Set o QBSS) se habilita para anunciar la
informacin de carga del canal en la baliza y en las tramas de respuesta de sonda.
Algunos telfonos IP utilizan elementos QBSS para determinar a qu punto de
acceso se asociarn en funcin de la carga de trfico.
Dot11e Haga clic en Dot11e para utilizar la versin ms reciente del elemento informativo
de carga QBSS. Si no hace clic en Dot11e, se utilizar la versin anterior.
IGMP Snooping Cuando el snooping del protocolo de administracin de grupos de internet (IGMP)
Snooping Helper est habilitado en un switch y un cliente itinera de un punto de acceso a otro, se
pierde la sesin multidifusin del cliente. Si el asistente de snooping IGMP del
punto de acceso est habilitado, el segundo enviar una consulta IGMP general a
la infraestructura de red en nombre del cliente cada vez que este se asocie o
reasocie al punto de acceso. De este modo, el flujo multidifusin se mantendr
para el cliente mientras itinere.
El asistente de snooping est habilitado de manera predeterminada. Para
inhabilitarlo, haga clic en Disable y despus en Apply.
AVVID Priority Mapping Map Ethernet Packets with CoS 5 to CoS 6
Si su red se basa en la especificacin Cisco AVVID, haga clic en Yes. Esta asignacin
dar prioridad a los paquetes de voz que incluyan una prioridad 5 (vdeo).
WiFi MultiMedia (WMM) Enable on Radio Interfaces
Wi-Fi Multimedia (WMM) es un componente del estndar de LAN inalmbrica
IEEE 802.11e para la calidad de servicio (QoS). Admite concretamente las colas y
etiquetas de prioridad.
Cuando se habilita QoS, el punto de acceso utiliza el modo WMM de manera
predeterminada. Elimine la seleccin de la casilla Enable on Radio Interfaces o
inhabilite WMM en una interface de radio concreta.

Pgina Stream
La pgina Stream permite configurar la prioridad de los usuarios para los servicios
de flujo e incrementar o reducir las velocidades de datos.
Figura 75 Pgina Stream
Tabla 56 Descripcin de los parmetros de la pgina Stream

Parmetro Descripcin
Packet Handling per User Priority Seleccione la prioridad de los usuarios para la utilizacin de los servicios de flujo.
En cada prioridad del usuario enumerada, utilice el men desplegable para elegir
Reliable o Low Latency para el descriptor de manipulacin del paquete. Despus
determine el primer nmero mximo de tentativas para el descarte de un
paquete.
Low Latency Packet Rates Las velocidades de paquete de baja latencia amplan la zona de cobertura porque
reducen las velocidades de datos e incrementan la capacidad de llamada
mediante el aumento de las velocidades de datos para las prioridades de usuario
designadas.

Pgina SNMP
SNMP es un protocolo de capa de aplicacin compatible con la comunicacin

orientada a los mensajes entre los agentes y las estaciones de gestin SNMP.
Esta pgina configura el punto de acceso para que funcione con la estacin del
protocolo simple de administracin de redes (SNMP) de su administrador de
red.
Adems de habilitar SNMP, deber introducir una comunidad SNMP. La cadena

de la comunidad SNMP se utiliza como un nombre de usuario para los servicios
de autenticacin, privacidad y autorizacin dentro del SNMP. Cuando
introduzca un nombre de comunidad SNMP en la pgina Express Setup, dicha
comunidad se asociar mediante funciones de solo lectura o lectura/escritura.
Figura 76 Pgina SNMP
Tabla 57 Descripcin de los parmetros de la pgina SNMP

Parmetro Descripcin
Simple Network Es preciso habilitar este ajuste para utilizar SNMP con el dispositivo. Adems de
Management Protocol habilitar SNMP, deber introducir una cadena de comunidad SNMP.
(SNMP)
System Description Tipo de dispositivo y versin actual del firmware del sistema como se indica en la parte
inferior de la pgina.
System Name (optional) Nombre del dispositivo. El nombre de este campo se notificar a su estacin de
administracin SNMP como el nombre del dispositivo cuando utilice SNMP para
comunicarse con l.
System Location (optional) Ubicacin fsica del dispositivo, como el nombre de un edificio o una sala.
System Contact (optional) Nombre del administrador del sistema responsable del dispositivo.
SNMP Request Communities Esta seccin no se habilitar hasta que seleccione Enabled en el campo Simple Network
Management Protocol (SNMP) de la parte superior de la pgina y haga clic en Apply.

Tabla 57 Descripcin de los parmetros de la pgina SNMP (Continuacin)

Parmetro Descripcin
Current Community String Si quiere aadir una nueva cadena de comunidad, compruebe que la opcin <NEW>
(valor predeterminado) est resaltada en la lista. Las cadenas de comunidad SNMP
autentican el acceso a los objetos MIB y funcionan como contraseas integradas.
Se mostrarn las cadenas de comunidad definidas en ese momento. Puede resaltar
cualquier cadena que quiera eliminar y hacer clic en Delete.
New/Edit Community Strings SNMP Community
Una vez que haya elegido una cadena de comunidad para su edicin en la lista
Current Community Strings, aparecer el valor SNMP Community de esa cadena
concreta. Las cadenas de comunidad SNMP autentican el acceso a los objetos MIB y
funcionan como contraseas integradas.
Object Identifier
Una vez que haya elegido una cadena de comunidad para su edicin en la lista
Current Community Strings, aparecer el valor Object Identifier de esa cadena
concreta o puede introducir un nuevo identificador del objeto para ella. El
identificador del objeto es opcional y limita el mbito del objeto MIB SNMP al que
el usuario puede obtener acceso a travs de la cadena de comunidad.
Read-only/Read-Write La opcin Read-only proporciona a las estaciones de administracin autorizadas acceso
para lectura a todos los objetos, excepto las cadenas de comunidad, aunque no permite
la escritura. La opcin Read/Write proporciona a las estaciones de administracin
autorizadas acceso para lectura y escritura a todos los objetos de la MIB, aunque no
permite acceso a la cadena de comunidad.
Figura 77 Interrupcin SNMP
Tabla 58 Descripcin de los parmetros de la pgina SNMP Trap Community

Parmetro Descripcin
SNMP Trap Community Esta seccin no se habilitar hasta que seleccione Enabled en el campo Simple Network
Management Protocol (SNMP) de la parte superior de la pgina y haga clic en Apply.
SNMP Trap Destination Direccin IP de la estacin de administracin SNMP. Si su red utiliza DNS, introduzca un
nombre de anfitrin que se convierta en una direccin IP.

Tabla 58 Descripcin de los parmetros de la pgina SNMP Trap Community (Continuacin)

Parmetro Descripcin
SNMP Trap Community La cadena de comunidad SNMP identifica al emisor en el destino de la interrupcin. El
destino de la interrupcin necesita esta cadena para poder registrar las interrupciones
enviadas por el dispositivo.
Enable All Trap Notifications Seleccione esta opcin para habilitar todas las notificaciones disponibles en el punto
de acceso.
Enable Specific Traps Seleccione esta opcin para especificar las notificaciones que deban enviarse.
802.11 Event Traps
Habilita interrupciones de fallo de la autenticacin del cliente, desautenticacin del
cliente y desasociacin del cliente.
Encryption Key Trap
Habilita interrupciones sobre cualquier cambio en los ajustes de la clave de cifrado
WEP.
QoS Change Trap
Habilita interrupciones sobre cualquier cambio realizado en las 8 definiciones de la
clase de trfico.
Syslog Trap
Habilita el envo de interrupciones cuando se producen registros de eventos con un
determinado nivel de gravedad (establecidos en la pgina Event Log Configuration).
Standby Switchover Trap
Habilita el envo de interrupciones cuando un punto de acceso en el modo de
reserva pasa al modo activo.
Rogue AP Trap
Habilita el envo de interrupciones cuando un cliente de radio informa de un punto
de acceso malicioso.

Pgina SNTP
El protocolo simple de tiempo de red es una adaptacin del protocolo de tiempo

de red (NTP) que se utiliza para sincronizar los relojes de los ordenadores en
internet. En esta pgina, puede configurar los parmetros NTP.
Figura 78 Pgina SNTP
Tabla 59 Descripcin de los parmetros de la pgina SNTP

Parmetro Descripcin
Simple Network Time Seleccione Enable si su red utiliza SNTP. Si desea desactivar SNTP, seleccione Disable.
Protocol (SNTP) Cuando SNTP est habilitado, aparece el campo SNTP Status. Este campo indica si SNTP
est sincronizado o no. Haga clic en Refresh para actualizar este estado.
Time Server (optional) Si su red tiene un servidor de hora predeterminado, introduzca la direccin IP o el
nombre de anfitrin de este.
Time Settings GMT Offset
El men desplegable GMT Offset enumera las zonas horarias del mundo con respecto
a la hora media de Greenwich (Greenwich Mean Time o GMT). Seleccione la zona
horaria donde opere el punto de acceso.
Use Daylight Savings Time (United States Only)
Seleccione yes para que el punto de acceso ajuste automticamente el horario de
ahorro de luz diurna.
Manually Set Date
Introduzca la fecha actual para anular el servidor de hora o para configurar la fecha si
no hay ningn servidor disponible. Cuando introduzca la fecha, utilice barras para
separar el ao, el mes y el da. Por ejemplo, puede introducir 2001/02/17 para el 17 de
febrero de 2001.
Manually Set Time
Introduzca la hora actual para anular el servidor de hora o para configurar la hora si
no hay ningn servidor disponible. Cuando introduzca la hora, utilice dos puntos para
separar las horas, minutos y segundos. Por ejemplo, puede introducir 18:25:00 para
las 6:25 pm.

Pgina VLAN
Una VLAN es una red conmutada que se segmenta lgicamente por funciones,
equipos de proyecto o aplicaciones en lugar de en funcin de criterios fsicos o
geogrficos. Por ejemplo, todas las estaciones de trabajo y servidores utilizados
por un equipo de grupo de trabajo concreto se pueden conectar a la misma
VLAN con independencia de sus conexiones fsicas a la red o del hecho de que se
puedan combinar con otros equipos. Puede utilizar software para reconfigurar la
red en lugar de desconectar y desplazar fsicamente los dispositivos o cables.
Una VLAN puede considerarse un dominio de difusin que existe dentro de un

conjunto de switches definido. Una VLAN consta de una serie de sistemas finales,
que pueden ser anfitriones o equipos de red (como puentes y routers), conectados
mediante un nico dominio de conexin en puente. El dominio de conexin en
puente es compatible con varios componentes de los equipos de red, como los
switches LAN que utilizan protocolos de conexin en puente entre s con un
grupo distinto para cada VLAN.
Los componentes inalmbricos bsicos de una VLAN constan de un punto de

acceso y de un cliente asociado a l a travs de la tecnologa inalmbrica. Bsica-
mente, la clave para configurar un punto de acceso de modo que se conecte a una
VLAN concreta radica en la configuracin de su SSID para que reconozca dicha
VLAN. Dado que las redes VLAN se identifican a travs de un identificador de
VLAN, si el SSID de un punto de acceso se configura para reconocer un identifi-
cador de VLAN concreto, se establecer una conexin con la red VLAN. Una vez
establecida esta conexin, los dispositivos cliente inalmbricos asociados con el
mismo SSID podrn obtener acceso a la VLAN a travs del punto de acceso. La
VLAN procesa datos entrantes y salientes de los clientes del mismo modo que
procesa datos entrantes y salientes de las conexiones por cable.
Figura 79 Pgina VLAN

Tabla 60 Descripcin de los parmetros de la pgina VLAN

Parmetro Descripcin
Global VLAN Properties La opcin Current Native VLAN designa la VLAN nativa. Marque la casilla debajo
del campo VLAN ID que indica Native VLAN.
Assigned VLANs Current VLAN List
Si elige una VLAN de esta lista, se mostrarn su identificador y SSID. Puede hacer
clic en Delete para borrar la VLAN o en Define SSIDs para ir a la pgina SSID
Manager.
Create VLAN Si est aadiendo una VLAN, utilice esta seccin para crear la VLAN y asignarle el
SSID.
VLAN ID Especifica el nmero de identificacin Ethernet LAN virtual vinculado al SSID.
Puede asignar un nombre a una VLAN adems de su identificador numrico.
VLAN Name (optional) Puede asignar un nombre a una VLAN al margen de su identificador numrico. Los
nombres de VLAN pueden incluir hasta 32 caracteres ASCII. El punto de acceso
almacena cada par de identificador y nombre de VLAN en una tabla.
Native VLAN VLAN sin etiquetar en un puerto de conmutacin con concentracin de enlaces
802.1q.
Public Secure Packet Forwarding El reenvo pblico seguro de paquetes impide la comunicacin entre clientes
asociados al mismo punto de acceso.
Radio0-802.11N 2.4 GHz Habilita la VLAN en la interface de la radio de 2.4 GHz.
Radio1-802.11N 5 GHz Habilita la VLAN en la interface de la radio de 5 GHz.
VLAN Information Utilice el men desplegable para ver la lista de las VLAN creadas. Si resalta una
VLAN en la lista, ver los valores de los paquetes Ethernet recibidos y transmitidos
y de los paquetes de radio recibidos y transmitidos.

Pgina ARP Caching
La cach ARP en el punto de acceso reduce el trfico en su LAN inalmbrica

porque detiene las solicitudes de ARP para los dispositivos cliente en l. En lugar
de enviar las solicitudes ARP a los dispositivos cliente, el punto de acceso
responde a las solicitudes en nombre de los dispositivos cliente asociados.
Cuando la cach ARP est inhabilitada, el punto de acceso enva todas las
solicitudes ARP a travs del puerto de radio a los clientes asociados y el cliente al
que se dirige la solicitud ARP responde. Cuando la cach ARP est habilitada, el
punto de acceso responde a las solicitudes ARP para los clientes asociados y no
enva solicitudes a clientes. Cuando el punto de acceso recibe una solicitud ARP
para una direccin IP que no se encuentra en la cach, deja que se pierda y no la
enva.
Figura 80 Pgina ARP Caching
Tabla 61 Descripcin de los parmetros de la pgina ARP Caching

Parmetro Descripcin
Client ARP Caching Haga clic en el botn apropiado para habilitar o inhabilitar la cach ARP de
clientes.
Forward ARP Requests to Radio Si un dispositivo cliente distinto de Cisco est asociado a un punto de acceso y no
Interfaces When Not All Client IP est transmitiendo datos, el segundo no conocer la direccin IP del cliente. Si esta
Addresses Are Known situacin se da con frecuencia en su LAN inalmbrica, puede habilitar esta casilla.
En tal caso, el punto de acceso responder en nombre de los clientes con
direcciones IP conocidas para l pero enviar desde su puerto de radio cualquier
solicitud ARP dirigida a clientes desconocidos. Cuando el punto de acceso aprenda
las direcciones IP de todos los clientes asociados, dejar que se pierdan las
solicitudes ARP que no se dirijan a sus clientes asociados.

Pgina Band Select
La seleccin de banda permite trasladar el funcionamiento de las radios cliente

de doble banda (2.4 y 5 GHz) a la banda de 5 GHz, menos congestionada, en el
punto de acceso. La banda de 2.4 GHz suele estar congestionada. Los clientes
en esta banda normalmente perciben interferencias de dispositivos bluetooth,
hornos microondas y telfonos inalmbricos, as como interferencias de cocanal
de otros puntos de acceso como consecuencia del lmite de 802.11b/g de tres
canales que no se solapen. Para luchar contra estas fuentes de interferencias y
mejorar el rendimiento de la red global, puede configurar la seleccin de banda en
el punto de acceso.
La seleccin de banda funciona regulando las respuestas de sonda a clientes. Hace

los canales de 5 GHz ms atractivos para los clientes porque demora las respuestas
de sonda a clientes en canales de 2.4 GHz.
Puede habilitar la seleccin de banda a escala global y para un SSID concreto.

Esto resulta til cuando se quiere inhabilitarla para un grupo de clientes especfico
(como los clientes de servicios de voz sensibles al tiempo).
IMPORTANTE Modifique estos ajustes nicamente si es un ingeniero de redes cualificado.
Figura 81 Pgina Band Select
Tabla 62 Descripcin de los parmetros de la pgina Band Select

Parmetro Descripcin
Seleccin de banda Habilitar/inhabilitar
Client-Rssi 2090
El RSSI es un indicador de la fuerza de la seal recibida. Indica la fuerza de la seal
en dBm de un cliente inalmbrico.
Cycle-Count 110
El recuento de ciclos establece el nmero de ciclos de supresin de un nuevo
cliente. El recuento de ciclos predeterminado es 2.

Tabla 62 Descripcin de los parmetros de la pgina Band Select (Continuacin)

Parmetro Descripcin
Cycle-Threshold Entre 1 y 1000 ms
Expire-Dual-Band Entre 10 y 300 s

Configura el tiempo de expiracin para la poda de los clientes de doble banda
previamente conocidos. El valor predeterminado es 60 segundos. Una vez
transcurrido este tiempo, los clientes pasan a ser nuevos y estn sujetos a la
supresin de la respuesta de sonda.
Expire-Suppression Entre 10 y 2000 s
Configura el tiempo de expiracin para la poda de los clientes 802.11b/g
previamente conocidos. El valor predeterminado es 20 segundos. Una vez
transcurrido este tiempo, los clientes pasan a ser nuevos y estn sujetos a la
supresin de la respuesta de sonda.

Pgina Management La pgina Management permite gestionar las cuentas de los usuarios invitados. En
ella su empresa puede crear acceso de usuario inalmbrico invitado mediante la
creacin de una pgina web de autenticacin.
Por ejemplo, si los usuarios quieren iniciar sesin en una red que permite el acceso
de invitados, se les llevar a una pgina web con las condiciones de uso de la
conexin wifi. Una vez que los invitados acepten las condiciones e introduzcan la
contrasea (si es necesario) podrn obtener acceso a la web.
Figura 82 Pgina Management
Tabla 63 Descripcin de los parmetros de la pgina Management

Parmetro Descripcin
Current Guest Users Current Guest Users
User Name Nombre de usuario
Generate Password Generar contrasea
Password Contrasea
Confirm Password Confirm Password
Lifetime Das/horas/minutos

Inicio de sesin con autenticacin web
Esta pgina permite personalizar el aspecto de la pgina Login. La pgina Login

se presenta a los usuarios web la primera vez que obtienen acceso a la red
inalmbrica si la opcin Web autenticacin est activa en el SSID.
Figura 83 Webauth Login Page
Tabla 64 Descripcin de los parmetros de la pgina Webauth Login

Parmetro Descripcin
Webauth Login Page Login Page
Success Page
Failure page
Expired Page
Transfer Mode FTP
TFTP
Username
Password
Web-Auth ACL Configuration Allowed-In ACL Name
Allowed-Out ACL Name

Pgina Software La pgina Software ofrece informacin de la versin del software Cisco IOS.
Figura 84 Pgina Software
Tabla 65 Descripcin de los parmetros de la pgina Software

Parmetro Descripcin
Product/Model Number Nmero de modelo del punto de acceso.
Top Assembly Serial Number Nmero de serie del punto de acceso.
System Software Filename Archivo de software instalado en el sistema.
System Software Version Versin del software Cisco IOS que se est ejecutando en el punto de acceso.
Bootloader Version Versin del gestor de arranque instalado. El gestor de arranque no cambia cuando
se modifica la imagen del sistema.
System Uptime Das, horas y minutos que el punto de acceso ha estado encendido.

Pgina Software Upgrade HTTP
Para actualizar HTTP, tendr que cargar la imagen en la memoria del punto de
acceso. Si el sistema no dispone de memoria suficiente para la actualizacin, esta
fallar. Si falla, intente utilizar una actualizacin TFTP o actualizar HTTP de
nuevo despus de inhabilitar las interfaces de radio, apagando las funciones que
hacen un mayor uso de la memoria (como WDS) y reiniciando el sistema.
Figura 85 Pgina Software Upgrade HTTP
Tabla 66 Descripcin de los parmetros de la pgina Software HTTP Upgrade

Parmetro Descripcin
Bootloader Version Versin del gestor de arranque instalado. El gestor de arranque no cambia cuando se
modifica la imagen del sistema.
Upgrade System Software Para instalar una versin ms reciente del software Cisco IOS, siga estos pasos.
Tar File 1. Introduzca la ruta y el nombre correctos del nuevo archivo tar del software del
sistema.
2. Vaya a Cisco.com y descargue la versin del software del sistema ms reciente en su
disco local.
3. Haga clic en Browse y localice el nuevo archivo del software del sistema.
4. Haga clic en Upgrade para copiar el archivo en el punto de acceso.
Las actualizaciones pueden tardar varios minutos en completarse y pueden hacer
que el punto de acceso se reinicie.

Pgina Software Upgrade TFTP
Utilice la pgina Software Upgrade TFTP para actualizar el punto de acceso

inalmbrico a travs de un servidor TFTP. (Necesitar suministrar el servidor
TFTP) De este modo el WAP podr conectarse al servidor TFTP suministrado
por el usuario para descargarse una nueva versin del software y actualizarlo.
Tendr que introducir la direccin IP TFTP o el nombre DNS y despus la ruta/

nombre de archivo para actualizar la versin del software que necesite instalar.
Figura 86 Pgina Software Upgrade TFTP
Tabla 67 Descripcin de los parmetros de actualizacin TFTP

Parmetro Descripcin
Bootloader Version Versin del gestor de arranque instalado. El gestor de arranque no cambia cuando
se modifica la imagen del sistema.
TFTP File Server Se trata de la direccin IP de su servidor TFTP. TFTP es un servidor que hace que los
archivos estn disponibles.
Upgrade System Software Tar File Para instalar una versin ms reciente del software Cisco IOS, siga estas
instrucciones.
1. Introduzca la ruta y el nombre correctos del nuevo archivo tar del software del
sistema.
2. Vaya a Cisco.com y descargue la versin del software del sistema ms reciente
en su disco local.
3. Haga clic en Browse y localice el nuevo archivo del software del sistema.
4. Haga clic en Upgrade para copiar el archivo en el punto de acceso.
Las actualizaciones pueden tardar varios minutos en completarse y pueden
hacer que el punto de acceso se reinicie.

Pgina System Configuration
Aqu puede encontrar informacin de configuracin del sistema. En esta pgina

puede cargar nuevos archivos de configuracin, extraer su informacin tcnica,
reiniciar el dispositivo y configurar los ajustes PoE.
Figura 87 Pgina de configuracin del sistema
Tabla 68 Descripcin de los parmetros de configuracin del sistema del software
Parmetro Descripcin
Current Startup Haga clic con el botn derecho del ratn en este enlace para guardar el archivo config.txt
Configuration File en su disco duro local. A continuacin podr editar el archivo y configurar el punto de
acceso segn sus preferencias.
Utilice la opcin Load New Startup Configuration File para cargar el nuevo archivo en
cualquier punto de acceso que quiera configurar del mismo modo.
Load New Startup Vaya hasta la ubicacin donde haya almacenado el archivo config.txt guardado mediante
Configuration File la opcin Current Startup Configuration File.
Haga clic en Load para cargar el nuevo archivo en cualquier punto de acceso que quiera
configurar del mismo modo. El punto de acceso se reiniciar cuando se cargue la nueva
configuracin.
Technical Support El comando show-tech ofrece una gran cantidad de informacin del sistema que es
Information muy til para determinar los problemas con un producto. Su personal de asistencia tcnica
solicitar esta informacin para iniciar la resolucin de problemas del dispositivo.
Haga clic con el botn derecho del ratn en este enlace para guardar la informacin de
asistencia tcnica en su disco duro local. Despus podr enviar por correo electrnico esta
informacin a sus empleados de asistencia tcnica para ayudarles a configurar su punto de
acceso.
Reset to Factory Defaults Todos los ajustes del punto de acceso volvern a los ajustes predeterminados de fbrica.
La direccin IP se configurar como DHCP.
Haga clic en Reset to Defaults para que el punto de acceso se reinicie. La contrasea
predeterminada para el punto de acceso es wirelessap.

Tabla 68 Descripcin de los parmetros de configuracin del sistema del software

(Continuacin)
Parmetro Descripcin
Reset to Factory Defaults Restablece el valor predeterminado de todos los ajustes del punto de acceso, excepto en el
(Except IP Address) caso de una direccin IP fija que se mantiene igual si est configurada.
Haga clic en Reset to Defaults (Except IP) para que el punto de acceso se reinicie. La
contrasea predeterminada para el punto de acceso es wirelessap.
Restart Now Haga clic en Restart para reiniciar el sistema sin tener que encontrar el punto de acceso y
desconectarlo.
Los arranques en fro solo son necesarios tras la recuperacin de problemas de red
causados por fallos de alimentacin o tormentas elctricas.
System Power Settings Esta opcin se encuentra disponible en los puntos de accesos compatibles con Cisco
Intelligent Power Management. Algunos puntos de accesos admiten un Low Power Mode
que impide una sobrecarga de los equipos de alimentacin (Power Sourcing Equipment o
PSE) ms antiguos.
Table Identifique su fuente de alimentacin y el estado del switch y compruebe que sus
dispositivos estn configurados.
Power State Muestra el modo de alimentacin del punto de acceso. Una situacin de aviso indica que el
PSE no puede suministrar suficiente energa o que el inyector de potencia no se ha
configurado adecuadamente.
Consulte los ajustes de alimentacin del sistema para obtener instrucciones sobre cmo
corregir este problema.
Power Source Muestra la fuente de alimentacin elctrica detectada por el punto de acceso.
Power Settings Seleccione Power Negotiation o Pre-standard Compatibility. Utilice el ajuste de
negociacin de potencia para permitir que el dispositivo negocie la potencia en lnea con
un PSE compatible con Cisco Intelligent Power Management o cuando utilice un inyector
de potencia Aironet de Cisco.
Si utiliza un switch distinto de Cisco, no necesitar realizar cambios en los ajustes de la
alimentacin elctrica.
Power Injector Si conecta un inyector de potencia enfrente de un PSE Cisco que no es compatible con Cisco
Intelligent Power Management, deber seleccionar la casilla Installed on Port with MAC
Address. Compruebe que la direccin MAC de su puerto switch aparezca en el campo
correspondiente. Si su switch Cisco es compatible con las negociaciones Intelligent Power
Management, elimine la seleccin de la opcin Installed on Port with MAC address.
Locate Access Point Hace parpadear los indicadores de estado del punto de acceso.
Haga clic en Enable para hacer que los indicadores de estado del punto de acceso
parpadeen y poder localizar un dispositivo concreto.

Pgina Event Log En esta pgina se puede ver el registro de eventos. En la CLI, este comando es
show logging .
Tabla 69 Descripcin de los parmetros de la pgina Event Log

Parmetro Descripcin
Start Display at Introduzca el evento por el que quiera que empiece el registro.
Index
Max Number of Introduzca el nmero de eventos que quiera que muestre el registro.
Events to Display
ndice Numera los eventos del registro de forma secuencial, del ms antiguo al ms reciente.

Tabla 69 Descripcin de los parmetros de la pgina Event Log (Continuacin)

Parmetro Descripcin
Time Muestra el sello de hora registrado con el evento. El formato de la visualizacin se elige en la
pgina Event Log: Configuration Options. El formato del sello de hora que se muestra depende
del formato del sello de hora seleccionado en el momento en el que se produjo el evento.
El sistema admite tres formatos de sello de hora.
System Uptime
Tiempo que el sistema estuvo operativo cuando se produjo el evento. En un principio, el
tiempo aparece como el nmero de segundos, que despus aumenta a minutos, das y
semanas. Por ejemplo, 1w0d representa una semana y cero das.
Global Standard Time
Hora del da en la que se produjo el evento en el tiempo UTC. Este momento se registra como
Mes dd hh:mm:ss.useg y las tres letras de la zona horaria (UTC). El reloj del sistema debe
configurarse para que funcione este sello de hora.
Local Time
Hora del da en la que se produjo el evento en la zona horaria local. Este momento se registra
como Mes DD hh:mm:ss.useg y las tres letras de la zona horaria. El reloj del sistema debe
configurarse para que funcione este sello de hora.
Severity Esta tabla enumera los grados de gravedad de los eventos.
Severity Descripcin
Emergency (level 0 severity) El sistema no se puede utilizar.
Alert (level 1 severity) Se requiere una accin inmediata.
Critical (level 2 severity) Las condiciones son crticas.
Error (level 3 severity) Se han registrado condiciones de error.
Warning (level 4 severity) Un mensaje de aviso indica una posible condicin de error.
Notification (level 5 severity) El funcionamiento es normal pero podran darse
condiciones significativas.
Informational (level 6 severity) Un mensaje informativo proporciona informacin rutinaria
sobre la actividad normal; no seala un error.
Debugging (level 7 severity) Aparecen mensajes de depuracin.
Descripcin Ofrece una descripcin de los distintos eventos de error.

La direccin MAC de la radio aparece en el registro de eventos del punto de acceso. Cuando un
cliente itinera desde un punto de acceso (por ejemplo, el punto de acceso alfa) a otro punto de
acceso (punto de acceso bravo), aparece un mensaje en el registro de eventos en el punto de
acceso alfa indicando que el cliente ha itinerado al punto de acceso bravo. La direccin MAC que
aparece en el mensaje del evento es la direccin MAC para la radio en el punto de acceso bravo en
lugar del puerto Ethernet en el punto de acceso bravo.
Para obtener ms informacin acerca de los mensajes de error, consulte

Mensajes de eventos y errores en la pgina 533.

Pgina Configuration Options
Estos ajustes permiten determinar el modo en el que se notificarn los distintos

eventos registrados y el nivel de registro que debe aplicarse.
Figura 88 Pgina Configuration Options
Tabla 70 Descripcin de los parmetros de configuracin del registro de eventos

Parmetro Descripcin
Disposition of Events (by Severity Level) Cuando se selecciona un nivel de gravedad, tambin se seleccionan todos los
niveles con una prioridad superior.
Display on Event Log Determine en cada nivel de gravedad si desea que el evento aparezca en el
registro marcando la casilla correspondiente. Los eventos que se muestran
en el registro se encuentran disponibles en la pgina de este.
Notify via SNMP/Syslog Trap Determine para cada nivel de gravedad si quiere recibir una notificacin
mediante una interrupcin SNMP/Syslog cuando se produzca el evento.
La notificacin se producir si hay una marca de verificacin en la casilla.
Record for SNMP/Syslog History Table Determine para cada nivel de gravedad si quiere registrar el evento en la
tabla de historial SNMP/Syslog. El evento se registrar si hay una marca de
verificacin en la casilla.
Display on Telnet/SSH Monitor Determine para cada nivel de gravedad si quiere ver el evento en el monitor
Telnet/SSH. El evento se mostrar en el monitor si hay una marca de
verificacin en la casilla.

Tabla 70 Descripcin de los parmetros de configuracin del registro de eventos (Continuacin)

Parmetro Descripcin
Time Stamp Format for Future Events Elija el formato con el que quiera que se guarde la informacin de la hora del
evento. El sistema admite estos tres formatos de sello de hora.
System Uptime
Tiempo que el sistema estuvo operativo cuando se produjo el evento. En
un principio, el tiempo aparece como el nmero de segundos, que
despus aumenta a minutos, das y semanas. Por ejemplo, 1w0d
representa una semana y cero das.
Global Standard Time
Hora del da en la que se produjo el evento en tiempo UTC registrada
como Mes dd hh:mm:ss.useg y las tres letras de la zona horaria (UTC). El
reloj del sistema debe configurarse para que funcione este sello de hora.
Local Time
Hora del da en la que se produjo el evento en la hora local registrada
como Mes DD hh:mm:ss.useg y las tres letras de la zona horaria. El reloj
del sistema debe configurarse para que funcione este sello de hora.
Event Log Size Determine el tamao del bfer que quiera establecer para los comandos de
registro. Cuanto mayor sea la memoria que asigne al registro, menor ser la
memoria de la que disponga para los paquetes de conmutacin.
History Table Size Determine el nmero mximo de mensajes syslog que quiera que se
almacenen en la tabla de historial del punto de acceso.

Captulo 5
Acceso al punto de acceso inalmbrico/puente

de grupo de trabajo Stratix 5100 en
Logix Designer
Este captulo contiene informacin sobre los parmetros bsicos del punto
de acceso/puente de grupo de trabajo que se pueden configurar y revisar en
Logix Designer.
Tema Pgina
Cuadro de dilogo General 174
Cuadro de dilogo Connection 176
Cuadro de dilogo Module Information 177
Cuadro de dilogo Switch Configuration 179
Cuadro de dilogo Access Point 181
Cuadro de dilogo Service Set Identifiers (SSID) 182
Cuadro de dilogo Event Log 183
Cuadro de dilogo Radios 184
Cuadro de dilogo 2.4 GHz or 5 GHz Radio 185
Cuadro de dilogo Save/Restore 187

Captulo 5 Acceso al punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100 en Logix Designer
Cuadro de dilogo General
El cuadro de dilogo General proporciona informacin como el nombre, la

direccin Ethernet y la revisin.
Figura 89 Cuadro de dilogo General
El cuadro de dilogo General incluye estos parmetros.

Tabla 71 Descripcin de los parmetros generales
Parmetro Descripcin
Type Muestra el tipo y la descripcin del mdulo que se est creando (solo lectura).
Vendor Muestra el proveedor del mdulo que se est creando (solo lectura).
Parent Muestra el nombre del mdulo principal (solo lectura). Si el mdulo se encuentra en el bastidor local, muestra Local.
Name Introduzca el nombre del mdulo.
El nombre debe ser conforme con IEC 1131-3. Se trata de un campo obligatorio y debe cumplimentarse; de lo contrario, recibir un
mensaje de error cuando salga del cuadro de dilogo.
Se muestra un mensaje de error cuando se detecta un nombre duplicado o se introduce un carcter no vlido. Si supera la longitud
mxima del nombre permitida por el software, se obviarn los caracteres adicionales.
Description Introduzca una descripcin del mdulo con un mximo de 128 caracteres. Utilice cualquier carcter imprimible en este campo. Si supera la
longitud mxima, el software obviar los caracteres adicionales.
Ethernet Address Introduzca una direccin IP nica para identificar el mdulo en la red.
La direccin IP identifica cada nodo de la red IP (o sistema de redes conectadas). Cada nodo TCP/IP en una red debe poseer una direccin
IP nica.
La direccin IP es un nmero de identificacin de 32 bits para cada uno de los nodos de una red de protocolo de internet. Estas direcciones
se representan mediante cuatro conjuntos de nmeros de 8 bits (nmeros entre 0 y 255), con decimales entre ellos.
La direccin IP cuenta con un componente de identificacin de red y un componente de identificacin de anfitrin. Las redes se clasifican
como A, B, C u otra. La clase de red determina el modo en que se formatea una direccin IP.
La clase se distingue a partir del primer nmero entero de las direcciones IP en formato decimal punteado.
Cada uno de los nodos de una red fsica debe tener una direccin IP de la misma clase y el mismo identificador de red.
Por lo tanto, cada nodo de la misma red debe tener un identificador de anfitrin diferente, proporcionndole as una direccin IP nica.
El primer octeto de la direccin IP no puede ser 127 o un nmero superior a 223. Si introduce cualquiera de estos valores y trata de
descargar esta configuracin mediante el botn Set, aparecer un mensaje de error y no se enviar ningn valor al mdulo.
Por ejemplo, la direccin IP de 32 bits:
00000011 00000000 00000000 00000001 se escribe como 3.0.0.1.
Puede distinguir la clase de la direccin IP a partir de su primer nmero entero en el formato decimal punteado siguiendo estos criterios:
Intervalo del primer entero Clase
0...127 A
128...191 B
192...223 C
224...255 Otra
Pngase en contacto con su administrador de red o con el centro de informacin de red (NIC) para obtener una direccin IP nica que
asignar a su mdulo.
La direccin IP no se puede cambiar con el sistema en lnea.

Acceso al punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100 en Logix Designer Captulo 5
Tabla 71 Descripcin de los parmetros generales (Continuacin)

Parmetro Descripcin
Revision Revisin del firmware del punto de acceso.
Electronic Keying Seleccione una de estas opciones de codificacin para su mdulo durante la configuracin inicial de este.
Exact Match
Todos los parmetros que se describen a continuacin deben coincidir; de lo contrario, el mdulo introducido rechazar la conexin.
Compatible Module
Es preciso cumplir estos criterios; de lo contrario, el mdulo introducido rechazar la conexin:
Las opciones Module Types, Catalog Number y Major Revision deben coincidir.
La opcin Minor Revision del mdulo fsico debe ser igual o superior a la especificada en el software.
Disable Keying
El controlador no emplea ninguna codificacin.
Si modifica las opciones RPI y Electronic Keying puede provocar la desconexin del mdulo con la consiguiente prdida de datos.
ADVERTENCIA: Tenga mucho cuidado cuando utilice esta opcin; si lo hace de

forma incorrecta, puede sufrir lesiones o incluso la muerte, daos materiales o
prdidas econmicas.
Connection Puede cambiar la definicin del mdulo en cualquier momento sin tener que eliminar el mdulo existente y crear uno nuevo. El perfil
intentar presentar todos los datos de configuracin de los ajustes nuevos. Cualquier dato de configuracin que no pueda presentarse, se
configurar con un valor predeterminado. Una vez que se hayan aplicado los nuevos ajustes, estos se convertirn en la configuracin de
base y se perdern todas las configuraciones de formato de datos previas.
Tenga en cuenta que con el mdulo combo, existe un problema del sistema que debe resolverse antes de la implementacin de la entrada.
La conexin de entrada tendr que generar un tipo de datos de configuracin parcial para ajustar nicamente las entradas.
Input
Se generarn etiquetas y tipos de datos de entrada y configuracin. Si se establece la conexin, poseer la configuracin y compartir la
entrada.
Output
Se generarn etiquetas y tipos de datos de entrada, salida y configuracin. Si se establece la conexin, poseer la configuracin y la salida
y compartir la entrada.

Cuadro de dilogo Connection
En el cuadro de dilogo Connection, puede configurar la frecuencia con la que se

actualizan los datos en una conexin e inhibir o desinhibir su conexin con el
mdulo.
Figura 90 Cuadro de dilogo Connection
El cuadro de dilogo Connection incluye estos parmetros.

Tabla 72 Descripcin de los parmetros de conexin
Parmetro Descripcin
Requested Packet Interval (RPI) El ajuste del intervalo de paquetes solicitados (Requested Packet Interval o RPI) determina la frecuencia (en ms) con la que se
actualizan los datos en una conexin. El control del RPI aparece atenuado porque cada controlador puede tener su propio ajuste RPI.
Inhibit Module Inhibit Module
Inhiba o desinhiba su conexin con el mdulo. La inhibicin del mdulo hace que se pierda la conexin con este. La inhibicin del
mdulo hace que se pierda la conexin con este y puede redundar en una prdida de datos.
Major Fault Cuando se produce un fallo de la conexin con este mdulo, se genera un fallo importante en el controlador.
Use Unicast Esta opcin se habilita cuando el mdulo admite la unidifusin en la revisin actual y cualquier parte de su ruta cruza EtherNet/IP.
Module Fault Connection Request Error: el controlador est intentando establecer una conexin con el mdulo y ha recibido un error. La conexin
no se ha establecido.
Service Request Error: el controlador est intentando solicitar un servicio del mdulo y ha recibido un error. El servicio no se ha
prestado correctamente.
Module Configuration Invalid: la configuracin del mdulo no es vlida. (Este error se debe normalmente al fallo Electronic Key
Passed.)
Electronic Keying Mismatch: la codificacin electrnica est habilitada y alguna parte de la informacin de codificacin difiere entre
el software y el mdulo.

Cuadro de dilogo Module Information
En el cuadro de dilogo Module Information, puede ver el estado del punto de

acceso y reiniciarlo.
Figura 91 Cuadro de dilogo Module Information
El cuadro de dilogo Module Information incluye estos parmetros.

Tabla 73 Descripcin de los parmetros de informacin del mdulo
tem Descripcin
Type Muestra el tipo y la descripcin del mdulo que se est creando (solo lectura).
Identification Muestra estos datos del mdulo:
Vendor
Tipo de producto
Cdigo de producto
Revisin
Serial Number
Nombre de producto
Revisin Seleccione el nmero de revisin secundaria de su mdulo. Para cambiar la revisin, haga
clic en el botn Change para obtener acceso al cuadro de dilogo Module Definition.
La revisin se divide en revisin principal y revisin secundaria. La revisin principal se
muestra de forma esttica en este cuadro de dilogo; edite este valor en el cuadro de
dilogo Select Module Type.
La revisin principal hace referencia a la revisin de la interface del mdulo. La revisin
secundaria hace referencia a la revisin del firmware.
Change... Haga clic en este botn para obtener acceso al cuadro de dilogo Module Definition, en el
que puede modificar los valores de la definicin del mdulo, la codificacin electrnica y la
revisin secundaria.
Faults Estado de los fallos principales y secundarios
Configured Seala si se ha configurado el mdulo.
Owned Muestra si un controlador se encuentra conectado en ese momento al mdulo.

Tabla 73 Descripcin de los parmetros de informacin del mdulo (Continuacin)

tem Descripcin
Match Coincide con lo especificado en la pestaa General.
Para que se d una situacin de coincidencia (Match), todos estos elementos deben
concordar:
Vendor
Tipo de mdulo (combinacin del tipo de producto y el cdigo del producto de un
proveedor concreto)
Major Revision
La falta de coincidencia (Mismatch) se da cuando no concuerdan las especificaciones de la
pestaa General.
Refresh Actualiza el cuadro de dilogo con los nuevos datos del mdulo.
Reset Module Devuelve el mdulo al estado que tena cuando se encendi emulando la desconexin y
reconexin de la alimentacin.
ADVERTENCIA: El reinicio de un mdulo provocar el

cierre de todas las conexiones con o a travs de l, lo
que podra desembocar en una prdida del control.

Cuadro de dilogo Switch Configuration
En el cuadro de dilogo Switch Configuration puede configurar el punto de

acceso. Los parmetros que puede configurar incluyen, por ejemplo, la direccin
IP, la direccin del servidor y el nombre de anfitrin.
La direccin IP puede asignarse manualmente (esttica) o automticamente

mediante un servidor de protocolo de configuracin dinmica de anfitrin
(DHCP). El valor predeterminado es Static.
Le recomendamos que seleccione la opcin Static y asigne manualmente la

direccin IP del switch. A continuacin, puede utilizar la misma direccin IP
siempre que quiera obtener acceso al switch.
Figura 92 Cuadro de dilogo Switch Configuration
El cuadro de dilogo Switch Configuration incluye estos elementos.

Tabla 74 Descripcin de los parmetros de configuracin del switch
tem Descripcin
Static La direccin IP, la mscara de subred y la pasarela del punto de acceso/
puente de grupo de trabajo se introducen manualmente. Static es el valor
predeterminado.
DHCP El punto de acceso obtiene automticamente una direccin IP, la pasarela
predeterminada y la mscara de subred del servidor DHCP. Siempre que no
se reinicie el punto de acceso, seguir utilizando la informacin de IP
asignada.
Direccin IP Introduzca una direccin IP para el punto de acceso.
La direccin IP es un nmero de identificacin de 32 bits del switch. Se
representa mediante 4 octetos separados por puntos (xxx.xxx.xxx.xxx).
Configure cada octeto con un valor entre 0 y 255.
Este valor debe coincidir con la direccin IP que haya introducido en Device
Manager durante la configuracin exprs as como con la direccin de la
pestaa General.
Si reconfigura el switch con una direccin IP diferente, es posible que
pierda la comunicacin con este al hacer clic en Set. Para corregir este
problema, deber volver a la pestaa General de Express Setup, configurar
la nueva direccin IP y descargarla en el controlador.
La direccin IP no debe ser inferior a 0.1.0.0 o estar comprendida entre
224.0.0.0 y 255.255.255.255.
Pngase en contacto con su administrador de red o con el centro de
informacin de red (NIC) para obtener una direccin IP nica que asignar a
su punto de acceso.

Tabla 74 Descripcin de los parmetros de configuracin del switch (Continuacin)

tem Descripcin
Subnet Mask Introduzca la mscara de subred adecuada para el punto de acceso.
La mscara de subred es un nmero de 32 bits. Configure cada octeto con
un valor entre 0 y 255.
El valor predeterminado es 255.255.255.0.
El valor deber coincidir con la mscara de subred que haya introducido en
Device Manager durante la configuracin exprs.
Gateway Address (Opcional) Introduzca la direccin IP del gateway.
Una pasarela es un router u otro dispositivo de red a travs del cual el
punto de acceso se comunica con dispositivos de otras redes o subredes.
La direccin IP de la pasarela debe formar parte de la misma subred que la
direccin IP del punto de acceso. La direccin IP del punto de acceso y la
direccin IP de la pasarela predeterminada no pueden ser iguales.
Primary DNS Server Address Introduzca la direccin del servidor del sistema de nombres de dominio
(Domain Name System o DNS).
Configure cada octeto con un valor entre 0 y 255. El primer octeto no puede
ser 127 o un nmero mayor que 223.
Secondary DNS Server Address (Opcional) Introduzca la direccin IP del gateway.
Un gateway es un router u otro dispositivo de red a travs del cual el switch
se comunica con dispositivos de otras redes o subredes.
La direccin IP de la pasarela debe formar parte de la misma subred que la
direccin IP del punto de acceso. La direccin IP del punto de acceso y la
direccin IP de la pasarela predeterminada no pueden ser iguales.
Domain Name Escriba el nombre del dominio en el que reside el mdulo. El nombre de
dominio consta de una secuencia de etiquetas de nombre separadas por
puntos, como por ejemplo rockwellautomation.com. El nombre de
dominio posee un lmite de 48 caracteres que se restringen a las letras
ASCII de la a a la z, los dgitos del 0 al 9, puntos y guiones.
Host Name Introduzca un nombre de anfitrin nico para su computadora.
El nombre de anfitrin es el nombre de una computadora nica dentro de
su dominio. Siempre es el primer elemento de un nombre completo y, con
su sufijo de dominio y dominio de nivel superior, crea el nombre nico de
esa computadora en internet. Por ejemplo, si un sitio web comercial es
www.trading.com, el nombre de anfitrin es www, que no es nico en la
web, pero s lo es dentro del dominio trading.
El nombre de anfitrin tambin hace referencia al nombre de dominio
completo (Fully Qualified Domain Name o FQDN); en este ejemplo,
www.trading.com. Por lo general, es posible utilizar ambos mtodos de
denominacin indistintamente.
Contact Introduzca la informacin de contacto del punto de acceso, hasta un
mximo de 200 caracteres. Esta caracterstica es opcional.
La informacin de contacto puede incluir caracteres alfanumricos,
caracteres especiales y retornos de carro.
Geographic Location Introduzca la ubicacin geogrfica del punto de acceso, hasta un mximo
de 200 caracteres. Esta caracterstica es opcional.
La ubicacin geogrfica puede incluir caracteres alfanumricos, caracteres
especiales y retornos de carro.
Refresh Communication Haga clic en Refresh para actualizar el cuadro de dilogo con datos nuevos
procedentes del mdulo.
El botn Refresh no est disponible en el modo sin conexin.

Cuadro de dilogo Access Point
Utilice este cuadro de dilogo para ver informacin sobre el punto de acceso
inalmbrico. Puede ver estas opciones en el cuadro de dilogo Access Point.
Modo de alimentacin del punto de acceso.
Fuente de alimentacin elctrica detectada por el punto de acceso.
Servicios habilitados en el punto de acceso.
Nombre de archivo y versin del firmware cargado en el switch.
Los datos nicamente se visualizan cuando el mdulo est en lnea.
Figura 93 Cuadro de dilogo Access Point
Parmetros del punto de acceso
El cuadro de dilogo Access Point incluye estos parmetros.

Tabla 75 Descripcin de los parmetros del punto de acceso
Parmetro Descripcin
Power State Modo de alimentacin del punto de acceso: Full Power o Insufficient Power.
Power Source Fuente de alimentacin elctrica detectada por el punto de acceso.
Alimentacin a travs de Ethernet (PoE) con adaptador CA.
System Software Filename Nombre de archivo del firmware cargado en el switch.
Services Enabled Principales servicios habilitados o inhabilitados en ese momento.
Un servicio est habilitado cuando el indicador est azul.
Telnet
Secure Shell (SSH)
Protocolo de descubrimiento de Cisco (CDP)
Listas de control de acceso (ACL)
Calidad de servicio (QoS)
Simple Network Management Protocol (SNMP)
Red de rea local virtual (VLAN)
Servidor web (HTTP)
Protocolo de red (NTP)

Cuadro de dilogo Service Set Identifiers (SSID)
Utilice este cuadro de dilogo para ver informacin sobre los SSID. Puede ver esta
informacin en el cuadro de dilogo SSID.
SSID asociados a la radio.
VLAN asociada al SSID.
Mtodo de autenticacin utilizado en el SSID
Modo de cifrado de la VLAN del SSID
Si el punto de acceso est transmitiendo el SSID.
La proteccin de trama de administracin empleada para el SSID. Los
datos nicamente se visualizan cuando el mdulo est en lnea.
Figura 94 Cuadro de dilogo Service Set Identifiers (SSID)
El cuadro de dilogo Service Set Identifiers (SSID) incluye estos parmetros.

Tabla 76 Descripcin de los parmetros de los identificadores de conjunto de servicios (SSID)
Parmetro Descripcin
SSID Identificador nico utilizado para la asociacin con la radio.
VLAN VLAN asociada al SSID.
2.4GHz Band Seala si la banda de 2.4 GHz est habilitada para el SSID.
5GHz Band Seala si la banda de 5 GHz est habilitada para el SSID.
Authentication Method Mtodo que utiliza el SSID para autenticarse en la red.
Puede ser mediante autenticacin abierta, compartida o EAP.
Encryption Modo de cifrado de la VLAN del SSID.
WPA
WPAv1
WPAv2
Broadcast SSID Seala si el SSID es de difusin.
Management Frame Protection2 (MFP) Ajuste de proteccin de trama de administracin del SSID.
Disabled
(Opcional).
Requerido

Cuadro de dilogo Event Log
El cuadro de dilogo Event Log muestra el registro de eventos. Puede llevar a cabo
estas acciones en el cuadro de dilogo Event Log.
Seleccionar el nivel gravedad de los eventos que se muestran o ver todos los
eventos registrados.
Ver el momento en el que se produjo el evento.
Ver la gravedad del evento.
Ver la descripcin del evento.
Figura 95 Cuadro de dilogo Event Log
El cuadro de dilogo Event Log incluye estos parmetros.

Tabla 77 Descripcin de los parmetros del registro de eventos
Parmetro Descripcin
Severity Filter Utilice esta opcin para seleccionar el nivel de gravedad de los eventos que se
mostrarn en la tabla de registro de eventos.
AccessPoint_Emergency: el sistema no se puede utilizar
AccessPoint_Alert: se necesita una accin inmediata
AccessPoint_Critical: las condiciones son crticas
AccessPoint_Error: las condiciones de error estn registradas
AccessPoint_Warning: indica una condicin de error potencial
AccessPoint_Notification: el funcionamiento es normal pero podran darse
condiciones significativas
AccessPoint_Informational: un mensaje proporciona informacin rutinaria sobre la
actividad normal; no seala un error
AccessPoint_Debugging: se proporcionan mensajes de depuracin
None: muestra todos los eventos
Time Sello de hora grabado con el evento.
Severity Gravedad del evento.
AccessPoint_Emergency
AccessPoint_Alert
AccessPoint_Critical
AccessPoint_Error AccessPoint_Warning
AccessPoint_Notification
AccessPoint_Informational
AccessPoint_Debugging None
Descripcin Descripcin del evento que provoc el error.

Cuadro de dilogo Radios
Utilice este cuadro de dilogo para ver informacin resumida de las radios
incluidas en el Stratix 5100. El Stratix 5100 contiene radios de doble banda
simultneas (2.4 GHz y 5 GHz). Puede ver esta informacin en el cuadro de
dilogo Radios:
Descripcin de las radios.
Direccin MAC asociada a las radios.
Tiempo que han estado funcionando las radios.
Estado del software y el hardware.
El cuadro de dilogo Radios incluye estos parmetros.

Tabla 78 Descripcin de los parmetros del cuadro de dilogo de las radios
Parmetro Descripcin
Radio (GHz) Radio de doble banda. El Stratix 5100 incluye una radio de 2.4 GHz y de 5 GHz.
Descripcin Descripcin de la radio.
MAC Address Direccin MAC asociada a la radio
Uptime Tiempo transcurrido desde que arranc el sistema de gestin de red.
Software Status Estado administrativo de la interface.
Up
Down
Testing
Unknown
Dorman
Not Present
LowerLayerDown
Hardware Status Indica si el protocolo de lnea de la interface est habilitado o inhabilitado.

Cuadro de dilogo 2.4 GHz or 5 GHz Radio
Utilice este cuadro de dilogo para ver informacin sobre la radio de banda
2.4 GHz o 5 GHz. Puede llevar a cabo estas acciones en el cuadro de dilogo
2.4 GHz or 5 GHz Radio.
Ver el nmero de puentes y clientes inalmbricos activos que se estn
asociando a la radio en ese momento.
Ver el nivel de potencia y la velocidad empleados para transmitir datos.
Ver la funcin de la radio y el tipo de dispositivo cliente.
Ver la direccin IP, la direccin MAC, el estado del dispositivo cliente y el
nmero de paquetes enviados al cliente y recibidos de este.
Abra un cuadro de dilogo Diagnostic para ver los contadores y estadsticas
por velocidad de la radio.
Figura 96 Cuadro de dilogo 2.4 GHz or 5 GHz Radio
El cuadro de dilogo 2.4 GHz or 5 GHz Radio incluye estos parmetros.

Tabla 79 Descripcin de los parmetros de la radio de 2.4 GHz o 5 GHz
Parmetro Descripcin
Active Wireless Clients Nmero de clientes inalmbricos que se estn asociando en ese momento al
dispositivo en esta interface.
Active Bridges Nmero de puentes que se estn asociando en ese momento al dispositivo en esta
interface.
Data Rates Velocidad que utiliza el dispositivo para transmitir datos.
Predeterminado
Best Range
Best Throughput
1.0, 2.0, 5.5, 11.0, 6.0, 9.0, 12.0, 18.0, 24.0, 36,0, 48.0 y 54.0 Mbps
Requerir, habilitar, inhabilitar
Transmit Output Power Level Nivel de potencia empleado para transmitir datos. El nivel de potencia depende de
la banda. Los valores mximos son:
22 dBm para la banda de 2.4 GHz
14 dBm para la banda de 5 GHz
Canal Canal de frecuencia operativo en ese momento.

Tabla 79 Descripcin de los parmetros de la radio de 2.4 GHz o 5 GHz (Continuacin)

Parmetro Descripcin
Radio Role Identifica la funcin de la radio.
Puente no raz
Puente no raz con clientes inalmbricos
Repetidor
Punto de acceso raz
Punto de acceso raz nicamente
Puente raz
Puente raz con clientes inalmbricos
Escner
Diagnostic Abre el cuadro de dilogo Diagnostic, donde puede ver los contadores y estadsticas
por velocidad de la radio. Este cuadro de dilogo proporciona informacin para la
supervisin y el diagnstico del funcionamiento del punto de acceso.
Tipo de dispositivo Tipo de dispositivo.
0: Desconocido
1: Cliente WGB
2: WGB
3: Cliente
4: Repetidor
5: Nombre de puente
Name Nombre del dispositivo.
IP Address Direccin IP del dispositivo cliente.
MAC Address Direccin MAC del dispositivo cliente.
SSID Identificador nico utilizado para la asociacin con la radio.
Last Activity Tiempo que lleva activo el dispositivo.
State Estado del dispositivo cliente.
0: Procesando asociacin
1: Asociado EAP
2: Asociado MAC
3: Asociado
Parent Nombre del dispositivo cliente inalmbrico principal.
Transmitted Packets Nmero de paquetes enviados al cliente.
Received Packets Nmero de paquetes recibidos del cliente.
Figura 97 Cuadro de dilogo 2.4 GHz or 5 GHz Radio

Cuadro de dilogo Save/Restore
El cuadro de dilogo Save and Restore carga y descarga el proyecto en y desde el

punto de acceso.
Figura 98 Cuadro de dilogo Save/Restore
El cuadro de dilogo Save/Restore incluye estos parmetros.

Tabla 80 Descripcin de los parmetros de almacenamiento/restablecimiento
tem Descripcin
Exchange Configuration Upload
with Switch Cargue en el proyecto la configuracin completa desde el switch cuando est en lnea.
Esto incluye los archivos config.text y vlan.dat. La opcin de carga no est disponible en
el modo sin conexin.
Download
Descargue en el switch la configuracin completa desde el proyecto cuando est en
lnea. Esto incluye los archivos config.text y vlan.dat. La opcin de descarga no est
disponible en el modo sin conexin.
Import/Export Import
Configuration Importe la configuracin del switch de un archivo almacenado a escala local en una
computadora al archivo del proyecto cuando est en lnea. Esto incluye los archivos
config.text y vlan.dat.
Cuando aparezca el cuadro de dilogo Import:
1. Introduzca el nombre del archivo config.text (y la ruta completa) que tenga el
contenido que quiera importar.
2. Haga clic en Import.
Volver a aparecer el cuadro de dilogo Import.
3. Introduzca el nombre del archivo vlan.dat (y la ruta completa) que quiera importar.
4. Haga clic en Import.
El sistema importar ambos archivos al proyecto.
Los archivos de configuracin del switch se encuentran en el directorio Projects Samples.
Si quiere restablecer los valores predeterminados originales del switch a distancia,
importe los archivos al proyecto y descrguelos en el switch.
Export
Exporte los datos de configuracin del switch del proyecto a un archivo cuando est en
lnea. Cuando aparezca el cuadro de dilogo Export, siga estos pasos.
1. Introduzca el nombre del archivo config.text (y la ruta completa).
2. Haga clic en Export.
Volver a aparecer el cuadro de dilogo Export.
3. Introduzca el nombre del archivo vlan.dat (y la ruta completa).
4. Haga clic en Export.
El sistema exportar el contenido a los dos archivos.
La opcin de exportacin no est disponible en el modo sin conexin.

Cuadro de dilogo Counters
Utilice este cuadro de dilogo para ver informacin sobre los paquetes de datos
recibidos y transmitidos durante los ltimos 5 segundos y en total. Este cuadro
de dilogo y el cuadro de dilogo Statistics Per Rate proporcionan informacin
prctica para la supervisin y el diagnstico del funcionamiento del punto de
acceso.
Puede ver esta informacin en el cuadro de dilogo Counters:

Paquetes unidifusin, difusin, baliza y multidifusin enviados/recibidos
por el punto de acceso
Tramas RTS y CTS enviadas/recibidas por el punto de acceso
Nmero de veces que el punto de acceso intenta enviar un paquete
Paquetes pospuestos por la transmisin de otra radio
Deteccin de un fuente de interferencias que se ha obviado
Paquetes con errores CRC
El cuadro de dilogo Counters incluye estos parmetros.

Tabla 81 Descripcin de los parmetros de los contadores
Parmetro Descripcin
Transmit Counter Transmitir estadsticas.
Receive Counter Recibir estadsticas.
Total Nmero total de paquetes transmitidos al cliente o recibidos de este.
Last 5 Sec. Nmero de paquetes transmitidos o recibidos durante los ltimos
5 segundos.
Unicast Packets Nmero de paquetes unidifusin enviados/recibidos por el punto de
acceso.
Broadcast Packets Nmero de paquetes de difusin enviados/recibidos por el punto de
acceso.
Beacon Packets Nmero de paquetes baliza enviados/recibidos por el punto de acceso.
Multicast Packets Nmero de paquetes multidifusin enviados/recibidos por el punto de
acceso.
Request to Send (RTS) Nmero de veces que el punto de acceso ha enviado/recibido una RTS.
Clear to Send (CTS) not Received Nmero de veces que se ha enviado una RTS pero no se ha recibido una CTS
como respuesta.
Unicast Fragments Nmero de paquetes total o parcialmente fragmentados enviados.

Tabla 81 Descripcin de los parmetros de los contadores (Continuacin)

Parmetro Descripcin
Retries Nmero de veces que el punto de acceso intenta enviar un paquete o RTS.
Packets with 1 retry Nmero de ocasiones en las que el punto de acceso intenta enviar un
paquete una sola vez.
Packets with more than 1 retry Nmero de ocasiones en las que el punto de acceso intenta enviar un
paquete varias veces.
Energy Detect Defers Nmero de veces que se ha pospuesto el envo de un paquete porque el
circuito de deteccin de energa sealaba que haba otras radios
transmitiendo.
Jammer Detected Nmero de veces que se ha detectado una fuente de interferencias con
una duracin superior a la de un paquete 802.11 legal. La fuente de
interferencias se ha obviado y se ha repetido la transmisin.
Management Packets Nmero de paquetes de gestin enviados por el punto de acceso.
CRC Errors Nmero de paquetes con errores CRC.

Cuadro de dilogo Statistics Per Rate
Utilice este cuadro de dilogo para ver informacin sobre los paquetes de datos
recibidos y transmitidos durante los ltimos 5 segundos y en total. Este cuadro de
dilogo y el cuadro de dilogo Counters proporcionan informacin prctica para
la supervisin y el diagnstico del funcionamiento del punto de acceso.
Puede ver esta informacin en el cuadro de dilogo Statistics Per Rate.

Velocidad empleada para transmitir datos
Nmero de paquetes y bytes recibidos
Nmero de veces que el punto de acceso intenta enviar la solicitud de envo
(RTS)
Nmero de paquetes y bytes enviados desde el punto de acceso

Tabla 82 Descripcin de los parmetros de estadsticas por velocidad
Parmetro Descripcin
Total Nmero total de paquetes transmitidos al cliente o recibidos de este.
Last 5 Seconds Nmero de paquetes transmitidos o recibidos durante los ltimos 5 segundos.
Rate (Mbps) Velocidad empleada para transmitir datos. Las velocidades se expresan en
megabits por segundo.
Received Packets Nmero de paquetes recibidos.
Received Bytes Nmero de bytes recibidos.
Request to Send (RTS) Retries Nmero de veces que el punto de acceso intenta enviar el paquete RTS.
Transmitted Packets Nmero de paquetes enviados desde el punto de acceso.
Transmitted Bytes Nmero de bytes enviados desde el punto de acceso.
Data Retries Nmero de veces que el punto de acceso intenta enviar los paquetes de datos.

Tipos de datos definidos por La tabla a continuacin enumera y describe los tipos de datos definidos por el
mdulo para el punto de acceso inalmbrico Stratix 5100. La tabla incluye
mdulos informacin para la entrada, sealada mediante una I.
Tabla 83 Tipos de datos definidos por el mdulo: AB:STRATIX_5100_1PORT:I:0
Nombre de miembro Tipo Estilo de visualizacin
predeterminado
Fault DINT Binario
Radio2_4GHzEnabled BOOL Decimal
Radio5GHzEnabled BOOL Decimal
Radio2_4GHzUptime DINT Decimal
Radio5GHzUptime DINT Decimal
ClientsConnected INT Decimal
WorkGroupBridgesConnected INT Decimal
UnicastPacketsSent DINT Decimal
UnicastPacketsReceived DINT Decimal
CRCErrors DINT Decimal
TotalPacketsMoreThan1Retry DINT Decimal
TotalRetries DINT Decimal
SSIDsDefined INT Decimal
PortGiConnected BOOL Decimal
PortGiSpeed DINT Decimal
PortGiFullDuplex BOOL Decimal

Notas:

Captulo 6
Configuracin del WAP Stratix 5100 mediante la

interface de lnea de comandos
El presente captulo describe la interface de lnea de comandos de Cisco IOS

(CLI) que puede utilizar para configurar el dispositivo inalmbrico.
Tema Pgina
Modos de comando de Cisco IOS 193
Ayuda 194
Abreviacin de los comandos 195
Uso de las formas No y Default en los comandos 195
Significado de los mensajes de la CLI 196
Historial de comandos 196
Uso de las funciones de edicin 197
Bsqueda y filtro de los comandos show y more 200
Acceso a la CLI 200
Apertura de la CLI con el intrprete de rdenes seguro 201
Modos de comando de La interface del usuario de Cisco IOS se divide en mltiples modos distintos.
Los comandos a su disposicin dependern del modo en el que se encuentre.
Cisco IOS Introduzca un signo de interrogacin (?) en el comando del sistema para obtener
una lista de los comandos disponibles para cada modo.
Cuando inicie una sesin en el dispositivo inalmbrico, empezar en el modo de

usuario, con frecuencia denominado modo EXEC de usuario. En el modo EXEC
de usuario se encuentra disponible un subconjunto de los comandos de Cisco
IOS. Por ejemplo, la mayora de los comandos EXEC de usuario son comandos
puntuales, como los comandos show, que muestran el estado de la configuracin
actual, y los comandos clear, que borran los contadores o interfaces. Los
comandos EXEC de usuario no se guardan cuando se reinicia el dispositivo
inalmbrico.
Para obtener acceso a todos los comandos, deber entrar en el modo EXEC con
privilegios. Normalmente deber introducir una contrasea para obtener acceso
al modo EXEC con privilegios. Desde este modo, deber entrar al modo EXEC
con privilegios para obtener acceso al modo de configuracin global.

Captulo 6 Configuracin del WAP Stratix 5100 mediante la interface de lnea de comandos
Puede realizar cambios en la configuracin en curso mediante los modos de

configuracin: global, de interface y de lnea. Si guarda la configuracin, estos
comandos se guardarn y utilizarn cuando se reinicie el dispositivo inalmbrico.
Para obtener acceso a los distintos modos de configuracin, deber partir del
modo de configuracin global. Desde el modo de configuracin global, puede
entrar al modo de configuracin de interface y al modo de configuracin de lnea.
Esta tabla describe los principales modos de comando, el modo de obtener acceso
a cada uno, el comando que se ve en dicho modo y la forma de salir de este. Los
ejemplos de la tabla utilizan el nombre de anfitrin ap.
Tabla 84 Modos de comando
Mode Acceso al mtodo Comando Salida del mtodo Acerca de este modo
EXEC de usuario Inicie una sesin con el ap> Introduzca logout o salga. Utilice este modo para:
dispositivo inalmbrico. Cambiar los ajustes del terminal
Realizar pruebas bsicas
Muestre la informacin del sistema
EXEC con privilegios En el modo EXEC de usuario, ap# Introduzca disable para salir. Utilice este modo para ver la configuracin,
introduzca el comando enable. el diagnstico y la informacin de depuracin
del dispositivo. Utilice una contrasea para
proteger el acceso a este modo.
Configuracin global En el modo EXEC con ap(config)# Para salir del modo EXEC con Utilice este modo para configurar parmetros
privilegios, introduzca el privilegios, introduzca exit o end, o que se aplican a la totalidad del dispositivo
comando configure. presione Ctrl-Z. inalmbrico.
Configuracin de la interface En el modo de configuracin ap(config-if)# Para salir del modo de configuracin Utilice este modo para configurar los
global, introduzca el comando global, introduzca exit. Para volver al parmetros de las interfaces de radio y Ethernet.
interface (con una interface modo EXEC con privilegios, presione La radio 802.11n de 2.4 GHz es la radio 0
especfica). Ctrl-Z o introduzca end. La radio 802.11n de 5 GHz es la radio 1
Ayuda Puede introducir un signo de interrogacin (?) en el comando del sistema para ver
una lista de los comandos disponibles para cada modo de comando. Tambin
puede obtener una lista de las palabras clave y argumentos asociados de cualquier
comando, como se muestra en esta tabla.
Tabla 85 Resumen de la ayuda
Comando Objetivo
help Obtiene una breve descripcin del sistema de ayuda en cualquier modo de
comando.
abbreviated-command-entry? Obtiene una lista de comandos que empieza con una cadena de caracteres
concreta.
Por ejemplo:
ap# di?
dir disable disconnect
abbreviated-command-entry<Tab> Completa un nombre de comando parcial.
Por ejemplo:
ap# sh conf<tab>
ap# show configuration

Configuracin del WAP Stratix 5100 mediante la interface de lnea de comandos Captulo 6
Tabla 85 Resumen de la ayuda (Continuacin)

Comando Objetivo
? Enumera todos los comandos disponibles para un modo de comando concreto.
Por ejemplo:
ap> ?
command ? Enumera las claves asociadas a un comando.
Por ejemplo:
ap> show ?
command keyword ? Enumera los argumentos asociados a una clave.
Por ejemplo:
ap(config)# cdp holdtime ?
<10-255> Tiempo (en segundos) que el receptor debe conservar este paquete
Abreviacin de los comandos
Tan solo tiene que introducir un nmero suficiente de caracteres para que el
dispositivo inalmbrico reconozca el comando como nico. Este ejemplo muestra
cmo introducir el comando EXEC con privilegios show configuration:
ap# show conf
Uso de las formas No y La mayora de los comandos de configuracin tambin poseen una forma no.
En general, utilice la forma no para inhabilitar una caracterstica o funcin o para
Default en los comandos invertir la accin de un comando. Por ejemplo, el comando de configuracin de
interface no shutdown invierte el apagado de una interface. Utilice el comando
sin la palabra clave no para volver a habilitar una funcin inhabilitada o para
habilitar una funcin inhabilitada de manera predeterminada.
Los comandos de configuracin tambin pueden poseer una forma default. La

forma default de un comando restablece el valor predeterminado de su ajuste.
La mayora de los comandos estn inhabilitados de manera predeterminada, de
modo que la forma default es igual a la forma no. No obstante, algunos comandos
estn habilitados de manera predeterminada y tienen variables configuradas con
determinados valores predefinidos. En estos casos, el comando default habilita el
comando y configura las variables con sus valores predeterminados.

Significado de los mensajes Esta tabla enumera algunos mensajes de error que puede encontrar al utilizar la
CLI para configurar el dispositivo inalmbrico.
de la CLI
Tabla 86 Mensajes de error de la CLI
Mensaje de error Significado Cmo obtener ayuda
% Ambiguous command: show con No ha introducido un nmero suficiente de caracteres Introduzca el comando seguido de un signo de interrogacin (?) con un
para que el dispositivo inalmbrico reconozca el espacio entre el comando y el signo de interrogacin.
comando. Se mostrarn las palabras clave que puede introducir con el comando.
% Incomplete command. No ha introducido todas las palabras clave o valores Introduzca el comando seguido de un signo de interrogacin (?) con un
necesarios para este comando. espacio entre el comando y el signo de interrogacin.
Se mostrarn las palabras clave que puede introducir con el comando.
% Invalid input detected at ^ marker. Ha introducido el comando de manera incorrecta. El Introduzca un signo de interrogacin (?) para ver todos los comandos
signo de intercalacin (^) marca el punto del error. disponibles en este modo.
Se mostrarn las palabras clave que puede introducir con el comando.
Historial de comandos La CLI cuenta con un historial o registro de los comandos introducidos. Esto
resulta especialmente til para recuperar entradas o comandos largos o complejos,
incluidas las listas de acceso. Puede personalizar el historial de comandos para
adaptarlo a sus necesidades.
Modificacin del tamao del bfer del historial de comandos
De manera predeterminada, el dispositivo inalmbrico registra diez lneas de

comando en el bfer de su historial. Desde el modo EXEC con privilegios,
introduzca este comando para modificar el nmero de lneas de comando que el
dispositivo inalmbrico registrar durante la sesin del terminal actual:
ap# terminal history [size number-of-lines]
El intervalo permitido comprende entre 0 y 256.
Desde el modo de configuracin de lnea, introduzca este comando para

configurar el nmero de lneas de comando que el dispositivo inalmbrico
registrar en todas las sesiones en una lnea concreta:
ap(config-line)# history [size number-of-lines]
El intervalo permitido comprende entre 0 y 256.

Recuperacin de comandos Para recuperar comandos desde el bfer del historial, lleve a cabo una de las
acciones indicadas en esta tabla.
Tabla 87 Acciones de recuperacin de comandos y resultados
Accin(1) Resultado
Presione Ctrl-P o la tecla de direccin Recupere los comandos del bfer del historial, empezando por el ms
ascendente. reciente. Repita la secuencia clave para recuperar sucesivamente los
comandos ms antiguos.
Presione Ctrl-N o la tecla de direccin Vuelva a los comandos ms recientes del bfer del historial tras recuperar
descendente. comandos con Ctrl-P o la tecla de direccin ascendente. Repita la secuencia
clave para recuperar sucesivamente los comandos ms recientes.
show history En el modo EXEC con privilegios, enumere los ltimos comandos que acaba de
introducir. El nmero de comandos que se muestran viene determinado por el
ajuste del comando de configuracin global terminal history y el comando de
configuracin de lnea history.
(1) Las teclas de direccin nicamente funcionan en terminales compatibles con ANSI, como VT100s.
Inhabilitacin del historial de comandos
El historial de comandos est automticamente habilitado.
Para inhabilitar la funcin durante la sesin del terminal en curso,

introduzca el comando EXEC con privilegios terminal no history.
Para inhabilitar el historial de comandos de una lnea, introduzca el

comando de configuracin de lnea no history.
Uso de las funciones de Esta seccin describe las funciones de edicin que pueden ayudarle a manipular la
lnea de comandos.
edicin
Habilitacin e inhabilitacin de las funciones de edicin

A pesar de que el modo de edicin mejorada est automticamente habilitado, es
posible inhabilitarlo.
Para volver a habilitar el modo de edicin mejorada en la sesin del terminal en

curso, introduzca este comando en el modo EXEC con privilegios:
ap# terminal editing
Para volver a configurar el modo de edicin mejorada para una lnea concreta,
introduzca este comando en el modo de configuracin de lnea:
ap(config-line)# editing
Para inhabilitar de forma global el modo de edicin mejorada, introduzca este

comando en el modo de configuracin de lnea:
ap(config-line)# no editing

Edicin de comandos mediante teclas
Esta tabla muestra las teclas que se necesitan para editar las lneas de comandos.
Tabla 88 Edicin de comandos mediante teclas
Capability Tecla(1) Objetivo
Desplazamiento por la lnea de Ctrl-B o tecla de Retroceso del cursor un carcter.
comando para realizar cambios o direccin izquierda
correcciones.
Ctrl-F o tecla de Avance del cursor un carcter.
direccin derecha
Ctrl-A Desplazamiento del cursor hasta el comienzo de la lnea
de comando.
Ctrl-E Desplazamiento del cursor hasta el final de la lnea de
comando.
Esc B Retroceso del cursor una palabra.
Esc F Avance del cursor una palabra.
Ctrl-T Intercambio de la posicin del carcter situado a la
izquierda del cursor por la del carcter sobre el que est
situado este.
Recuperacin y pegado de Ctrl-Y Recuperacin de la entrada ms reciente del bfer.
comandos del bfer en la lnea de
comando. El dispositivo inalmbrico Esc Y Recuperacin de la siguiente entrada del bfer.
proporciona un bfer con los ltimos El bfer nicamente contiene los ltimos diez elementos
diez elementos que ha eliminado. que ha eliminado o cortado. Si presiona Esc Y ms de diez
veces, volver a la primera entrada del bfer.
Eliminacin de entradas si comete Tecla de suprimir o Eliminacin del carcter situado a la izquierda del cursor.
un error o cambia de opinin. retroceso
Ctrl-D Eliminacin del carcter sobre el que se encuentra el
cursor.
Ctrl-K Eliminacin de todos los caracteres desde el cursor hasta
el final de la lnea de comando.
Ctrl-U o Ctrl-X Eliminacin de todos los caracteres desde el cursor hasta
el comienzo de la lnea de comando.
Ctrl-W Eliminacin de la palabra situada a la izquierda del cursor
Esc D Eliminacin desde la posicin del cursor hasta el final de
la palabra.
Escritura con mayscula o minscula Esc C Escritura con mayscula de la letra sobre la que se
de palabras o escritura con encuentra el cursor.
mayscula de un grupo de letras.
Esc L Escritura en minsculas de la palabra sobre la que se
encuentra el cursor.
Esc U Escritura en maysculas de las letras desde el cursor
hasta el final de la palabra.
Designacin de una tecla concreta Ctrl-V o Esc Q
como comando ejecutable, quizs
como atajo.
Recorrido de una lnea o pantalla Retorno Recorrido de una lnea.
mayor de lo que el monitor del
terminal puede mostrar. Space Recorrido de una pantalla.
El comando More aparece en
aquellas salidas con ms lneas de
las que se pueden mostrar en la
pantalla del terminal, incluida la
salida del comando show. Puede
utilizar las teclas Return y Space
cuando vea el comando More.
Visualizacin de nuevo de la lnea de Ctrl-L o Ctrl-R Visualizacin de nuevo de la lnea del comando actual.
comando actual si el dispositivo
inalmbrico enva de repente un
mensaje a su pantalla.
(1) Las teclas de direccin nicamente funcionan en terminales compatibles con ANSI, como VT100s.

Edicin de lneas de comando con retorno automtico
Puede utilizar una funcin de retorno automtico para los comandos que ocupan
ms de una lnea en la pantalla. Cuando el cursor alcance el margen derecho, la
lnea de comando se desplazar diez espacios a la izquierda. No podr ver los diez
primeros caracteres de la lnea, pero podr retroceder y comprobar la sintaxis al
inicio del comando.
Para volver al inicio de la entrada del comando, presione Ctrl-B o la tecla de

direccin izquierda varias veces. Tambin puede presionar Ctrl-A para
desplazarse inmediatamente al comienzo de la lnea.
Las teclas de direccin nicamente funcionan en terminales compatibles con

ANSI, como VT100s.
En este ejemplo, la entrada del comando access-list global

configuration ocupa ms de una lnea. Cuando el cursor llegue por primera
vez al final de la lnea, esta se desplazar diez espacios hacia la izquierda y se
volver a mostrar. El smbolo del dlar $ indica que la lnea se ha desplazado a la
izquierda. Cada vez que el cursor llegue al final de la lnea, esta se volver a
desplazar diez espacios hacia la izquierda.
ap(config)# access-list 101 permit tcp 131.108.2.5
255.255.255.0 131.108.1
ap(config)# $ 101 permit tcp 131.108.2.5
255.255.255.0 131.108.1.20 255.25
ap(config)# $t tcp 131.108.2.5 255.255.255.0
131.108.1.20 255.255.255.0 eq
ap(config)# $108.2.5 255.255.255.0 131.108.1.20
255.255.255.0 eq 45
Una vez que haya completado la entrada, presione Ctrl-A para comprobar toda la
sintaxis antes de presionar la tecla de retorno para ejecutar el comando. El
smbolo del dlar ($) aparecer al final de la lnea para indicar que esta se ha
desplazado a la derecha:
ap(config)# access-list 101 permit tcp 131.108.2.5
255.255.255.0 131.108.1$
El software presupone que la pantalla de su terminal tiene un ancho de

80 columnas. Si es distinto, utilice el comando EXEC con privilegios terminal
width para configurar el ancho de su terminal.
Utilice el retorno automtico de lnea con la funcin de historial de comandos

para recuperar y modificar entradas de comandos complejos anteriores. Si desea
informacin sobre cmo recuperar entradas de comandos anteriores, consulte
Edicin de comandos mediante teclas en la pgina 198.

Bsqueda y filtro de los Puede buscar y filtrar la salida de los comandos show y more. Esto resulta til
cuando es necesario clasificar grandes cantidades de salidas o si se desea excluir las
comandos show y more salidas que no hace falta ver.
Para utilizar esta funcin, introduzca un comando show o more seguido del signo
de barra vertical (|), una de las palabras clave begin, include o exclude, y una
expresin que quiera buscar o filtrar:
command | {begin | include | exclude} regular-
expression
Las expresiones son sensibles a las maysculas y minsculas. Por ejemplo, si

introduce | exclude output, no se mostrarn las lneas que contengan output, pero
s aparecern las que contengan Output.
Este ejemplo muestra cmo incluir en la visualizacin de salida nicamente
las lneas en las que aparezca la expresin protocol:
ap# show interfaces | include protocol
Vlan1 is up, line protocol is up
Vlan10 is up, line protocol is down
GigabitEthernet0/1 is up, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
Acceso a la CLI Puede abrir la CLI del dispositivo inalmbrico utilizando Telnet o el intrprete de
rdenes seguro (SSH).
Apertura de la CLI con Telnet

Siga estos pasos para abrir la CLI con Telnet. Este procedimiento se aplica a los
ordenadores con Microsoft Windows con una aplicacin de terminal Telnet.
Compruebe las instrucciones de uso de su ordenador si desea indicaciones
detalladas para su sistema operativo.
1. Haga clic en Start>Programs>Accessories>Telnet.

Si Telnet no aparece en el men Accessories, haga clic en Start>Run,
introduzca Telnet en el campo de entrada y presione Enter.
2. Cuando aparezca la pgina de Telnet, haga clic en Connect y elija Remote
System.
3. En el campo Host Name, introduzca la direccin IP del dispositivo
inalmbrico y haga clic en Connect.
4. En los comandos de nombre de usuario y contrasea, introduzca su
nombre de usuario de administrador y contrasea.
El nombre de usuario por defecto est en blanco y la contrasea
predeterminada es wirelessap. La contrasea de habilitacin
predeterminada es wirelessap. Los nombres de usuario y contraseas son
sensibles a las maysculas y minsculas.

Apertura de la CLI con el El intrprete de rdenes seguro (Secure Shell Protocol o SSH) es un protocolo
que proporciona una conexin remota segura a los dispositivos conectados en red.
intrprete de rdenes seguro El intrprete de rdenes seguro (SSH) es un paquete de software que permite
iniciar sesiones seguras porque cifra la totalidad de estas. El SSH cuenta con una
autenticacin criptogrfica slida, un cifrado fuerte y proteccin de la integridad.
Si desea informacin detallada sobre el SSH, visite la pgina de inicio de SSH
Communications Security, Ltd. en esta URL: http://www.ssh.com/.
SSH proporciona mayor seguridad para las conexiones remotas que Telnet
porque su cifrado se ve reforzado cuando se autentica un dispositivo. Esta versin
es compatible con las versiones 1 y 2 del SSH.
Consulte Configuracin del punto de acceso para Secure Shell en la pgina 241 si
desea instrucciones detalladas sobre la configuracin del dispositivo inalmbrico
para el acceso SSH.
Restablecimiento de los ajustes predeterminados mediante la CLI
ATENCIN: No borre ninguno de los archivos del sistema antes de restablecer

los valores predeterminados o de volver a cargar el software.
Si desea restablecer los ajustes predeterminados del punto de acceso, utilice

cualquiera de estos comandos.
write erase
erase startup-config
Desde el modo EXEC con privilegios, puede restablecer la configuracin del

punto de acceso/puente con los valores predeterminados de fbrica a travs de la
CLI siguiendo estos pasos:
1. Introduzca write erase o erase startup-config.

2. Introduzca write default-config .
3. Introduzca Y cuando aparezca el siguiente mensaje en la CLI:
Erasing the nvram filesystem will remove all
configuration files! Continue? [confirm].
4. Introduzca reload cuando aparezca el siguiente mensaje en la CLI:
Erase of nvram: complete. This command reloads the
operating system.
5. Introduzca Y cuando aparezca el siguiente mensaje en la CLI:
Proceed with reload? [confirm].
ATENCIN: Para evitar daar la configuracin, no interrumpa el proceso de

arranque. Espere a que el indicador de estado del modo de instalacin del punto
de acceso/puente empiece a parpadear en verde antes de proseguir con los
cambios de configuracin de la CLI.
Una vez que se haya reiniciado el punto de acceso/puente, podr

reconfigurarlo a travs de Device Manager o la CLI.

De manera predeterminada, el punto de acceso est configurado para recibir una

direccin IP a travs de DHCP. Para ver la direccin IP de un punto de acceso/
puente, puede utilizar el comando show interface bvi1.
Ejemplos de configuracin de Los ejemplos de esta seccin muestran comandos CLI equivalentes a la creacin
de SSID empleando cada uno de los tipos de seguridad del men Security. Esta
la CLI de seguridad seccin contiene estas configuraciones de ejemplo:
Ejemplo 1: sin seguridad
Este ejemplo muestra parte de la configuracin resultante del uso de la pgina

Security para crear un SSID denominado no_security_ssid, incluirlo en la
baliza, asignarlo a una VLAN 10 y configurar la VLAN 10 como VLAN nativa.
SUGERENCIA Los ejemplos a continuacin no muestran configuraciones completas, tan solo

ilustran el posible aspecto de una configuracin en la CLI.
!
dot11 ssid no_security_ssid
authentication open
VLAN 10:
!
interface Dot11Radio1
no ip address
no ip route-cache
!
ssid no_security_ssid
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0
48.0 54.0
rts threshold 2312
station-role root
!
interface Dot11Radio1.10
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled

Si desea obtener instrucciones en Device Manager, consulte Configuracin de

seguridad en la pgina 62.
Ejemplo 2: WPA con claves previamente compartidas (WPA2-PSK)

Security para crear un SSID denominado wpa2_psk_ssid. Describe la
exclusin del SSID de la baliza, su asignacin a la VLAN 20 y la configuracin de
la gestin de clave WPA2 con una clave previamente compartida y cifrado AES.
ssid wpa2_psk_ssid
VLAN 20:
authentication open
authentication key-management wpa version 2
wpa-psk ascii 7 06345F2247590C48544541
!
no ip address
no ip route-cache
!
encryption vlan 20 mode ciphers aes-ccm
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0
36.0 48.0 54.0
rts threshold 2312
station-role root
bridge-group 1
ssid wpa2_psk_ssid
!

encapsulation dot1Q 20
no ip route-cache
bridge-group 20
!
no ip address
no ip route-cache
!
encryption vlan 20 mode ciphers aes-ccm
!
ssid wpa2_psk_ssid
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0
36.0 48.0 54.0
rts threshold 2312
station-role root
bridge-group 1
!
no ip route-cache
bridge-group 20
Si desea obtener ms instrucciones e informacin en Device Manager, consulte

Limitaciones de seguridad para la configuracin de red en Easy Setup en la
pgina 64.

Ejemplo 3: WPA y EAP

Security para:
crear un SSID denominado wpa_ssid
configurar la gestin de claves WPA con EAP
excluir el SSID de la baliza
asignar el SSID a la VLAN 40
dot11 ssid wpa_ssid
VLAN 40
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
aaa new-model
!
!
aaa group server radius rad_eap
server 10.91.104.92 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa authorization exec default local
aaa session-id common
!
!
bridge irb
!
!
no ip address
no ip route-cache
!
encryption vlan 40 mode ciphers tkip
!
ssid wpa_ssid
!
48.0 54.0
rts threshold 2312
station-role root
bridge-group 1

!
no ip route-cache
bridge-group 40
!
ssid wpa_ssid
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface GigabitEthernet0.40
no ip route-cache
bridge-group 40
!
ip radius source-interface BVI1
radius-server host 10.91.104.92 auth-port 1645
acct-port 1646 key 7 091D1C5A4D5041
!
Si desea obtener instrucciones en Device Manager, consulte Configuracin de

seguridad en la pgina 62.

Asignacin de una direccin Cuando conecte el dispositivo inalmbrico a la LAN por cable, el dispositivo
inalmbrico se conectar a la red a travs de una interface virtual de puente (BVI)
IP mediante la CLI que crear automticamente. En lugar de seguir direcciones IP por separado para
los puertos de radio y Ethernet del dispositivo inalmbrico, la red utilizar la BVI.
Cuando asigne una direccin IP al dispositivo inalmbrico a travs de la CLI,

deber asignar la direccin a la BVI. En el modo EXEC con privilegios, siga estos
pasos para asignar una direccin IP a la BVI del dispositivo inalmbrico:
1. Obtenga acceso al modo de configuracin global para configurar el

terminal.
configure terminal
2. Obtenga acceso al modo de configuracin de interface de la BVI.
interface bvil
3. Asigne una direccin IP y una mscara de direccin a la BVI.
ip address address mask
SUGERENCIA Si est conectado al dispositivo inalmbrico a travs de una sesin
Telnet, perder la conexin con este cuando asigne una nueva
direccin IP a la BVI. Si necesita seguir configurando el dispositivo
inalmbrico con Telnet, utilice la nueva direccin IP para iniciar otra
sesin Telnet en el dispositivo inalmbrico.
Si desea obtener instrucciones en Device Manager, consulte Inicio de sesin en el

punto de acceso en la pgina 55.

Uso de una sesin de Siga estos pasos para obtener acceso a la CLI mediante una aplicacin de
terminal. Este procedimiento se aplica a los ordenadores con Microsoft con
aplicacin del terminal para una aplicacin de terminal Telnet. Compruebe las instrucciones de uso de su
obtener acceso a la CLI ordenador si desea indicaciones detalladas para su sistema operativo.
1. Haga clic en Start>Programs>Accessories>Telnet.

Si Telnet no aparece en el men Accessories, haga clic en Start>Run,
introduzca Telnet en el campo de entrada y presione Enter.
2. Cuando aparezca la pgina de Telnet, haga clic en Connect y elija Remote
System.
3. En el campo Host Name, introduzca la direccin IP del dispositivo
inalmbrico y haga clic en Connect.
SUGERENCIA Tambin puede utilizar un programa de terminal como PuTTY. PuTTY es un SSH
y cliente telnet. Puede descargar la aplicacin desde http://www.putty.org/.
Configuracin del Tradicionalmente, la relacin autenticador/cliente dot1x se entablaba siempre

entre un dispositivo de red y un ordenador personal, respectivamente, ya que el
suplicante 802.1X usuario del ordenador personal tena que autenticarse para obtener acceso a la red.
No obstante, las redes inalmbricas plantean retos nicos para la relacin
tradicional autenticador/cliente.
En primer lugar, los puntos de acceso se pueden situar en lugares pblicos, con la
consiguiente posibilidad de que puedan desconectarse y de que un extrao pueda
utilizar su conexin de red. En segundo lugar, cuando el punto de acceso de un
repetidor se incorpora a una red inalmbrica, este debe autenticarse en el punto de
acceso raz del mismo modo que un cliente.
El suplicante se configura en dos fases:

Creacin y configuracin de un perfil de credenciales
Aplicacin de las credenciales a una interface o SSID
Puede completar las fases en cualquier orden, pero debe hacerlo antes de que el
suplicante est operativo.

Creacin de un perfil de En el modo EXEC con privilegios, siga estos pasos para crear un perfil de
credenciales 802.1X.
credenciales
Si desea obtener informacin en Device Manager, consulte Autenticacin del
punto de acceso en la pgina 121.
1. Obtenga acceso al modo de configuracin global para configurar el

terminal.
configure terminal
2. Cree un perfil de credenciales dot1x y obtenga acceso al submodo de
configuracin de credenciales dot1x.
dot1x credentials profile
3. Introduzca la identidad annima que quiera utilizar. Se trata de un paso
opcional.
anonymous-id description
4. (Opcional) Introduzca una descripcin para el perfil de credenciales.
description description
5. Introduzca el identificador del usuario del servicio de autenticacin.
username username
6. Introduzca una contrasea sin cifrar para las credenciales.
0, a continuacin sigue una contrasea sin cifrar.
7, a continuacin sigue una contrasea oculta. Las contraseas ocultas
se utilizan cuando se aplica una configuracin previamente guardada.
LINE, una contrasea sin cifrar (texto claro). Sin cifrar y texto claro es
lo mismo. Puede introducir un 0 seguido de la contrasea en texto claro
u omitir el 0 e introducir la contrasea en texto claro.
password {0 | 7 | LINE}
7. (Opcional y que solo se utiliza para EAP-TLS) Introduzca el punto de
confianza PKI.
pki-trustpoint pki-trustpoint
8. Vuelva al modo EXEC con privilegios.
end
9. (Opcional) Guarde sus entradas en el archivo de configuracin.
copy running config startup-config
Utilice la forma no del comando dot1x creden para cambiar el signo de un

parmetro.
El ejemplo a continuacin crea un perfil de credenciales denominado test con el

nombre de usuario Rockwell y la contrasea sin cifrar wirelessap.
ap1240AG>enable
Password:xxxxxxx
ap1240AG#config terminal
Enter configuration commands, one per line. End
with CTRL-Z.

ap1240AG(config)# dot1x credentials test

ap1240AG(config-dot1x-creden)#username Rockwell
ap1240AG(config-dot1x-creden)#password wirelessap
ap1240AG(config-dot1x-creden)#exit
ap1240AG(config)#
Aplicacin del perfil de credenciales a un SSID utilizado para el enlace

ascendente
Si tiene un puente de grupo de trabajo o un punto de acceso repetidor en su red
inalmbrica y estn utilizando el suplicante 802.1X del punto de acceso raz,
deber aplicar las credenciales del suplicante 802.1X al SSID que utilice el puente
de grupo de trabajo o un repetidor para asociarse y autenticarse en el punto de
acceso raz.
En el modo EXEC con privilegios, siga estos pasos para aplicar las credenciales a
un SSID empleado para el enlace ascendente.
1. Obtenga acceso al modo de configuracin global.

configure terminal
2. Introduzca el SSID 802.11.
El SSID puede tener hasta 32 caracteres alfanumricos. Los SSID son sensibles a
las maysculas y minsculas. El primer carcter no puede ser !, # o ;. Los caracteres
+, ], /, ", tabulacin y los espacios finales no son vlidos para los SSID.
dot11 ssid ssid
3. Introduzca el nombre de un perfil de credenciales preconfigurado.
dot1x credentials profile
4. Salga del submodo de configuracin de credenciales dot1x.
end
5. Guarde sus entradas en el archivo de configuracin. Se trata de un paso
opcional.
El ejemplo a continuacin aplica la prueba del perfil de credenciales al ssid

testap1 en un punto de acceso repetidor.
repeater-ap>enable
Password:xxxxxxx
repeater-ap#config terminal
with CTRL-Z.
repeater-ap(config-if)#dot11 ssid testap1
repeater-ap(config-ssid)#dot1x credentials test
repeater-ap(config-ssid)#end
repeater-ap(config)

Creacin y aplicacin de De manera opcional puede configurar una lista de mtodos EAP para permitir al
suplicante reconocer un mtodo EAP concreto. Vase Creacin y aplicacin de
perfiles de mtodos EAP perfiles del mtodo EAP para el suplicante 802.1X en la pgina 351.

Notas:

Captulo 7
Administracin del acceso WAP
En este captulo se describe el modo de administrar el dispositivo inalmbrico.

Tema Pgina
Inhabilitacin del botn de modo 214
Prevencin de los accesos no autorizados al punto de acceso 215
Proteccin del acceso a los comandos EXEC con privilegios 215
Control del acceso al punto de acceso con RADIUS 221
Control del acceso al punto de acceso con TACACS+ 228
Configuracin de los ajustes de velocidad y dplex Ethernet 231
Configuracin del punto de acceso para la autenticacin y autorizacin local 232
Configuracin del perfil y la cach de autenticacin 234
Configuracin del punto de acceso para la prestacin del servicio DHCP 238
Configuracin del punto de acceso para Secure Shell 241
Configuracin de la cach ARP para clientes 242
Gestin de la fecha y la hora del sistema 243
Definicin del acceso HTTP 249

Captulo 7 Administracin del acceso WAP
Inhabilitacin del botn de Puede inhabilitar el botn de modo en los puntos de acceso con un puerto de
consola mediante el comando [no] boot mode-button. Este comando
modo impide la recuperacin de la contrasea y se utiliza para evitar que los usuarios no
autorizados obtengan acceso a la CLI del punto de acceso.
IMPORTANTE Este comando inhabilita la recuperacin de la contrasea. Si pierde la

contrasea del modo EXEC con privilegios para el punto de acceso despus de
introducir este comando, tendr que ponerse en contacto con el centro de
asistencia tcnica (TAC) de Cisco para poder obtener acceso de nuevo al punto
de acceso CLI.
El botn de modo est habilitado por defecto. En el modo EXEC con privilegios,
siga estos pasos para inhabilitar el botn de modo del punto de acceso.

configure terminal
2. Inhabilita el botn de modo del punto de acceso.
no boot mode-button
3. No es preciso guardar la configuracin.
end
Puede comprobar el estado del botn de modo ejecutando los comandos show
boot o show boot mode-button en el modo EXEC con privilegios. El
estado no aparecer en la configuracin de ejecucin. A continuacin se muestra
una respuesta tpica a los comandos show boot and show boot mode-
button.
ap#show boot
BOOT path-list: flash:/c1200-k9w7-mx-
v123_7_ja.20050430/c1200-k9w7-mx.v123_7_ja.20050430
Config file: flash:/config.txt
Private Config file: flash:/private-config
Enable Break: no
Manual boot:no
Mode button:on
Enable IOS break: no
HELPER path-list:
NVRAM/Config file
buffer size: 32768
ap#show boot mode-button
on
ap#
Mientras conozca la contrasea del modo EXEC con privilegios, podr

restablecer el funcionamiento normal del botn de modo mediante el comando
boot mode-button.

Administracin del acceso WAP Captulo 7
Prevencin de los accesos no Puede evitar que los usuarios no autorizados reconfiguren el dispositivo inalm-
brico y que vean la informacin de configuracin. Normalmente es deseable
autorizados al punto de permitir el acceso al dispositivo inalmbrico a los administradores de red y
acceso restringirlo a los usuarios que se conectan a travs de un terminal o puesto de
trabajo dentro de la red local.
Para evitar el acceso no autorizado al dispositivo inalmbrico, configure una de

estas caractersticas de seguridad:
Pares de nombre de usuario y contrasea, almacenados a escala local en el

dispositivo inalmbrico. Estos pares autentican a cada usuario antes de que
este pueda obtener acceso al dispositivo inalmbrico. Tambin puede
asignar un nivel de privilegios especfico (solo lectura o lectura/escritura) a
cada par de nombre de usuario y contrasea.
El nombre del usuario por defecto est en blanco y la contrasea

predeterminada es wirelessap. Los nombres de usuario y contraseas
son sensibles a las maysculas y minsculas.
Si desea ms informacin en la CLI, consulte Configuracin de los pares

de nombre de usuario y contrasea en la pgina 218.
SUGERENCIA Los caracteres TAB, ?, $, + y [ no son vlidos para las contraseas.
Pares de nombre de usuario y contrasea almacenados a escala central en

una base de datos en un servidor de seguridad.
Si desea ms informacin, consulte Control del acceso al punto de acceso

con RADIUS en la pgina 221.
Si desea ms informacin, consulte Configuracin de seguridad en la
pgina 62.
Proteccin del acceso a Una forma sencilla de proporcionar control de acceso al terminal en su red
consiste en emplear contraseas y asignar niveles de privilegios. La proteccin
los comandos EXEC con con contrasea restringe el acceso a una red o dispositivo de red. Los niveles de
privilegios privilegios determinan qu comandos pueden emitir los usuarios una vez que han
iniciado sesin en un dispositivo de red.
Si desea informacin completa sobre la sintaxis y el uso de los comandos que

aparecen en este captulo, consulte Cisco IOS Security Command Reference for
Release 12.3 (documento de referencia de los comandos de seguridad de Cisco
IOS versin 12.3).

Configuracin Esta tabla muestra la configuracin predeterminada del nivel de privilegios y la

contrasea.
predeterminada del nivel de
Tabla 89 Contraseas predefinidas y niveles de privilegios
privilegios y la contrasea
Caracterstica Ajuste predeterminado
Nombre de usuario y contrasea El nombre de usuario por defecto est en blanco y la contrasea
predeterminada es wirelessap.
Contrasea de habilitacin y nivel de La contrasea predeterminada es wirelessap. El nivel de privilegios
privilegios predeterminado es 15 (nivel EXEC con privilegios). La contrasea se
encuentra cifrada en el archivo de configuracin.
Contrasea secreta de habilitacin y nivel La contrasea de habilitacin predeterminada es wirelessap.
de privilegios El nivel de privilegios predeterminado es 15 (nivel EXEC con privilegios).
La contrasea se cifra antes de su escritura en el archivo de
configuracin.
Contrasea de lnea La contrasea predeterminada es wirelessap. La contrasea se encuentra
cifrada en el archivo de configuracin.
Configuracin o modificacin La contrasea de habilitacin controla el acceso al modo EXEC con privilegios.
El comando de configuracin global no enable password elimina la
de una contrasea de contrasea de habilitacin, pero tenga mucho cuidado cuando lo utilice. Si
habilitacin esttica elimina la contrasea de habilitacin, ya no podr obtener acceso al modo EXEC.
En el modo EXEC con privilegios, siga estos pasos para configurar o cambiar una
contrasea de habilitacin esttica.

configure terminal
2. Defina una nueva contrasea o cambie una contrasea existente para
obtener acceso al modo EXEC con privilegios.
enable password password
La contrasea predeterminada es wirelessap.

Para password, especifique una cadena de entre 1 y 25 caracteres alfanumricos.
La cadena no puede empezar por un nmero, es sensible a las maysculas y
minsculas y admite espacios en blanco aunque ignora los espacios iniciales.

end
4. Compruebe sus entradas.
show running-config
copy running-config startup-config
La contrasea de habilitacin no est cifrada y se puede leer en el archivo de

configuracin del dispositivo inalmbrico.
Este ejemplo muestra cmo cambiar la contrasea de habilitacin a l1u2c3k4y5.
La contrasea no est cifrada y proporciona acceso al nivel 15 (acceso al modo
EXEC con privilegios tradicional):
AP(config)# enable password l1u2c3k4y5

Proteccin de las contraseas Para establecer una capa de seguridad adicional, sobre todo para las contraseas
que cruzan la red o que se guardan en un servidor (TFTP) de protocolo trivial de
de habilitacin y habilitacin trasferencia de archivos (TFTP), puede utilizar cualquiera de los comandos de
secreta con cifrado configuracin global enable password o enable secret. Ambos coman-
dos llevan a cabo la misma accin; es decir, puede establecer una contrasea
cifrada que los usuarios tendrn que introducir para obtener acceso al modo
EXEC con privilegios (predeterminado) o a cualquier nivel de privilegios que
indique.
Le recomendamos que utilice el comando enable secret porque emplea un

algoritmo de cifrado mejorado.
Si configura el comando enable secret, tendr prioridad sobre el comando

enable password ; ambos comandos no pueden estar efectivos de forma
simultnea.
En el modo EXEC con privilegios, siga estos pasos para configurar el cifrado de
las contraseas de habilitacin y habilitacin secreta.

configure terminal
2. Defina una nueva contrasea o cambie una contrasea existente para
obtener acceso al modo EXEC con privilegios.
enable password [level level] {password |
encryption-type encrypted-password}
o
enable secret [level level] {password | encryption-
type encrypted-password}
Defina una contrasea secreta que se guarde mediante un mtodo de

cifrado irreversible.
(Opcional) El intervalo de la opcin level comprende valores entre
0 y 15. El nivel 1 proporciona privilegios del modo EXEC para usuarios
normales. El nivel predefinido es 15 (privilegios del modo EXEC con
privilegios).
Para la opcin password, especifique una cadena de entre 1 y 25
caracteres alfanumricos. La cadena no puede empezar por un nmero,
es sensible a las maysculas y minsculas y admite espacios en blanco
aunque ignora los espacios iniciales. No hay ninguna contrasea
definida de manera predeterminada.
(Opcional) Para la opcin encryption-type, introduzca solo un 5;
un algoritmo de cifrado patentado de Cisco se encuentra disponible.
Si especifica un tipo de cifrado, deber proporcionar una contrasea
cifrada que tendr que copiar de otra configuracin de punto de acceso.
SUGERENCIA Si especifica un tipo de cifrado y despus introduce una contrasea en
texto comn, no podr volver a obtener acceso al modo EXEC con
privilegios. No se puede recuperar una contrasea cifrada perdida de
ningn modo.

3. (Opcional) Cifre la contrasea durante su definicin o durante la escritura

de la configuracin.
service password-encryption
El cifrado impide que la contrasea se pueda leer en el archivo de

configuracin.
end
Si se han definido la habilitacin y habilitacin de contraseas secretas, los

usuarios debern introducir la habilitacin de contrasea secreta.
Utilice la palabra clave level para definir una contrasea para un nivel de
privilegios especfico. Una vez que haya especificado el nivel y configurado una
contrasea, faciltesela nicamente a los usuarios que necesiten disponer de
acceso a este nivel. Utilice el comando de configuracin global privilege
level para especificar comandos accesible en varios niveles. Si desea ms
informacin, consulte Configuracin de mltiples niveles de privilegios en la
pgina 220.
Si habilita el cifrado de contrasea, este se aplicar a todas las contraseas,

incluidas las de nombre de usuario, clave de autenticacin, comando con
privilegios y lnea de terminal virtual y consola.
Para eliminar una contrasea y nivel, utilice los comandos de configuracin

global no enable password [level level] o no enable
secret [level level].
Para inhabilitar el cifrado de la contrasea, utilice el comando de

configuracin global no service password-encryption.
Este ejemplo muestra cmo configurar la contrasea cifrada

$1$FaD0$Xyti5Rkls3LoyxzS8 para el nivel de privilegios 2:
AP(config)# enable secret level 2 5
$1$FaD0$Xyti5Rkls3LoyxzS8
Configuracin de los pares de Puede configurar pares de nombre de usuario y contrasea que se almacenarn a
escala local en el dispositivo inalmbrico. Estos pares se asignarn a lneas o
nombre de usuario y interfaces y autenticarn a cada usuario antes de que este pueda obtener acceso al
contrasea dispositivo inalmbrico. Si ha definido niveles de privilegios, tambin podr
asignar un nivel de privilegios especfico (con los derechos y privilegios asociados)
a cada par de nombre de usuario y contrasea.
En el modo EXEC con privilegios, siga estos pasos para establecer un sistema de
autenticacin basado en un nombre de usuario que solicite un nombre de usuario
y una contrasea para inicio de sesin.

configure terminal

2. Introduzca el nombre de usuario, nivel de privilegios y contrasea para

cada usuario.
username name [privilege level] {password
encryption-type password}
Para la opcin name, especifique el identificador del usuario en una sola

palabra. No se admite el uso de espacios en blanco y comillas.
(Opcional) Para la opcin level, especifique el nivel de privilegios del

usuario una vez que haya obtenido acceso. El intervalo comprende valores
entre 0 y 15.
El nivel 15 proporciona acceso al modo EXEC con privilegios. El nivel 1

proporciona acceso al modo EXEC de usuario.
Para la opcin encryption-type, introduzca 0 para sealar que a

continuacin se indica una contrasea sin cifrar.
Introduzca 7 para indicar que a continuacin se indica una contrasea

oculta.
Para password, especifique la contrasea que el usuario tendr que

introducir para obtener acceso al dispositivo inalmbrico.
La contrasea debe estar comprendida por entre 1 y 25 caracteres, puede

incluir espacios integrados y deber ser la ltima opcin especificada en el
comando username.
3. Habilite la comprobacin de contrasea local en el momento del inicio de
sesin. La autenticacin se basa en el nombre del usuario especificado en el
paso 2.
login local
end
show running-config
Para inhabilitar la autenticacin basada en el nombre de usuario para un

usuario concreto, utilice el comando de configuracin global no
username name.
Para inhabilitar la comprobacin de contraseas y permitir conexiones sin

contrasea, utilice el comando de configuracin de lnea no login.
SUGERENCIA Debe tener al menos un nombre de usuario y un inicio de sesin local

configurados para abrir una sesin Telnet en el dispositivo inalmbrico. Si no
introduce ningn nombre de usuario, puede que el acceso al dispositivo
inalmbrico quede bloqueado para usted.

Configuracin de mltiples De manera predeterminada, el software Cisco IOS dispone de dos modos de
seguridad de contrasea: EXEC de usuario y EXEC con privilegios. Puede
niveles de privilegios configurar hasta 16 niveles de jerarqua de los comandos para cada modo. Si
configura mltiples contraseas, puede permitir que distintos conjuntos de
usuarios dispongan de acceso a los comandos especificados.
Por ejemplo, si quiere que varios usuarios dispongan de acceso al comando

clear line, puede asignarle una seguridad de nivel 2 y distribuir la contrasea
de nivel 2 de una forma bastante amplia. Pero si desea un acceso ms restringido al
comando configure, puede asignarle seguridad de nivel 3 y distribuir esa
contrasea entre un grupo de usuarios ms limitado.
Configuracin del nivel de privilegios para un comando
En el modo EXEC con privilegios, siga estos pasos para configurar el nivel de
privilegios para un modo de comando.

configure terminal
2. Configure el nivel de privilegios para un comando.
Para mode, introduzca configure para el modo de configuracin
global, exec para el modo EXEC, interface para el modo de
configuracin de interface o line para el modo de configuracin de
lnea.
Para level, el intervalo admitido comprende valores entre 0 y 15.
El nivel 1 proporciona privilegios de modo EXEC de usuario normal.
El nivel 15 es el nivel de acceso que permite la contrasea enable.
Para command, especifique el comando cuyo acceso quiera restringir.
privilege mode level level command
3. Especifique la contrasea de habilitacin para el nivel de privilegios.

El nivel 1 proporciona privilegios de modo EXEC de usuario normal.
Para password, especifique una cadena de entre 1 y 25 caracteres

alfanumricos. La cadena no puede empezar por un nmero, es sensible a
las maysculas y minsculas y admite espacios en blanco aunque ignora los
espacios iniciales. No hay ninguna contrasea definida de manera
predeterminada.
enable password level level password

end
El primer comando proporciona la configuracin del nivel de acceso y la
contrasea. El segundo comando proporciona la configuracin del nivel de
privilegios.

show running-config
o
show privilege
Cuando se configura un comando con un nivel de privilegios, todos los comandos

cuya sintaxis es un subconjunto de dicho comando tambin se configuran con el
mismo nivel. Por ejemplo, si configura el comando show ip route con el nivel
15, los comandos show y show ip se configurarn automticamente con el
nivel de privilegios 15, salvo que los configure con niveles distintos por separado.
Para volver al privilegio predeterminado para un comando determinado, utilice el

comando de configuracin global no privilege mode level level
command.
Este ejemplo muestra cmo configurar el comando configure con un nivel de

privilegios 14 y definir SecretPswd14 como la contrasea que deben
introducir los usuarios para utilizar los comandos de nivel 14:
AP(config)# privilege exec level 14 configure
AP(config)# enable password level 14 SecretPswd14
Inicio y cierre de sesin con un nivel de privilegios

En el modo EXEC con privilegios, siga estos pasos para iniciar y cerrar sesin en
un nivel de privilegios especificado:
1. Inicie sesin en un nivel de privilegios especificado.
enable level
2. Cierre sesin en un nivel de privilegios especificado.
disable level
Control del acceso al punto Esta seccin describe cmo controlar el acceso del administrador al dispositivo
inalmbrico mediante el servicio de usuario de acceso telefnico de autenticacin
de acceso con RADIUS remota (RADIUS). Si desea obtener instrucciones completas sobre cmo
configurar el dispositivo inalmbrico de modo que sea compatible con RADIUS,
consulte Configuracin de los servidores RADIUS y TACACS+ en la
pgina 377.
RADIUS proporciona informacin contable detallada y control administrativo

flexible de los procesos de autenticacin y autorizacin. RADIUS se facilita a
travs de AAA y nicamente se puede habilitar a travs de los comandos AAA.

IOS versin 12.3).

Configuracin predeterminada RADIUS
RADIUS y AAA estn inhabilitados de manera predeterminada.
Para evitar interrupciones en la seguridad, no se puede configurar RADIUS a

travs de una aplicacin de gestin de red mediante SNMP. Cuando est
habilitado, RADIUS puede autenticar a los usuarios que obtienen acceso al
dispositivo inalmbrico a travs de la CLI o HTTP (Device Manager).
Configuracin de la autenticacin para el inicio de sesin en RADIUS
Para configurar la autenticacin AAA, debe definir una lista de mtodos de

autenticacin con nombre y despus aplicarla a varias interfaces. La lista de
mtodos define la secuencia y los tipos de autenticacin que deben llevarse a cabo;
debe aplicarse a una interface concreta antes de ejecutar cualquiera de los mtodos
de autenticacin definidos. La nica excepcin es la lista de mtodos predetermi-
nada. La lista de mtodos predeterminada se aplica automticamente a todas las
interfaces excepto a aquellas con un lista de mtodos nombrada explcitamente
definida.
Una lista de mtodos describe la secuencia y los mtodos de autenticacin que se

aplicarn para autenticar a un usuario. Puede determinar el uso de uno o varios
protocolos de seguridad para la autenticacin, creando as un sistema de seguridad
para la autenticacin en caso de que el mtodo inicial falle. El software utilizar el
primer mtodo enumerado para autenticar a los usuarios; si ese mtodo no
responde, el software seleccionar el siguiente mtodo de autenticacin de la lista.
Y as sucesivamente hasta que se establezca la comunicacin con un mtodo de

autenticacin de la lista o se hayan probado todos los mtodos definidos. Si la
autenticacin falla en cualquier punto de este ciclo (es decir, si el servidor de
seguridad o la base de datos de nombres de usuario local responde denegando el
acceso del usuario), el proceso de autenticacin se detendr y no se probar
ningn otro mtodo de autenticacin.
En el modo EXEC con privilegios, siga estos pasos para configurar el mtodo de
autenticacin para el inicio de sesin. Este procedimiento es necesario.

configure terminal
2. Habilite AAA.
aaa new-model
3. Cree una lista de mtodos de autenticacin para el inicio de sesin.
aaa authentication login {default | list-name}
method1 [method2...]
Para crear una lista predeterminada que se utilice cuando una lista
nombrada no est especificada en el comando login
authentication, utilice la palabra clave default seguida de los
mtodos que deban emplearse en situaciones predeterminadas. La lista
de mtodos predeterminada se aplicar automticamente a todas las
interfaces.

Para list-name, especifique una cadena de caracteres para asignar un

nombre a la lista que est creando.
Para method1..., especifique el mtodo que realmente probar el
algoritmo de autenticacin. Los mtodos de autenticacin adicionales
nicamente se utilizarn si el mtodo anterior genera un error, no si
falla.
Elija uno de estos mtodos:
local
Utilice la base de datos de nombres de usuario para la autenticacin.

Debe introducir la informacin del nombre de usuario en la base de
datos. Utilice el comando de configuracin global username
password.
radius
Utilice el mtodo de autenticacin RADIUS. Deber configurar el

servidor RADIUS antes de poder utilizar este mtodo de autenticacin.
Para obtener ms informacin, consulte Identificacin del anfitrin
servidor RADIUS en la pgina 380.
4. Obtenga acceso al modo de configuracin de lnea y aplique la lista de
autenticacin.
line [console | tty | vty] line-number [ending-
line-number]
5. Aplique la lista de autenticacin a una lnea o a un conjunto de ellas.
Si especifica default, utilice la lista predeterminada creada con el
comando aaa authentication login.
Para list-name, especifique la lista creada con el comando aaa
authentication login.
login authentication {default | list-name}
end
show running-config
Para inhabilitar AAA, utilice el comando de configuracin global no aaa

new-model.
Para inhabilitar la autenticacin AAA, utilice el comando de configuracin

global no aaa authentication login {default | list-
name} method1 [method2...].
Para inhabilitar el mtodo de autenticacin RADIUS para el inicio de

sesin o volver al valor predeterminado, utilice el comando de
configuracin de lnea no login authentication {default |
list-name}.

Definicin de los grupos de servidores AAA
Puede configurar el dispositivo inalmbrico de modo que utilice los grupos de

servidores AAA para agrupar los servidores principales existentes con fines de
autenticacin. Deber elegir un subconjunto de los servidores principales
configurados y utilizarlos para un servicio concreto. El grupo de servidores se
utilizar con una lista de servidores principales globales donde se enumerarn las
direcciones IP de los servidores principales seleccionados.
Los grupos de servidores tambin pueden incluir mltiples entradas de anfitrin

para el mismo servidor si cada entrada cuenta con un identificador nico (la
combinacin de direccin IP y nmero de puerto UDP), permitiendo definir
distintos puertos por separado como anfitriones RADIUS para la prestacin de
un servicio AAA especfico. Si configura dos entradas de anfitrin distintas en
el mismo servidor RADIUS para el mismo servicio (como por ejemplo, la
contabilidad), la segunda entrada de anfitrin configurada actuar como entrada
de respaldo en caso de fallo de la primera.
Utilice el comando de configuracin de grupos de servidores server para

asociar un servidor concreto a un grupo de servidores definido. Puede identificar
el servidor por su direccin IP o identificar mltiples entradas o instancias de
anfitrin mediante las claves opcionales auth-port y acct-port.
En el modo EXEC con privilegios, siga estos pasos para definir el grupo de
servidores AAA y asociar un servidor RADIUS especfico al mismo.

configure terminal
2. Habilite AAA.
aaa new-model
3. Especifique la direccin IP o el nombre del anfitrin servidor RADIUS
remoto.
radius-server host {hostname | ip-address} [auth-
port port-number] [acct-port port-number] [timeout
seconds] [retransmit retries] [key string]
(Opcional) Para auth-port port-number, especifique el puerto
de destino UDP para las solicitudes de autenticacin.
(Opcional) Para acct-port port-number, especifique el puerto
de destino UDP para las solicitudes de contabilidad.
(Opcional) Para timeout seconds, especifique el intervalo de
tiempo que el dispositivo inalmbrico esperar a que el servidor
RADIUS responda antes de retransmitir. El intervalo comprende entre
1 y 1000. Este ajuste anula el ajuste del comando de configuracin
global radius-server timeout. Si no se configura ningn lmite
de tiempo de espera con el comando radius-server host, se
utilizar el ajuste del comando radius-server timeout.

(Opcional) Para retransmit retries, especifique el nmero de

veces que se reenviar una solicitud RADIUS a un servidor en caso de
que este no responda o lo haga con lentitud. El intervalo comprende
entre 1 y 1000. Si no se configura ningn valor de retransmisin con el
comando radius-server host, se utilizar el ajuste del comando
de configuracin global radius-server retransmit.
(Opcional) Para key string , especifique la clave de autenticacin y
cifrado que se utilizar entre el dispositivo inalmbrico y el centinela
RADIUS que se ejecute en el servidor RADIUS.
SUGERENCIA La clave es una cadena de texto que debe coincidir con la clave de
cifrado empleada en el servidor RADIUS. Configure siempre la clave
como el ltimo tem del comando radius-server host. Los espacios
iniciales se ignoran, pero los que estn dentro y al final de la clave se
tienen en cuenta. Si utiliza espacios en su clave, no escriba la clave
entre comillas, salvo que estas formen parte de ella.
Para configurar el dispositivo inalmbrico de modo que reconozca ms de una

entrada de anfitrin asociada a una nica direccin IP, introduzca este comando
tantas veces como sea necesario, asegurndose de que cada nmero de puerto
UDP sea distinto. El software del dispositivo inalmbrico buscar los equipos
anfitriones en el orden en el que los especifique. Configure los valores de tiempo
de espera, retransmisin y la clave de cifrado para su uso con el anfitrin
RADIUS especfico.
4. Defina el grupo de servidores AAA con un nombre de grupo.
Este comando sita el dispositivo inalmbrico en el modo de configuracin
de un grupo de servidores.
aaa group server radius group-name
5. Asocie un servidor RADIUS concreto al grupo de servidores definido.
Repita este paso con cada servidor RADIUS del grupo de servidores AAA.
Cada servidor del grupo deber haber sido previamente definido en el
paso 2.
server ip-address
end
show running-config
9. Habilite el mtodo de autenticacin para el inicio de sesin RADIUS.
Consulte Configuracin de la autenticacin para el inicio de sesin en
RADIUS en la pgina 222 para obtener ms informacin.
Para eliminar el servidor RADIUS especificado, utilice el comando de
configuracin global no radius-server host hostname |
ip-address.
Para eliminar un grupo de servidores de la lista de configuracin, utilice
el comando de configuracin global no aaa group server
radius group-name.

Para eliminar la direccin IP de un servidor RADIUS, utilice el

comando de configuracin de grupos de servidores no server ip-
address.
En este ejemplo, el dispositivo inalmbrico se configura de modo que reconozca

dos grupos de servidores RADIUS distintos (group1 y group2). El grupo 1
presenta dos entradas de anfitrin distintas en el mismo servidor RADIUS
configurado para los mismos servicios. La segunda entrada de anfitrin acta
como entrada de respaldo en caso de fallo de la primera entrada.
AP(config)# aaa new-model
AP(config)# radius-server host 172.20.0.1 auth-port
1000 acct-port 1001
1645 acct-port 1646
AP(config)# aaa group server radius group1
AP(config-sg-radius)# server 172.20.0.1 auth-port
1000 acct-port 1001
AP(config-sg-radius)# exit
2000 acct-port 2001
Configuracin de la autorizacin RADIUS para el acceso de usuario

con privilegios y los servicios de red
La autorizacin AAA limita los servicios disponibles para un usuario. Cuando se

habilita la autorizacin AAA, el dispositivo inalmbrico utiliza la informacin
recuperada del perfil de usuario, que se encuentra en la base de datos de usuarios
local o en el servidor de seguridad, para configurar la sesin del usuario. El acceso
a un servicio solicitado se concede al usuario nicamente si la informacin de su
perfil lo permite.
Puede utilizar el comando de configuracin global aaa authorization con

la palabra clave radius para configurar los parmetros que restringen el acceso a
la red de un usuario al modo EXEC con privilegios.
El comando aaa authorization exec radius local configura estos

parmetros de autorizacin.
Utilice RADIUS para la autorizacin del acceso EXEC con privilegios en

caso de que la autenticacin se haya llevado a cabo mediante RADIUS.
Utilice la base de datos local si la autenticacin no se ha llevado a cabo

mediante RADIUS.
SUGERENCIA Aunque est configurado, el paso de autorizacin se omitir para los usuarios
autenticados que inicien sesin a travs de la CLI.

En el modo EXEC con privilegios, siga estos pasos para especificar la autorizacin
RADIUS para el acceso EXEC con privilegio y los servicios de red:

configure terminal
2. Configure el dispositivo inalmbrico para la autorizacin RADIUS del
usuario para todas las solicitudes de servicio relacionadas con la red.
aaa authorization network radius
3. Configure el dispositivo inalmbrico para la autorizacin RADIUS del
usuario para determinar si el usuario dispone de acceso EXEC con
privilegios.
La clave exec puede proporcionar informacin del perfil del usuario
(como la informacin autocommand).
aaa authorization exec radius
end
show running-config
Para inhabilitar la autorizacin, utilice el comando de configuracin global

no aaa authorization {network | exec} method1.
Visualizacin de la configuracin RADIUS
Para ver la configuracin RADIUS, utilice el comando EXEC con privilegios

show running-config .

Control del acceso al punto Esta seccin describe cmo controlar el acceso del administrador al dispositivo
inalmbrico mediante el sistema de control de acceso del controlador de acceso a
de acceso con TACACS+ terminales ms (TACACS+).
Si desea obtener instrucciones completas sobre cmo configurar el dispositivo

inalmbrico de modo que sea compatible con TACACS+, consulte
Configuracin de los servidores RADIUS y TACACS+ en la pgina 377.
TACACS+ proporciona informacin contable detallada y control administrativo

flexible de los procesos de autenticacin y autorizacin. TACACS+ se facilita a
travs de AAA y nicamente se puede habilitar a travs de los comandos AAA.

IOS versin 12.3).
Configuracin TACACS+ predeterminada
TACACS+ y AAA estn inhabilitados de manera predeterminada.
Para evitar interrupciones en la seguridad, no se puede configurar TACACS+ a

travs de una aplicacin de gestin de red mediante SNMP. Cuando est
habilitado, TACACS+ puede autenticar a los administradores que obtienen
acceso al dispositivo inalmbrico a travs de la CLI o HTTP (Device Manager).
Configuracin de la autenticacin para el inicio de sesin TACACS+

mtodos define los tipos de autenticacin y el orden en el que se deben ejecutar;
debe aplicarse a una interface concreta antes de llevar a cabo cualquiera de los
mtodos de autenticacin definidos.
La nica excepcin es la lista de mtodos predeterminada. La lista de mtodos

predeterminada se aplica automticamente a todas las interfaces excepto a
aquellas con un lista de mtodos nombrada explcitamente definida. Una lista de
mtodos definida anular la lista de mtodos predeterminada.

para la autenticacin en caso de que el mtodo inicial falle. El software utilizar el
primer mtodo enumerado para autenticar a los usuarios; si ese mtodo falla, el
software seleccionar el siguiente mtodo de autenticacin de la lista.



configure terminal
2. Habilite AAA.
aaa new-model
Para crear una lista predeterminada que se utilice cuando una lista nom-
brada no est especificada en el comando login authentication,
utilice la palabra clave default seguida de los mtodos que deban
emplearse en situaciones predeterminadas. La lista de mtodos
predeterminada se aplicar automticamente a todas las interfaces.


nicamente se utilizarn si el mtodo anterior genera un error, no si falla.
local
Utilice la base de datos de nombres de usuario para la autenticacin. Debe

introducir la informacin del nombre de usuario en la base de datos.
Utilice el comando de configuracin global username password.
tacacs+
Utilice la autenticacin TACACS+. Deber configurar el servidor

TACACS+ antes de poder utilizar este mtodo de autenticacin.
4. Obtenga acceso al modo de configuracin de lnea y aplique la lista de
autenticacin.
line-number]
authentication login.
end
show running-config


new-model.
global no aaa authentication login {default | list-name}
method1 [method2...].
Para inhabilitar el mtodo de autenticacin TACACS+ para el inicio de
sesin o para volver al valor predeterminado, utilice el comando de
configuracin de lnea no login authentication {default |
list-name}.
Configuracin de la autorizacin TACACS+ para el acceso EXEC con

privilegios y los servicios de red
La autorizacin AAA limita los servicios disponibles para un usuario. Cuando

la autorizacin AAA est habilitada, el dispositivo inalmbrico utiliza la
informacin recuperada del perfil del usuario, que se encuentra en la base de datos
de usuarios local o en el servidor de seguridad, para configurar la sesin del
usuario. El acceso a un servicio solicitado se concede al usuario nicamente si la
informacin de su perfil lo permite.

la palabra clave tacacs+ para configurar los parmetros que restringen el acceso
a la red de un usuario al modo EXEC con privilegios.
El comando aaa authorization exec tacacs+ local configura estos

parmetros de autorizacin:
Utilice TACACS+ para la autorizacin de acceso EXEC con privilegios en

caso de que la autenticacin se haya llevado a cabo mediante TACACS+.

mediante TACACS+.
TACACS+ para el acceso EXEC con privilegios y los servicios de red.

configure terminal
2. Configure el dispositivo inalmbrico para la autorizacin TACACS+ del
usuario para todas las solicitudes de servicio relacionadas con la red.
aaa authorization network tacacs+
3. Configure el dispositivo inalmbrico para la autorizacin TACACS+ del
usuario para determinar si el usuario dispone de acceso EXEC con
privilegios.

La palabra clave exec puede proporcionar informacin del perfil del

usuario (como la informacin autocommand ).
aaa authorization exec tacacs+
end
show running-config
Para inhabilitar la autorizacin, utilice el comando de configuracin global no

aaa authorization {network | exec} method1.
Visualizacin de la configuracin TACACS+

Para ver las estadsticas del servidor TACACS+, utilice el comando EXEC
con privilegios show tacacs.
Configuracin de los ajustes Puede asignar los ajustes de velocidad y dplex del puerto Ethernet del dispositivo
inalmbrico. Le recomendamos que utilice auto, el valor predeterminado,
de velocidad y dplex para los ajustes de velocidad y dplex en el puerto Ethernet del dispositivo
Ethernet inalmbrico. Cuando el dispositivo inalmbrico reciba la alimentacin en lnea
procedente de un switch, cualquier cambio en los ajustes de velocidad o dplex
que reinicie la conexin Ethernet rearrancar el dispositivo inalmbrico.
Si el puerto switch al que est conectado el dispositivo inalmbrico no est

configurado como auto, puede cambiar el puerto del dispositivo inalmbrico
a half o full para corregir una desigualdad de dplex sin que se reinicie a
conexin Ethernet. No obstante, si cambia de half o full a auto de nuevo, la
conexin se reiniciar y, si el dispositivo inalmbrico recibe alimentacin en lnea
procedente de un switch, el dispositivo inalmbrico rearrancar.
IMPORTANTE Los ajustes de velocidad y dplex en el puerto Ethernet del dispositivo

inalmbrico debern coincidir con los ajustes Ethernet del puerto al que se
conecte el dispositivo inalmbrico.
Si cambia los ajustes del puerto al que se conecta el dispositivo inalmbrico,
deber cambiar los ajustes del puerto Ethernet del dispositivo inalmbrico
para que coincidan.

Los ajustes de velocidad y dplex de Ethernet estn configurados como auto de

manera predeterminada. En el modo EXEC con privilegios, siga estos pasos para
configurar la velocidad y dplex de Ethernet.

configure terminal
2. Obtenga acceso al modo de la interface de configuracin.
interface gigabitEthernet0
3. Configure la velocidad de Ethernet. Le recomendamos que utilice auto, el
valor predeterminado.
speed {10 | 100 | 1000 | auto}
4. Configure el ajuste dplex. Le recomendamos que utilice auto, el valor
predeterminado.
duplex {auto | full | half}
end
show running-config
Configuracin del punto de Puede configurar la opcin AAA para que funcione sin un servidor configurando
el dispositivo inalmbrico de modo que implemente AAA en modo local.
acceso para la autenticacin Entonces el dispositivo inalmbrico gestionar los procesos de autenticacin y
y autorizacin local autorizacin. No hay contabilidad disponible en esta configuracin.
SUGERENCIA Puede configurar el dispositivo inalmbrico como un autenticador local para

los dispositivos cliente compatibles con 802.1x, de modo que acte como
equipo de respaldo de su servidor principal o que preste servicios de
autenticacin en una red sin un servidor RADIUS.
Consulte Configuracin de un punto de acceso como autenticador local en la
pgina 307 para obtener instrucciones detalladas sobre la configuracin del
dispositivo inalmbrico como un autenticador local.
En el modo EXEC con privilegios, siga estos pasos para configurar el dispositivo
inalmbrico para AAA local.

configure terminal
2. Habilite AAA.
aaa new-model
3. Configure el mtodo de autenticacin para el inicio de sesin mediante el
uso de la base de datos de nombres de usuario local.

La clave default se aplica a la autenticacin de la base de datos de

usuarios local en todas las interfaces.
aaa authentication login default local
4. Configure la autorizacin AAA del usuario para determinar si el usuario
puede ejecutar el shell EXEC comprobando la base de datos local.
aaa authorization exec local
5. Configure la autorizacin AAA del usuario para todas las solicitudes de
servicio relacionadas con la red.
aaa authorization network local
6. Obtenga acceso a la base de datos local y establezca un sistema de
autenticacin en funcin del nombre de usuario.
Repita este comando para cada usuario.
Para name, especifique el identificador del usuario con una sola palabra.
No se admite el uso de espacios en blanco y comillas.
(Opcional) Para level, especifique el nivel de privilegios que tendr el

usuario tras obtener acceso. El intervalo comprende entre 0 y 15. El
nivel 15 proporciona acceso al modo EXEC con privilegios. El nivel 0
proporciona acceso al modo EXEC de usuario.
Para encryption-type, introduzca 0 para sealar que a continuacin se indica

una contrasea sin cifrar. Introduzca 7 para sealar que a continuacin se
indica una contrasea oculta.
Para password, especifique la contrasea que deber introducir el usuario

para obtener acceso al dispositivo inalmbrico. La contrasea debe estar
comprendida por entre 1 y 25 caracteres, puede incluir espacios integrados
y deber ser la ltima opcin especificada en el comando username.
username name [privilege level] {password

encryption-type password}
end
show running-config

new-model. Para inhabilitar la autorizacin, utilice el comando de
configuracin global no aaa authorization {network | exec}
method1.

Configuracin del perfil y la La caracterstica del perfil y la cach de autenticacin permiten al punto de acceso
almacenar en una memoria cach las respuestas de autenticacin/autorizacin
cach de autenticacin para un usuario de modo que no sea necesario enviar las posteriores solicitudes de
autenticacin/autorizacin al servidor AAA.
SUGERENCIA En el punto de acceso, esta funcin solo es compatible con la autenticacin de

administrador.
Los comandos a continuacin, compatibles con esta caracterstica, se encuentran

en Cisco IOS Release 12.3(7) y posteriores:
cache expiry
cache authorization profile
cache authentication profile
aaa cache profile
Si desea obtener una lista de comandos CLI de Cisco IOS, consulte la

publicacin Cisco IOS Command Reference for Cisco Aironet Access Points
and Bridges Guide (manual de referencia de los comandos Cisco IOS para los
puentes y puntos de acceso Cisco Aironet).

A continuacin se incluye un ejemplo de configuracin de un punto de acceso

con autenticacin de administrador mediante TACACS+ y la cach de
autenticacin habilitada. Aunque este ejemplo se basa en un servidor TACACS,
el punto de acceso se puede configurar para la autenticacin del administrador
mediante RADIUS:
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
username Cisco password 7 123A0C041104
username admin privilege 15 password 7
01030717481C091D25
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.134.229 auth-port 1645 acct-port
1646
!
aaa group server radius rad_mac
1646
!
aaa group server radius rad_acct
1646
!
aaa group server radius rad_admin
1646
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server tacacs+ tac_admin
server 192.168.133.231
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local cache
tac_admin group tac_admin
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local cache
tac_admin group tac_admin

aaa accounting network acct_methods start-stop

group rad_acct
aaa cache profile admin_cache
all
!
aaa session-id common
!
!
!
bridge irb
!
!
no ip address
no ip route-cache
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-
11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
!
no ip address
no ip route-cache
shutdown
48.0 54.0
station-role root
bridge-group 1
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface BVI1
ip address 192.168.133.207 255.255.255.0
no ip route-cache
!
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/
779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1

!
tacacs-server host 192.168.133.231 key 7
105E080A16001D1908
tacacs-server directed-request
radius-server attribute 32 include-in-access-req
format %h
radius-server host 192.168.134.229 auth-port 1645
acct-port 1646 key 7 111918160405041E00
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
transport input all
line vty 5 15
transport input all
!
end

Configuracin del punto de Los puntos de acceso estn configurados de manera predeterminada para recibir
ajustes IP de un servidor DHCP en su red. Tambin puede configurar un punto
acceso para la prestacin de acceso para que acte como un servidor DHCP que asigne ajustes IP a
del servicio DHCP dispositivos en sus redes LAN por cable e inalmbricas.
SUGERENCIA Cuando se configura el punto de acceso como servidor DHCP, este asigna
direcciones IP a los dispositivos en su subred. Los dispositivos se comunican
con otros dispositivos en la subred pero no fuera de ella. Si necesita transmitir
datos fuera de la subred, deber asignar un router predeterminado. La
direccin IP del router predeterminado debe estar en la misma subred que el
punto de acceso configurado como servidor DHCP.
Si desea informacin detallada sobre los comandos asociados a las opciones y

comandos DHCP, consulte Configuring DHCP in the Cisco IOS IP
Configuration Guide, Release 12.3 (manual de configuracin de DHCP en la
configuracin IP de Cisco IOS, versin 12.3).
Configuracin del servidor DHCP
En el modo EXEC con privilegios, siga estos pasos para configurar un punto de
acceso de modo que preste un servicio DHCP y especificar un router
predeterminado.

configure terminal
2. Excluya la direccin IP del dispositivo inalmbrico del intervalo de
direcciones que asigne el dispositivo inalmbrico. Introduzca la direccin
IP en cuatro grupos de caracteres, por ejemplo 10.91.6.158.
El dispositivo inalmbrico dar por supuesto que todas las direcciones IP
en una subred de fondo de direcciones DHCP se encuentran disponibles
para su asignacin a clientes DHCP. Deber especificar qu direcciones IP
no deber asignar el servidor DHCP a clientes.
(Opcional) Para introducir un intervalo de direcciones excluidas,
introduzca la direccin en el extremo inferior del intervalo seguida de la
direccin en el extremo superior del intervalo.
ip dhcp excluded-address low_address
[ high_address ]
3. Cree un nombre para el fondo de direcciones IP que el dispositivo
inalmbrico asignar como respuesta a solicitudes DHCP y obtenga acceso
al modo de configuracin DHCP.
ip dhcp pool pool_name
4. Asigne el nmero de subred para el fondo de direcciones. El dispositivo
inalmbrico asignar direcciones IP dentro de esta subred.
(Opcional) Asigne una mscara de subred al fondo de direcciones o
especifique el nmero de bits que componen el prefijo de la direccin. El
prefijo constituye una forma alternativa de asignacin de la mscara de red.
La longitud del prefijo debe ir precedida de una barra (/).
network subnet_number
[ mask | prefix-length ]

5. Configure la duracin de la asignacin de las direcciones IP distribuidas

por el dispositivo inalmbrico.
das, configure la duracin de la asignacin en un nmero de das
(opcional) horas, configure la duracin de la asignacin en un nmero
de horas
(opcional) minutos, configure la duracin de la asignacin en un
nmero de minutos
infinito, configure la duracin de la asignacin como infinita
lease { days [ hours ] [ minutes ] |
infinite }
6. Especifique la direccin IP del router predeterminado para los clientes
DHCP en la subred. Se necesita una direccin IP; no obstante, puede
especificar hasta ocho direcciones en una lnea de comando.
default-router address [address2 ... address 8]
end
show running-config
Utilice la forma no de estos comandos para volver a los ajustes predeterminados.
Este ejemplo muestra cmo configurar el dispositivo inalmbrico como un

servidor DHCP, excluir un intervalo de direcciones IP y asignar un router
predeterminado:
AP(config)# ip dhcp excluded-address 172.16.1.1
172.16.1.20
AP(config)# ip dhcp pool wishbone
AP(dhcp-config)# network 172.16.1.0 255.255.255.0
AP(dhcp-config)# lease 10
AP(dhcp-config)# default-router 172.16.1.1
AP(dhcp-config)# end

Supervisin y Puede utilizar los comandos show y clear para supervisar y mantener el punto
de acceso servidor DHCP.
mantenimiento del punto
de acceso servidor DHCP
Comandos de visualizacin
En el modo EXEC, obtenga acceso a los comandos de esta tabla para ver la
informacin sobre el dispositivo inalmbrico como un servidor DHCP.
Tabla 90 Comandos show del servidor DHCP
Comando Objetivo
show ip dhcp conflict Proporciona una lista de todos los conflictos de direccin
[ address ] registrados por un servidor DHCP concreto. Introduzca la
direccin IP de dispositivo inalmbricopara ver los conflictos
registrados por el dispositivo inalmbrico.
show ip dhcp database Muestra la actividad reciente en la base de datos DHCP.
[ url ] Utilice este comando en el modo EXEC con privilegios.
show ip dhcp server Proporciona informacin de recuento sobre las estadsticas

statistics del servidor y los mensajes enviados y recibidos.
Comandos de eliminacin
En el modo EXEC con privilegios, utilice los comandos de esta tabla para
eliminar las variables del servidor DHCP.
Tabla 91 Comandos clear del servidor DHCP
Comando Objetivo
clear ip dhcp binding Elimina una vinculacin de direccin automtica de la base
{ address | * } de datos DHCP. Si se especifica el argumento de la direccin
se elimina la vinculacin automtica de una direccin IP
(cliente) concreta. La introduccin de un asterisco (*)
elimina todas las vinculaciones automticas.
clear ip dhcp conflict Elimina un conflicto de direccin de la base de datos DHCP.
{ address | * } Si se introduce el argumento de la direccin se elimina el
conflicto de una direccin IP concreta. Si se introduce un
asterisco (*) se eliminan los conflictos de todas las
direcciones.
clear ip dhcp server Configura todos los contadores del servidor DHCP con el
statistics valor 0.
Comandos de depuracin
Para habilitar la depuracin del servidor DHCP, utilice este comando en el modo
EXEC con privilegios:
debug ip dhcp server { events | packets | linkage }
Utilice la forma no del comando para inhabilitar la depuracin para el servidor

DHCP del dispositivo inalmbrico.

Configuracin del punto de Esta seccin describe cmo configurar la funcin Secure Shell (SSH, intrprete
de rdenes seguro).
acceso para Secure Shell
aparecen en esta seccin, consulte Secure Shell Commands (comandos
Secure Shell) en Cisco IOS Security Command Reference for Release 12.3
(documento de referencia de los comandos de seguridad de Cisco IOS versin 12.3).
Descripcin de SSH
SSH es un protocolo que proporciona una conexin remota segura con un

dispositivo de capa 2 o capa 3. Existen dos versiones del SSH: SSH versin 1 y
SSH versin 2. Esta versin de software es compatible con ambas versiones SSH.
Si no especifica el nmero de versin, el punto de acceso se configurar de forma
predeterminada con la versin 2.
SSH proporciona mayor seguridad para las conexiones remotas que Telnet
porque su cifrado se ve reforzado cuando se autentica un dispositivo. La
caracterstica SSH cuenta con un servidor SSH y un cliente integrado SSH.
El cliente es compatible con estos mtodos de autenticacin del usuario:
RADIUS
Vase Control del acceso al punto de acceso con RADIUS en la

pgina 221.
Autenticacin y autorizacin locales
Vase la seccin Configuracin del punto de acceso para la autenticacin y

autorizacin local en la pgina 232.
Configuracin de SSH
Si desea informacin completa sobre la configuracin de SSH y la visualizacin
de los ajustes SSH, consulte estas publicaciones:
Cisco IOS Security Configuration Guide for Release 12.3 (manual de
configuracin de seguridad de Cisco IOS para la versin 12.3)
Configuracin de Secure Shell en routeres y switches que ejecutan
Cisco IOS

Configuracin de la cach Puede configurar el dispositivo inalmbrico de modo que mantenga una cach
ARP para los dispositivos cliente asociados. El mantenimiento de una cach ARP
ARP para clientes en el dispositivo inalmbrico reducir la carga de trfico en su LAN inalmbrica.
La cach ARP est inhabilitada de manera predeterminada.
La cach ARP en el dispositivo inalmbrico reduce el trfico en su LAN

inalmbrica porque detiene las solicitudes de ARP para los dispositivos cliente
en el dispositivo inalmbrico. En lugar de enviar las solicitudes ARP a los
dispositivos cliente, el dispositivo inalmbrico responde a las solicitudes en
nombre de los dispositivos cliente asociados.
Cuando la cach ARP est inhabilitada, el dispositivo inalmbrico enva todas

las solicitudes ARP a travs del puerto de radio a los clientes asociados y el cliente
responde. Cuando la cach ARP est habilitada, el dispositivo inalmbrico
responde a las solicitudes ARP para los clientes asociados y no enva solicitudes a
clientes. Cuando el dispositivo inalmbrico recibe una solicitud ARP para una
direccin IP que no se encuentra en la cach, el dispositivo inalmbrico deja que
se pierda la solicitud y no la dirige. En su baliza, el dispositivo inalmbrico incluye
un elemento informativo que avisa a los dispositivos cliente de que pueden obviar
con seguridad los mensajes de transmisin para incrementar la vida til de la
batera.
Cach ARP opcional
Si un dispositivo cliente est asociado a un punto de acceso en un dispositivo

distinto de Cisco y no est transmitiendo datos, el dispositivo inalmbrico no
conocer la direccin IP del cliente. Si esta situacin se da con frecuencia en su
LAN inalmbrica, puede habilitar la cach ARP opcional. Cuando la cach ARP
es opcional, el dispositivo inalmbrico responde en nombre de los clientes con
direcciones IP conocidas para el dispositivo inalmbrico pero enva desde su
puerto de radio cualquier solicitud ARP dirigida a clientes desconocidos. Cuando
el dispositivo inalmbrico aprenda las direcciones IP de todos los clientes
asociados, dejar que se pierdan las solicitudes ARP que no se dirijan a sus clientes
asociados.

Configuracin de la cach ARP
En el modo EXEC con privilegios, siga estos pasos para configurar el dispositivo
inalmbrico de modo que mantenga una cach ARP para los clientes asociados:

configure terminal
2. Habilitacin de la cach ARP en el dispositivo inalmbrico.
(Opcional) Utilice la palabra clave optional para habilitar la cach
ARP nicamente para los dispositivos cliente cuyas direcciones IP sean
conocidas para el dispositivo inalmbrico.
dot11 arp-cache [ optional ]
end
show running-config
Este ejemplo muestra cmo configurar la cach ARP en un punto de acceso:

AP(config)# dot11 arp-cache
AP(config)# end
Gestin de la fecha y la hora Puede gestionar la hora y fecha del sistema en el dispositivo inalmbrico de forma
automtica mediante el uso del protocolo simple de tiempo de red (Simple
del sistema Network Time Protocol o SNTP), o manualmente, configurando la hora y la
fecha en el dispositivo inalmbrico.

aparecen en este captulo, consulte Cisco IOS Configuration Fundamentals
Command Reference and the Cisco IOS IP and IP Routing Command
Reference (documento de referencia de los comandos bsicos de configuracin
de Cisco IOS y de los comandos de enrutamiento IP e IP de Cisco IOS).
El protocolo simple de tiempo de red (SNTP) es una versin simplificada, solo

para clientes, del NTP. El SNTP nicamente puede recibir la hora procedente de
los servidores NTP; no puede utilizarse para proporcionar servicios horarios a
otros sistemas. El SNTP normalmente proporciona una hora con una precisin
de 100 milisegundos, pero no ofrece los complejos mecanismos de filtro y
estadsticos del NTP.

Puede configurar SNTP para que solicite y acepte paquetes procedentes de

servidores configurados o para que acepte paquetes de transmisin NTP
procedentes de cualquier fuente. Cuando varias fuentes envan paquetes NTP,
se selecciona el servidor con el mejor estrato.
Si existen mltiples servidores en el mismo estrato, se dar prioridad a un servidor

configurado con respecto a un servidor de transmisin. Si son varios los
servidores que superan ambas pruebas, se seleccionar el primero que enve un
paquete horario. El SNTP nicamente seleccionar un nuevo servidor si deja de
recibir paquetes del servidor seleccionado en ese momento o si se detecta un
servidor mejor (en funcin de los criterios antes sealados).
Configuracin del SNTP
El SNTP est inhabilitado de manera predeterminada. Para habilitar el SNTP

en el punto de acceso, utilice estos dos comandos o uno de ellos en el modo de
configuracin global:
Tabla 92 Comandos SNTP
Comando Objetivo
sntp server {address | Configura el SNTP para que solicite paquetes NTP de
hostname} [version number] un servidor NTP.
sntp broadcast client Configura el SNTP para que acepte paquetes NTP de
cualquier servidor de difusin NTP.
Introduzca el comando sntp server una vez para cada servidor NTP. Los
servidores NTP deben configurarse de modo que respondan a los mensajes
SNTP procedentes del punto de acceso.
Si introduce los comandos sntp server y sntp broadcast client, el

punto de acceso aceptar la hora procedente de un servidor de transmisin pero
preferir la de un servidor configurado, suponiendo que los estratos sean iguales.
Para ver informacin sobre SNTP, utilice el comando EXEC show sntp.
Configuracin manual de la hora y la fecha
Si no existe ninguna otra fuente horaria disponible, podr configurar manual-

mente la hora y la fecha una vez que se haya reiniciado el sistema. La hora seguir
siendo precisa hasta el siguiente reinicio del sistema. Le recomendamos que
utilice la configuracin manual nicamente como ltimo recurso. Si dispone de
una fuente externa con la que el dispositivo inalmbrico pueda sincronizarse, no
necesitar configurar manualmente el reloj del sistema.

Configuracin del reloj del sistema
Si dispone de una fuente externa en la red que preste servicios horarios, como un
servidor NTP, no necesitar configurar manualmente el reloj del sistema.
En el modo EXEC con privilegios, siga estos pasos para configurar el reloj del
sistema.
1. Ajuste manualmente el reloj del sistema utilizando uno de estos formatos:

Para hh:mm:ss, especifique la hora en horas (formato de 24 horas),
minutos y segundos. La hora especificada depender de la zona horaria
configurada.
Para day, especifique el da mediante la fecha en el mes.
Para month, especifique el nombre del mes.
Para year, especifique el ao (sin abreviatura).
clock set hh:mm:ss day month year
o
clock set hh:mm:ss month day year
show running-config
Este ejemplo muestra cmo configurar manualmente el reloj del sistema con la
hora 1:32 p.m. del 23 de julio de 2001.
AP# clock set 13:32:00 23 July 2001
Visualizacin de la configuracin de la fecha y la hora
Para ver la configuracin de la fecha y la hora, utilice el comando EXEC con

privilegios show clock [detail].
El reloj del sistema mantiene un indicador autoritario que seala si la hora es

autoritaria (que se cree que es precisa). Si el reloj del sistema se ha configurado
mediante una fuente horaria como NTP, el indicador estar ajustado. Si la hora
no es autoritaria, se utilizar nicamente con fines de visualizacin. Mientras el
reloj no sea autoritario y no se haya configurado el indicador autoritario, este
impedir que los homlogos se sincronicen con el reloj cuando su hora no sea
vlida.
El smbolo que precede a la visualizacin show clock tiene este significado:

* La hora no es autoritaria.
(en blanco) La hora es autoritaria.
. La hora es autoritaria, pero NTP no est sincronizado.

Configuracin de la zona horaria
En el modo EXEC con privilegios, siga estos pasos para configurar manualmente
la zona horaria.

configure terminal
2. Configure la zona horaria.
El dispositivo inalmbrico mantiene la hora interna en el tiempo universal
coordinado (UTC), de modo que este comando se utiliza nicamente con
fines de visualizacin y cuando la hora se ajusta manualmente.
Para zone, introduzca el nombre de la zona horaria que se visualizar
cuando la hora estndar sea efectiva. El valor predeterminado es UTC.
Para hours-offset, introduzca la diferencia de horas con respecto al
UTC.
(Opcional) Para minutes-offset, introduzca la diferencia de
minutos con respecto al UTC.
clock timezone zone hours-offset [minutes-offset]
end
show running-config
La variable minutes-offset en el comando de configuracin global clock

timezone se encuentra disponible para aquellos casos en los que una zona
horaria local sea un porcentaje de una hora distinta de UTC. Por ejemplo, la zona
horaria para algunas secciones de la regin atlntica de Canad (AST) es UTC-
3.5, siendo 3 tres horas y 0.5 el 50%. En este caso, el comando necesario es:
clock timezone AST -3 30.
Para ajustar la hora segn UTC, utilice el comando de configuracin global no

clock timezone.

Configuracin de la hora de verano (hora de ahorro de luz diurna)
En el modo EXEC con privilegios, siga estos pasos para configurar el horario de
verano (horario de ahorro de luz diurna) en zonas donde este empieza y acaba un
da concreto de la semana cada ao.
configure terminal
2. Configure el horario de verano para que empiece y acabe en los das
especificados cada ao.
El horario de verano est inhabilitado de manera predeterminada. Si
especifica clock summer-time zone recurring sin parmetros, el
horario de verano se regir de forma predeterminada por las normas de
Estados Unidos.
Para zone, introduzca el nombre de la zona horaria (por ejemplo, PDT)
que se visualizar cuando el horario de verano sea efectivo.
(Opcional) Para week, indique la semana del mes (entre 1 y 5 o last).
(Opcional) Para day, indique el da de la semana (Sunday, Monday...).
(Opcional) Para month, indique el mes ( January, February...).
(Opcional) Para hh:mm, indique la hora (formato de 24 horas) en horas y
minutos.
(Opcional) Para offset, indique el nmero de minutos que se aadirn
durante el horario de verano. El valor predeterminado es 60.
clock summer-time zone recurring [week day month
hh:mm week day month hh:mm [offset]]
end
show running-config
La primera parte del comando de configuracin global clock summer-time

especifica el momento del inicio del horario de verano y la segunda parte
especifica su trmino. Todas las horas dependen de la zona horaria local. La hora
de inicio depende de la hora estndar. La hora de trmino depende del horario
de verano. Si el mes de inicio es posterior al mes de trmino, el sistema dar por
supuesto que se encuentra en el hemisferio sur.
Este ejemplo muestra cmo especificar que el horario de verano comience el

primer domingo de abril a las 02:00 y que concluya el ltimo domingo de octubre
a las 02:00:
AP(config)# clock summer-time PDT recurring 1
Sunday April 2:00 last Sunday October 2:00

En el modo EXEC con privilegios, siga estos pasos si el horario de verano de su

zona no sigue un patrn recurrente (configure la hora y fecha exactas de los
eventos horarios del siguiente verano).

configure terminal
2. Configure el horario de verano para que comience en la primera fecha y
acabe en la segunda fecha.
El horario de verano est inhabilitado de manera predeterminada.
Para zone, especifique el nombre de la zona horaria (por ejemplo, PDT)
que se visualizar cuando el horario de verano est en vigor.
(Opcional) Para week, indique la semana del mes (entre 1 y 5 o last).
(Opcional) Para day, indique el da de la semana (Sunday, Monday...).
(Opcional) Para month, indique el mes ( January, February...).
(Opcional) Para hh:mm, indique la hora (formato de 24 horas) en
horas y minutos.
(Opcional) Para offset, indique el nmero de minutos que se aadirn
durante el horario de verano. El valor predeterminado es 60.
clock summer-time zone date [month date year hh:mm
month date year hh:mm [offset]]
o
clock summer-time zone date [date month year hh:mm
date month year hh:mm [offset]]
end

show running-config
La primera parte del comando de configuracin global clock summer-time

especifica el momento del inicio del horario de verano y la segunda parte
especifica su trmino. Todas las horas dependen de la zona horaria local. La hora
de inicio depende de la hora estndar. La hora de trmino depende del horario
de verano. Si el mes de inicio es posterior al mes de trmino, el sistema dar por
supuesto que se encuentra en el hemisferio sur.
Para inhabilitar el horario de verano, utilice el comando de configuracin global

no clock summer-time.
Este ejemplo muestra cmo configurar el horario de verano para que empiece el
12 de octubre de 2000 a las 02:00 y acabe el 26 de abril de 2001 a las 02:00:
AP(config)# clock summer-time pdt date 12 October
2000 2:00 26 April 2001 2:00

Definicin del acceso HTTP De manera predeterminada, 80 se utiliza para el acceso HTTP y el puerto 443 se
utiliza para el acceso HTTPS. El usuario puede personalizar estos valores.
Utilice estos comandos para definir el acceso HTTP.

ip http port <port number>
ip http secure-port <port number>
Configure un indicador y un Puede configurar el nombre del sistema en el dispositivo inalmbrico para
identificarlo. De manera predeterminada, el indicador y nombre del sistema
nombre de sistema es ap.
Si no ha configurado un indicador del sistema, los primeros 20 caracteres del

nombre del sistema se utilizarn como indicador del sistema. Se aadir un
smbolo de mayor que (>). El indicador se actualizar cada vez que el nombre
del sistema cambie, salvo que configure manualmente el indicador con el
comando de configuracin global prompt.

aparecen en este captulo, consulte Cisco IOS Configuration Fundamentals
Command Reference and the Cisco IOS IP and IP Routing Command
Reference (documento de referencia de los comandos bsicos de configuracin
de Cisco IOS y de los comandos de enrutamiento IP e IP de Cisco IOS).

Configuracin El indicador y nombre del sistema del punto de acceso predeterminado es ap.
predeterminada del
indicador y el nombre del Configuracin de un nombre del sistema
sistema
En el modo EXEC con privilegios, siga estos pasos para configurar manualmente
un nombre del sistema.

configure terminal
2. Configure manualmente un nombre del sistema.
El ajuste predeterminado es ap.
ATENCIN: Cuando se cambia el nombre del sistema, las radios del

dispositivo inalmbrico se reinician y los dispositivos cliente asociados
se desasocian y vuelven a asociarse rpidamente.
Puede introducir hasta 63 caracteres para el nombre del sistema. No

obstante, cuando el dispositivo inalmbrico se identifique ante los
dispositivos cliente, nicamente utilizar los primeros 15 caracteres del
nombre del sistema. Es importante que los usuarios de cliente distingan
entre los puntos de acceso: asegrese de que en los 15 primeros caracteres
aparezca una parte del nombre del sistema nica.
hostname name
end
show running-config
Cuando configure el nombre del sistema, tambin se utilizar como indicador de

este.
Para volver al nombre de anfitrin predeterminado, utilice el comando de

configuracin global no hostname.

Descripcin de DNS El protocolo DNS controla el sistema de nombres de dominio (Domain Name
System o DNS), una base de datos distribuida en la que puede asignar nombres de
anfitrin a direcciones IP. Cuando configure DNS en el dispositivo inalmbrico,
puede sustituir el nombre de anfitrin por la direccin IP con todos los
comandos IP, como por ejemplo ping, telnet, connect, y las operaciones
de soporte Telnet asociadas.
IP define un esquema de asignacin de nombres jerrquico que permite

identificar un dispositivo por su ubicacin o dominio. Los nombres de dominio
se unen mediante puntos (.) como caracteres de delimitacin. Por ejemplo, Cisco
Systems es una organizacin comercial que IP identifica mediante un nombre de
dominio com, de modo que su nombre de dominio es reckwellautomation.com.
Un dispositivo especfico en este dominio, como el sistema del protocolo de
transferencia de archivos (File Transfer Protocol o FTP), se identifica como
ftp.cisco.com.
Para mantener un seguimiento de los nombres de dominio, IP ha definido el

concepto de un servidor de nombres de dominio que mantiene una cach (o base
de datos) de los nombres asignados a direcciones IP. Para asignar nombres de
dominio a direcciones IP, primero deber identificar los nombres de anfitrin,
especificar el servidor de nombres que est presente en su red y habilitar el DNS.
Configuracin DNS predeterminada

Esta tabla muestra la configuracin DNS predeterminada.
Tabla 93 Configuracin DNS predeterminada
Estado de habilitacin DNS Disabled
Nombre de dominio predeterminado DNS No se ha configurado ninguno.
Servidores DNS No se ha configurado ninguna direccin de servidor nombre.

Configuracin de DNS
En el modo EXEC con privilegios, siga estos pasos para configurar el uso de DNS
en el dispositivo inalmbrico.

configure terminal
2. Defina un nombre de dominio predeterminado que el software utilizar
para completar los nombres de anfitrin sin clasificar (nombres de
dominio sin formato decimal punteado).
No incluya el punto inicial que separa un nombre sin clasificar del nombre
de dominio.
Al inicio, no habr configurado ningn nombre de dominio; no obstante,
si la configuracin del dispositivo inalmbrico procede de un servidor
BOOTP o de protocolo de configuracin dinmica de anfitrin (Dynamic
Host Configuration Protocol o DHCP), el servidor BOOTP o DHCP
podr configurar el nombre de dominio predeterminado (si los servidores
se han configurado con esta informacin).
ip domain-name name
3. Especifique la direccin de uno o varios servidores de nombres para
emplearlos en la resolucin del nombre y la direccin.
Puede especificar hasta seis nombres de servidor. Separe cada direccin de
servidor con un espacio. El primer servidor especificado es el servidor
principal. El dispositivo inalmbrico enviar consultas DNS al servidor
principal en primer lugar. Si esa consulta falla, consultar a los servidores
de respaldo.
ip name-server server-address1 [server-address2 ...
server-address6]
(Opcional) Habilite la traduccin del nombre de anfitrin a la direccin

basada en DNS en el dispositivo inalmbrico. Esta caracterstica est
habilitada de manera predeterminada.
Si sus dispositivos de red requieren conectividad con dispositivos en red
cuya asignacin de nombres no se encuentre bajo su control, podr asignar
dinmicamente nombres de dispositivo que identifiquen sus unidades de
forma unvoca mediante el uso del esquema de asignacin de nombres en
internet global (DNS).
ip domain-lookup
end
show running-config
(Opcional) Guarde sus entradas en el archivo de configuracin.


Si utiliza la direccin IP del dispositivo inalmbrico como nombre de anfitrin, se

usar esta y no se producir ninguna consulta DNS. Si configura un nombre de
anfitrin que no contenga puntos (.), un punto seguido del nombre de dominio
predeterminado se aadir al nombre de anfitrin antes de que se realice la
consulta DNS para asignar el nombre a una direccin IP.
El nombre de dominio predeterminado es el valor configurado por el comando

de configuracin global ip domain-name. Si hay un punto (.) en el nombre de
anfitrin, el software Cisco IOS buscar la direccin IP sin aadir ningn
nombre de dominio predeterminado a este.
Para eliminar un nombre de dominio, utilice el comando de configuracin

global no ip domain-name name.
Para eliminar una direccin de servidor de nombres, utilice el comando de

configuracin global no ip name-server server-address.
Para inhabilitar DNS en el dispositivo inalmbrico, utilice el comando de

configuracin global no ip domain-lookup.
Visualizacin de la configuracin DNS

Para visualizar la informacin de configuracin DNS, utilice el comando EXEC
con privilegios show running-config . Cuando la opcin DNS est
configurada en el dispositivo inalmbrico, a veces aparece una direccin IP de
servidor en lugar de su nombre.

Notas:

Captulo 8
Configuracin de los ajustes de radio
En este captulo se describe el modo de configurar los ajustes de radio para el

punto de acceso inalmbrico.
Tema Pgina
Habilitacin de la interface de la radio 256
Modo de puente de grupo de trabajo universal 259
Seguimiento de la radio 260
Configuracin de las velocidades de datos de la radio 261
Puntos de acceso que envan tramas multidifusin y de administracin a la 263
velocidad bsica ms alta
Configuracin de las velocidades MCS 265
Configuracin de la potencia de transmisin de la radio 267
Configuracin de los ajustes del canal de radio 269
Configuracin de las antenas de transmisin y recepcin 276
Habilitacin e inhabilitacin de la respuesta de sonda gratuita 277
Habilitacin e inhabilitacin de las extensiones Aironet 278
Configuracin del mtodo de transformacin del encapsulado Ethernet 279
Habilitacin e inhabilitacin de la multidifusin confiable a los puentes de grupo de 280
trabajo
Habilitacin e inhabilitacin del reenvo pblico seguro de paquetes 282
Configuracin del periodo de baliza y el DTIM 283
Configuracin del lmite RTS y las tentativas 284
Configuracin del nmero de tentativas de datos mximo 285
Configuracin del lmite de fragmentacin 286
Realizacin de una prueba de portadora ocupada 286
Configuracin de ClientLink 287
Funciones de depuracin de la radio 287

Captulo 8 Configuracin de los ajustes de radio
Habilitacin de la interface Las radios del punto de acceso inalmbrico estn inhabilitadas de manera
predeterminada.
de la radio
IMPORTANTE Si parte de una versin 12.3(8)JA de Cisco IOS, no habr SSID. Deber crear un
SSID antes de poder habilitar la interface de radio.
Desde el modo EXEC con privilegios, siga estos pasos para habilitar la radio del
punto de acceso.
configure terminal
2. Introduzca el SSID.
El SSID puede contener hasta 32 caracteres alfanumricos. Los SSID son
dot11 ssid ssid
3. Obtenga acceso al modo de configuracin de la interface de la radio.
interface dot11radio {0 | 1}
La radio 802.11n de 2.4 GHz es la radio 0.
La radio 802.11n de 5 GHz es la radio 1.
4. Asigne el SSID que haya creado en el paso 2 a la interface de radio
adecuada.
ssid ssid
5. Habilite el puerto de la radio.
no shutdown
end
Utilice el comando shutdown para inhabilitar el puerto de la radio.

Configuracin de los ajustes de radio Captulo 8
Configuracin de la funcin El punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100

desempea estas funciones en la red de radio.
en la red de radio
Punto de acceso
Punto de acceso (emergencia con apagado de la radio)
Punto de acceso (emergencia con modo de repetidor)
Repetidor
Puente raz
Puente no raz
Puente raz con clientes inalmbricos
Puente no raz con clientes inalmbricos
Puente de grupo de trabajo universal
Escner
Cuando configure un puente de grupo de trabajo universal mediante AES-CCM

TKIP, el dispositivo no raz deber emplear TKIP o AES-CCM TKIP como
algoritmos de cifrado para asociarse al dispositivo raz. El dispositivo no raz no
se asociar al dispositivo raz si se configura como solo AES-CCM. Esta
configuracin da lugar a una desigualdad en los algoritmos de cifrado
multidifusin entre los dispositivos raz y no raz.
Puede configurar una funcin emergencia tambin para los puntos de acceso raz.
El dispositivo inalmbrico adoptar automticamente la funcin de emergencia
cuando su puerto Ethernet est inhabilitado o desconectado de la red LAN por
cable. Existen dos funciones de emergencia posibles:
Repetidor
Cuando el puerto Ethernet est inhabilitado, el dispositivo inalmbrico se
convierte en un repetidor y se asocia a un punto de acceso raz cercano. No
necesitar especificar un punto de acceso raz al que asociar el repetidor de
emergencia; el repetidor se asociar automticamente al punto de acceso
raz que proporcione la mejor conectividad de radio.
Cierre
El punto de acceso inalmbrico/puente de grupo de trabajo apagar su
radio y desasociar todos los dispositivos cliente.
En el modo EXEC con privilegios, siga estos pasos para configurar la funcin de
emergencia y la funcin de red de la radio del dispositivo inalmbrico.

configure terminal
2. Obtenga acceso al modo de configuracin de la interface de radio.
La radio 802.11n de 2.4 Ghz es la interface 0.
La radio 802.11n de 5 GHz es la interface 1.
interface dot11radio { 0 | 1 }

3. Configure la funcin del dispositivo inalmbrico.

Configure la funcin como punto de acceso raz, puente de grupo de
trabajo o puente no raz con o sin clientes inalmbricos, punto de
acceso repetidor o escner. La radio del modo puente admite una
configuracin de punto a punto y de un punto a mltiples puntos.
El puerto Ethernet se desconecta cuando cualquiera de las radios se
configura como repetidor. nicamente se puede configurar una radio
como puente de grupo de trabajo o repetidor en cada punto de acceso.
El comando dot11radio 0|1 antenna-alignment se
encuentra disponible cuando el punto de acceso se configura como
repetidor.
(Opcional) Seleccione la funcin de emergencia del punto de acceso
raz. Si el puerto Ethernet del dispositivo inalmbrico est inhabilitado
o se ha desconectado de la red LAN por cable, el dispositivo
inalmbrico podr desconectar su puerto de radio o convertirse en un
punto de acceso repetidor asociado a cualquier punto de acceso raz
cercano.
station-role
non-root {bridge | wireless-clients}
repetidor
root {access-point | ap-only | [bridge | wireless-

clients] | [fallback | repeater | shutdown]}
scanner
workgroup-bridge {multicast | mode <client |

infrastructure>| universal <Ethernet client MAC
address>}
end
SUGERENCIA Cuando habilite la funcin en la red de radio como puente/puente de grupo

de trabajo y la interface mediante el comando no shut, el estado fsico y del
software de la interface nicamente se activarn si el dispositivo en el punto
de acceso del otro extremo o puente est activo tambin. De lo contrario, tan
solo se activar el estado fsico del dispositivo. El estado del software del
dispositivo nicamente se activar cuando el dispositivo del otro extremo
est configurado y activo.

Modo de puente de grupo de Cuando configure la funcin de puente de grupo de trabajo universal, deber
incluir la direccin MAC de cliente. El puente de grupo de trabajo se asociar
trabajo universal nicamente con esta direccin MAC si se encuentra presente en la tabla de
puentes y no es una entrada esttica. Si la validacin falla, el puente de grupo de
trabajo se asociar con su direccin MAC BVI. En el modo de puente de grupo de
trabajo universal, el puente de grupo de trabajo utilizar la direccin MAC de
cliente Ethernet para asociarse a los dispositivos raz Cisco o distintos de Cisco.
El puente de grupo de trabajo universal es transparente y no est administrado.
IMPORTANTE La funcin de puente de grupo de trabajo universal nicamente admite un

cliente conectado por cable.
Puede habilitar un mecanismo de recuperacin y hacer el puente de grupo de

trabajo gestionable de nuevo inhabilitando el cliente Ethernet, lo que har que el
puente de grupo de trabajo universal se asocie a un punto de acceso utilizando su
propia direccin BVI.
Configuracin de la funcin Las funciones de emergencia de doble radio le permitirn configurar los puntos
de acceso de modo que se desactive la conexin del punto de acceso raz entre el
de emergencia de doble cliente y el punto de acceso en caso de desactivacin de la conexin del puente no
radio raz entre el punto de acceso y la infraestructura de red. La desactivacin de la
conexin del punto de acceso raz har que el cliente itinere a otro punto de
acceso. Sin esta caracterstica, el cliente permanecera conectado al punto de
acceso, pero no podra enviar ni recibir datos procedentes de la red.
Figura 99 Funcin de emergencia de doble radio
Punto de acceso Modo puente raz 11a Punto de acceso

Modo puente
Gigabit Ethernet no raz 11a
Modo puente raz 11a Modo punto de

acceso raz 11b/g
Clientes
Punto de acceso

Seguimiento de la radio Puede configurar el punto de acceso de modo que supervise o haga un
seguimiento del estado de una de sus radios. Si la radio supervisada se desactiva
o inhabilita, el punto de acceso desconectar la otra radio. Si la radio supervisada
se activa, el punto de acceso habilitar la otra radio.
Para hacer un seguimiento de la radio 0, introduzca este comando:
# station-role root access-point fallback track d0
shutdown
Para hacer un seguimiento de la radio 1, introduzca este comando:

# station-role root access-point fallback track d1
shutdown
Seguimiento de Gigabit Puede configurar el punto de acceso para que pase al modo de emergencia cuando
su puerto Ethernet est inhabilitado o desconectado de la red LAN por cable.
Ethernet
SUGERENCIA La funcin de seguimiento Gigabit Ethernet no es compatible con el modo de
repetidor.
Utilice este comando para configurar los puntos de acceso 802.11n para el
seguimiento Gigabit Ethernet en el modo de configuracin de las interfaces de
radio:
# station-role root fallback shutdown

Direccin MAC Puede configurar la radio cuya funcin sea la de punto de acceso raz para que se
active o desactive al seguir un punto de acceso de cliente, a travs de su direccin
MAC, en otra radio. Si el cliente se desasocia del punto de acceso, la radio del
punto de acceso raz se desactivar. Si el cliente se vuelve a asociar al punto de
acceso, la radio del punto de acceso raz se activar de nuevo.
El seguimiento de direccin MAC resulta ms til cuando el cliente es un punto

de acceso puente no raz conectado a una red por cable aguas arriba.
Por ejemplo, para hacer un seguimiento de un cliente cuya direccin MAC sea
12:12:12:12:12:12, introduzca este comando:
# station-role root access-point fallback track
mac-address 12:12:12:12:12:12 shutdown
Configuracin de las Utilice los ajustes de velocidad de datos para elegir las velocidades de datos que
utilizar el punto de acceso inalmbrico para la transmisin de datos. Las
velocidades de datos de la velocidades se expresan en megabits por segundo. El punto de acceso inalmbrico
radio siempre intentar transmitir a la velocidad de datos ms alta habilitada. Si existen
obstculos o interferencias, el punto de acceso inalmbrico pasar a la velocidad
ms alta que permita la transmisin de datos. Puede configurar cada velocidad de
datos con uno de estos tres estados:
Basic (la GUI etiqueta las velocidades bsicas como necesarias)
Permite la transmisin a esta velocidad de todos los paquetes, unidifusin

y multidifusin. Al menos una de las velocidades de datos del punto de
acceso inalmbrico debe configurarse como bsica.
Enabled
El punto de acceso inalmbrico transmite nicamente los paquetes

unidifusin a esta velocidad; los paquetes multidifusin se envan a una
de las velocidades de datos configuradas como bsicas.
Disabled
El punto de acceso inalmbrico no transmite datos a esta velocidad.
SUGERENCIA Debe configurarse como mnimo una velocidad de datos como bsica.
Puede utilizar los ajustes de velocidad de datos para configurar un punto de

acceso de modo que preste servicio a los dispositivos cliente que funcionan a
velocidades de datos especficas.
Por ejemplo, para configurar la radio de 2.4 GHz para el servicio de 11 Mbps
nicamente, ajuste la velocidad de 11 Mbps como bsica y configure las otras
velocidades de datos como inhabilitadas.
Para configurar la radio 802.11g de 2.4 GHz de modo que solo preste
servicio a los dispositivos cliente 802.11g, ajuste cualquier velocidad de
datos de multiplexacin por divisin de frecuencias ortogonales
(Orthogonal Frequency Division Multiplexing u OFDM) (6, 9, 12, 18, 24,
36, 48, 54) como bsica.

Para configurar nicamente la radio de 5 GHz para el servicio de 54 Mbps,

configure la velocidad de 54 Mbps como bsica y las otras velocidades de
datos como inhabilitadas.
Puede configurar el punto de acceso inalmbrico de modo que ajuste las velocida-
des de datos de forma automtica para optimizar el alcance o el rendimiento
efectivo. En la radio de 2.4 GHz, el ajuste Range configura la velocidad de datos
1.0 como bsica y las otras velocidades de datos como compatibles. En la radio de
5 GHz, el ajuste Range configura la velocidad de datos 6.0 como bsica y las otras
velocidades de datos como compatibles.
El ajuste del alcance permite al punto de acceso ampliar la zona de cobertura en

detrimento de la velocidad de datos. Por lo tanto, si tiene un cliente que no puede
conectar con el punto de acceso cuando otros s pueden hacerlo, tal vez se deba a
que el cliente no se encuentra dentro de la zona de cobertura del punto de acceso.
En tal caso, la opcin del alcance ayuda a ampliar la zona de cobertura y aumenta
la capacidad del cliente de conectar con el punto de acceso.
No obstante, si se permite a los clientes comunicarse con la velocidad de datos

ms baja lejos del punto de acceso, esto puede deteriorar considerablemente el
rendimiento para otros clientes. La opcin del alcance se desaconseja en la
mayora de los casos.
Normalmente hay que hallar un equilibrio entre rendimiento efectivo y alcance.

Cuando la seal se deteriora (posiblemente como consecuencia de la distancia
desde el punto de acceso), las velocidades se renegocian a la baja para mantener la
conexin (aunque sea a un velocidad de datos inferior). Deber sopesarlo en el
caso de las conexiones configuradas con un rendimiento efectivo superior que se
pierdan cuando la seal se deteriore lo suficiente para dejar de mantener una
velocidad de datos elevada configurada o itinerar a otro punto de acceso con
suficiente cobertura, si se encuentra disponible.
El equilibrio entre ambos (rendimiento y alcance) es una de esas decisiones de

diseo que hay que tomar en funcin de los recursos disponibles para el proyecto
inalmbrico, por ejemplo:
tipo de trfico que generan los usuarios
nivel de servicio deseado
calidad del entorno de RF
Cuando se introduce throughput en el ajuste de velocidad de datos, el punto de

acceso inalmbrico configura todas las velocidades de datos como bsicas.

Puntos de acceso que envan Los puntos de acceso que ejecutan las ltimas versiones de Cisco IOS transmiten
tramas multidifusin y de administracin a la velocidad bsica configurada ms
tramas multidifusin y de alta, algo que puede provocar problemas de confiabilidad.
administracin a la velocidad
bsica ms alta Dado que las tramas multidifusin no se retransmiten en la capa MAC, puede
que las estaciones en el extremo de la celda no las reciban correctamente. Si una
recepcin confiable es un objetivo, entonces las multidifusiones se pueden
transmitir a una velocidad de datos baja. Si se necesita la compatibilidad con
multidifusiones de alta velocidad de datos, reduzca el tamao de la celda e
inhabilite todas las velocidades de datos ms bajas.
En funcin de sus requisitos especficos, puede emprender esta accin:
Si necesita transmitir los datos multidifusin con la mayor confiabilidad

posible y no necesita un gran ancho de banda multidifusin, configure una
nica velocidad bsica, una lo suficientemente baja para llegar a los
extremos de las celdas inalmbricas.
Si necesita transmitir los datos multidifusin a una determinada velocidad

de datos para lograr un rendimiento efectivo concreto, configure esa
velocidad como la velocidad bsica ms alta. Tambin puede configurar
una velocidad bsica inferior para la cobertura de clientes distintos de
multidifusin.
En el modo EXEC con privilegios, siga estos pasos para configurar las velocidades
de datos de radio.

configure terminal
La radio de 2.4 GHz N es la radio 0 y la radio de 5 GHz N es la radio 1.

3. Consulte la descripcin del comando speed y de su cometido.

Tabla 94 Comando de velocidad y descripcin del objetivo
Comando Objetivo
speed Configure cada velocidad de datos con la opcin basic o enabled, o introduzca un intervalo
o valor de rendimiento efectivo para optimizar el rendimiento efectivo.
802.11n 2.4 GHz radio: Introduzca 1.0, 2.0, 5.5, 6.0, 9.0, 11.0, 12.0, 18.0, 24.0, 36.0, 48.0 y 54.0 para
{[1.0] [11.0] [12.0] [18.0] [2.0] [24.0] configurar estas velocidades de datos como enabled en la radio 802.11g de 2.4 GHz.
[36.0] [48.0] [5.5] [54.0] [6.0] [9.0] Introduzca 6.0, 9.0, 12.0, 18.0, 24.0, 36.0, 48.0 y 54.0 para configurar estas velocidades
[basic-1.0] [basic-11.0] [basic-12.0] [basic- de datos como enabled en la radio de 5 GHz.
18.0] [basic-24.0] [basic-36.0] [basic-48.0] Para configurar estas velocidades de datos como bsicas en la radio de 802.11g de
2.4 GHz, introduzca estos valores: basic-1.0, basic-2.0, basic-5.5, basic-6.0, basic-9.0,
[basic-5.5] [basic-54.0] [basic-6.0] [basic- basic-11.0, basic-12.0, basic-18.0, basic-24.0, basic-36.0, basic-48.0 y basic-54.0
9.0] [default] [m0-7] [m0.] [m1.] [m10.]
[m11.] [m12.] [m13.] [m14.] [m15.] [m2.] SUGERENCIA El cliente deber ser compatible con la velocidad
[m3.] [m4.] [m5.] [m6.] [m7.] [m8-15] [m8.]
bsica que seleccione; de lo contrario, no podr
[m9.] [m16-23] [m16.] [m17.] [m18.] [m19.]
[m20.] [m21.] [m22.] [m23.] [ofdm] [only- asociarse al dispositivo inalmbrico. Si selecciona
ofdm] | range | throughput} 12 Mbps o superior para la velocidad de datos
802.11n 5 GHz radio:
bsica en la radio 802.11g, los dispositivos cliente
802.11b no podrn asociarse a la radio 802.11g
{[12.0] [18.0] [24.0] [36.0] [48.0] [54.0]
[6.0] [9.0] [basic-12.0] [basic-18.0] [basic- del dispositivo inalmbrico.
24.0] [basic-36.0] [basic-48.0] [basic-54.0]
Para configurar estas velocidades de datos como basic en la radio de 5 GHz, introduzca
[basic-6.0] [basic-9.0] [default] [m0-7] estos valores: basic-6.0, basic-9.0, basic-12.0, basic-18.0, basic-24.0, basic-36.0,
[m0.] [m1.] [m10.] [m11.] [m12.] [m13.] basic-48.0 y basic-54.0.
[m14.] [m15.] [m2.] [m3.] [m4.] [m5.] [m6.] (Opcional) Introduzca un intervalo o rendimiento efectivo para optimizar automtica-
[m7.] [m8-15] [m8.] [m9.] [m16-23] [m16.] mente el intervalo de radio o el rendimiento efectivo. Cuando introduzca el intervalo, el
[m17.] [m18.] [m19.] [m20.] [m21.] [m22.] punto de acceso inalmbrico configurar la velocidad de datos ms baja como bsica y
[m23.] | range | throughput} las otras velocidades como habilitadas. Cuando introduzca el rendimiento efectivo, el
punto de acceso inalmbrico configurar todas las velocidades de datos como bsicas.
(Opcional) En la radio 802.11g, introduzca speed throughput ofdm para configurar
todas las velocidades OFDM (6, 9, 12, 18, 24, 36 y 48) como bsicas (necesarias) y
configurar todas las velocidades CCK (1, 2, 5.5 y 11) como inhabilitadas. Este ajuste
inhabilita los mecanismos de proteccin 802.11b y proporciona un rendimiento
mximo para los clientes 802.11g. No obstante, impide que los clientes 802.11b se
asocien al punto de acceso.
(Opcional) Introduzca default para configurar las velocidades de datos con los
parmetros predeterminados establecidos en la fbrica
En la radio 802.11n de 2.4 GHz, la opcin predeterminada configura las velocidades
1.0, 2.0, 5.5 y 11.0 como habilitadas.
En la radio 802.11n de 5 GHz, la opcin predeterminada configura las velocidades
6.0, 12.0 y 24.0 como habilitadas.
El ajuste de velocidad MCS predeterminado para las dos radios 802.11n es 0-23.

end
Utilice la forma no del comando speed para eliminar una o varias velocidades de
datos de la configuracin. Este ejemplo muestra cmo eliminar las velocidades de
datos basic-2.0 y basic-5.5 de la configuracin:
ap1200# configure terminal
ap1200(config)# interface dot11radio 0
ap1200(config-if)# no speed basic-2.0 basic-5.5
ap1200(config-if)# end

Configuracin de las El esquema de codificacin de la modulacin (Modulation Coding Scheme o

MCS) es una especificacin de los parmetros PHY que consta del orden de
velocidades MCS modulacin (BPSK, QPSK, 16-QAM, 64-QAM) y la velocidad de cdigo FEC
(1/2, 2/3, 3/4, 5/6). El MCS se utiliza en las radios 802.11n, que definen
32 ajustes simtricos (8 por cada flujo espacial):
MCS 07
MCS 815
MCS 1623
MCS 2431
MCS es un ajuste importante porque proporciona un rendimiento efectivo

potencialmente superior. Las velocidades de datos de rendimiento efectivo
elevadas dependen del MCS, del ancho de banda y del intervalo de guarda. Las
radios 802.11 a, b y g utilizan anchos de canal de 20 MHz. Esta tabla muestras las
velocidades de datos potenciales en funcin del MCS, el intervalo de guarda y el
ancho de canal.
SUGERENCIA Las radios de 2.4 GHz no admiten el ancho de canal de 40 MHz.
Tabla 95 Velocidades de datos en funcin de los ajustes de MCS, intervalo de guarda y ancho de canal
ndice MCS Intervalo de guarda = 800 ns Intervalo de guarda = 400 ns
Velocidad de datos del ancho Velocidad de datos del ancho Velocidad de datos del ancho Velocidad de datos del ancho
de canal 20 Mhz (Mbps) de canal 40 Mhz (Mbps) de canal 20 Mhz (Mbps) de canal 40 Mhz (Mbps)
0 6.5 13.5 7 2/9 15
1 13 27 14 4/9 30
2 19.5 40.5 21 2/3 45
3 26 54 28 8/9 60
4 39 81 43 1/3 90
5 52 109 57 5/9 120
6 58.5 121.5 65 135
7 65 135 72 2/9 152.5
8 13 27 14 4/9 30
9 26 54 28 8/9 60
10 39 81 43 1/3 90
11 52 108 57 7/9 120
12 78 162 86 2/3 180
13 104 216 115 5/9 240
14 117 243 130 270
15 130 270 144 4/9 300
16 19.5 40.5 21.7 45
17 39 81 43.3 90
18 58.5 121.5 65 135
19 78 162 86.7 180
20 117 243 130 270
21 156 324 173.3 360
22 175.5 364.5 195 405
23 195 405 216.7 450
Las velocidades de los sistemas existentes son:
5 GHz: 6, 9, 12, 18, 24, 36, 48 y 54 Mbps
2.4 GHz: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 y 54 Mbps

Las velocidades MCS se configuran mediante el comando speed. El ejemplo a

continuacin muestra un ajuste de velocidad para una radio 802.11n de 5 GHz:
no ip address
no ip route-cache
!
ssid 1250test
!
speed basic-1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0
36.0 48.0 54.0 m0. m1. m2. m3. m4. m8. m9. m10. m11.
m12. m13. m14. m15. m16. m17. m18. m19. m20. m21.
m22. m23.

Configuracin de la potencia La potencia de transmisin de la radio se basa en el tipo de radio o radios

instaladas en su punto de acceso y en el dominio regulador en el que opere.
de transmisin de la radio
Utilice esta tabla para determinar la potencia de transmisin y la relacin de
traduccin entre mW y dBm.
Tabla 96 Traduccin entre mW y dBm
dBm -1 2 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
mW 1 2 3 4 5 6 8 10 12 15 20 25 30 40 50 60 80 100 125 150 200 250
En el modo EXEC con privilegios, siga estos pasos para configurar la potencia de
transmisin en las radios del punto de acceso.

configure terminal
La radio 802.11n de 2.4 GHz es 0 y la radio 802.11n de 5 GHz es 1.
3. Configure la potencia de transmisin de la radio de 2.4 GHz o la radio de
5 GHz con uno de los niveles de potencia permitidos en su dominio
regulador.
power local
Estas son las opciones disponibles para la radio 802.11n de 2.4 GHz (en dBM):
{ 4 | 7 | 10 | 13 | 16 | 19 | 22 }
Estas son las opciones disponibles para la radio 802.11n de 5 GHz (en dBM):
{ 5 | 8 | 11 | 14 | 17 | 20 | 23 }
SUGERENCIA Compruebe que los ajustes de alimentacin elctrica coincidan con los ajustes
de su dominio normativo.
SUGERENCIA La radio 802.11g transmite a hasta 100 mW para las frecuencias de datos 1, 2,
5.5 y 11 Mbps. No obstante, para las frecuencias de datos de 6, 9, 12, 18, 24,
36, 48 y 54 Mbps, la potencia de transmisin mxima para la radio 802.11g es
de 30 mW.

end
Utilice la forma no del comando power para restablecer el ajuste de potencia

mximo (el valor predeterminado).

Limitacin del nivel de Tambin puede limitar el nivel de potencia en los dispositivos cliente que se
asocian al punto de acceso inalmbrico. Cuando un dispositivo cliente se asocia al
potencia de los dispositivos punto de acceso inalmbrico, el punto de acceso inalmbrico enva el ajuste de
cliente asociados potencia mxima al cliente.
SUGERENCIA La documentacin Cisco AVVID utiliza el trmino Dynamic Power Control o

DTPC (control dinmico de potencia) para referirse a la limitacin del nivel de
potencia en los dispositivos cliente asociados.
En el modo EXEC con privilegios, siga estos pasos para especificar un ajuste de
potencia mxima permitida en todos los dispositivos cliente que se asocien al
punto de acceso inalmbrico.

configure terminal
La radio de 2.4 GHz es la radio 0 y la radio de 5 GHz es la radio 1.

3. Configure el nivel de potencia mxima permitida en los dispositivos cliente
que se asocien al punto de acceso inalmbrico.
Si configura el nivel de potencia como local, el nivel de potencia del
cliente ser igual que el del punto de acceso.
Si configura el nivel de potencia como maximum, la potencia del cliente
ser la mxima permitida.
SUGERENCIA Los ajustes permitidos en su dominio regulador pueden variar con
respecto a la configuracin indicada en el presente.
power client
Dispone de estas opciones:

{local | <-127 127> | maximum}
end
Utilice la forma no del comando client power para inhabilitar el nivel de potencia
mximo para los clientes asociados. Las extensiones Aironet deben estar
habilitadas para limitar el nivel de potencia en los dispositivos cliente asociados.
Las extensiones Aironet estn habilitadas de manera predeterminada.

Configuracin de los ajustes El ajuste del canal predeterminado para las radios del punto de acceso inalmbrico
es least congested; cuando arranca, el punto de acceso inalmbrico busca y selec-
del canal de radio ciona el canal menos congestionado. No obstante, para obtener el rendimiento
ms constante tras un estudio del emplazamiento, le recomendamos que asigne
un ajuste de canal esttico a cada punto de acceso. Los ajustes de canal en el punto
de acceso inalmbrico corresponden a las frecuencias disponibles en su dominio
regulador. Consulte el manual de instalacin del hardware del punto de acceso
para ver las frecuencias permitidas en su dominio.
SUGERENCIA En los lugares donde las interferencias de RF hagan que los clientes se
desconecten de forma ocasional de la red inalmbrica, la configuracin de la
interface inalmbrica para que se ejecute en un canal distinto puede evitar las
interferencias.
Cada canal de 2.4 GHz cubre 22 MHz. El ancho de banda de los canales 1, 6 y 11
no se solapa, por lo que puede configurar varios puntos de acceso en la misma
zona sin provocar interferencias.
La radio de 5 GHz radio opera en el intervalo de frecuencia de 5180

5825 MHz. El nmero de canales puede variar entre 5 y 21 en funcin de su
dominio regulador. Cada canal cubre 20 MHz y el ancho de banda de los
canales se solapa ligeramente. Para disfrutar del mayor rendimiento posible,
utilice canales que no sean adyacentes (44 y 48, por ejemplo) en el caso de las
radios que estn cerca unas de otras.
SUGERENCIA Demasiados puntos de acceso en la misma rea crean una congestin de la

radio que puede reducir el rendimiento efectivo. Un minucioso estudio del
emplazamiento permite determinar la mejor ubicacin para los puntos de
acceso y disfrutar as de una cobertura de la radio y un rendimiento efectivo
mximos. Consulte las especificaciones del producto ms recientes.
Dado que estos cambian con frecuencia, este documento no incluye los ajustes de
canal. Si desea informacin actualizada sobre los ajustes de canal de su punto de
acceso o puente, consulte las especificaciones del producto ms recientes.
Anchos de canal 802.11n El protocolo 802.11n le permite utilizar un ancho de canal de 40 MHz que consta
de dos canales contiguos que no se solapan (por ejemplo, los canales de 5 GHz
44 y 48). El ancho de canal 40 MHz no es compatible con las radios de 2.4 GHz.
Uno de los canales de 20 Mhz se denomina canal de control. Los clientes

existentes y los clientes 802.11n de 20 Mhz utilizan el canal de control. Las balizas
solo se pueden enviar en este canal. El segundo canal de 20 Mhz se denomina
canal de extensin. Las estaciones de 40 Mhz utilizan este canal y el canal de
control de forma simultnea.
Un canal de 40 Mhz se especifica como canal y extensin, como 1,1. En este

ejemplo, el canal de control es el canal 1 y el canal de extensin est por encima
de l.
En el modo EXEC con privilegios, siga estos pasos para configurar el ancho de
canal del punto de acceso inalmbrico.
configure terminal

2. Obtenga acceso al modo de configuracin de la interface de la radio de

5 GHz.
interface dot11radio 1
3. Configure el canal para la radio del punto de acceso inalmbrico.
Utilice la opcin width para especificar el ancho de banda que quiera
utilizar.
Esta opcin cuenta con tres ajustes disponibles: 20, 40-above y 40-below.
Si elige 20, configurar el ancho de canal como 20 MHz. Si elige 40-above,
configurar el ancho de canal como 40 Mhz con el canal de extensin por
encima del canal de control. Si elige 40-below, configurar el ancho de
canal como 40 Mhz con el canal de extensin por debajo del canal de
control.
channel
{frequency | least-congested | width [20 | 40-above
| 40-below] | dfs}
end
Dynamic Frequency Selection Los puntos de acceso con radios de 5 GHz configuradas de fbrica para su uso en
Norteamrica y Europa ahora cumplen normativas que exigen que los dispositivos
de radio empleen la seleccin de frecuencia dinmica (DFS) para detectar seales
de radar y evitar interferir con ellas. Cuando un punto de acceso detecta una seal
de radar en un determinado canal, evita utilizarlo durante 30 minutos. Las radios
configuradas para su uso en otros dominios reguladores no utilizan la DFS.
SUGERENCIA Dado que el funcionamiento de la DFS puede alterar el trfico de clientes

durante un periodo de tiempo prolongado, se recomienda evitar el uso de
canales DFS para la transmisin de datos crticos.
Cuando una radio de 5 GHz con tecnologa DFS opera en uno de los 15 canales
enumerados en Tabla 97 en la pgina 271, el punto de acceso utiliza automtica-
mente la DFS para configurar la frecuencia de funcionamiento. Cuando la DFS
est habilitada, el punto de acceso controla la presencia de seales de radar en su
frecuencia de funcionamiento.
Si detecta seales de radar en el canal, el punto de acceso emprende estas acciones:

Bloquea las nuevas transmisiones en el canal.
Alinea las colas de clientes con ahorro de energa.
Transmite un anuncio de conmutacin de canal 802.11h.
Desasocia los otros dispositivos cliente.
Si participa en WDS, enva una notificacin de DFS al dispositivo WDS
activo que est dejando la frecuencia.
Selecciona de forma aleatoria una canal de 5 GHz distinto.
Si el canal seleccionado es uno de los canales en Tabla 97 en la pgina 271,
busca el nuevo canal para la seales de radar durante 60 segundos.

Si no hay seales de radar en el nuevo canal, habilita las balizas y acepta las
asociaciones de cliente.
Si participa en WDS, enva una notificacin de DFS de nueva frecuencia
de funcionamiento al dispositivo WDS activo.
SUGERENCIA En algunas regiones no se puede seleccionar manualmente un canal para las
radios de 5 GHz con tecnologa DFS (en funcin de los requisitos normativos).
En ese caso, el punto de acceso seleccionar de forma aleatoria un canal.
Esta tabla contiene los canales y las frecuencias que requieren DFS.
Tabla 97 Canales que requieren DFS
Canal MHz Canal MHz Canal MHz
52 5260 104 5500 124 5620
56 5280 108 5520 128 5640
60 5300 112 5560 132 5660
64 5320 116 5580 136 5680
100 5500 120 5600 140 5700
Para funcionar de forma autnoma, la DFS requiere una seleccin de canales

aleatoria entre los canales enumerados. Los canales no enumerados no requieren
seleccin aleatoria y se pueden configurar manualmente.
Antes de transmitir en cualquier canal incluido en Tabla 97 en la pgina 271, la

radio del punto de acceso lleva a cabo una comprobacin de disponibilidad de
canal (CAC). La CAC es una bsqueda de 60 segundos de la presencia de seales
de radar en el canal. Los siguientes ejemplos de mensaje aparecen en la consola del
punto de acceso, mostrando el inicio y el fin de la bsqueda CAC:
*Mar 6 07:37:30.423: %DOT11-6-DFS_SCAN_START: DFS: Scanning
frequency 5500 MHz for 60 seconds
*Mar 6 07:37:30.385: %DOT11-6-DFS_SCAN_COMPLETE: DFS scan

complete on frequency 5500 MHz
Cuando opera en cualquiera de los canales DFS enumerados en Tabla 97 en la

pgina 271, adems de llevar a cabo la CAC, el punto de acceso supervisa
constantemente el canal para detectar el radar. Si se detecta el radar, el punto de
acceso deja de transmitir paquetes de datos en 200 ms y transmite cinco balizas
que incluyen un anuncio de conmutacin de canal 802.11h donde indica el
nmero del canal que va a empezar a utilizar. El siguiente mensaje de ejemplo
aparece en la consola del punto de acceso cuando se detecta el radar:
*Mar 6 12:35:09.750: %DOT11-6-DFS_TRIGGERED: DFS: triggered on
frequency 5500 MHz
Cuando se detecta el radar en un canal, este no se puede utilizar durante

30 minutos. El punto de acceso mantiene un indicador en el almacenamiento
no voltil de cada uno de los canales en los que ha detectado el radar en los
ltimos 30 minutos. Transcurridos 30 minutos, se elimina el indicador del canal
correspondiente. Si el punto de acceso se reinicia antes de que se elimine un
indicador, el tiempo de no ocupacin se restablecer en 30 minutos cuando el
canal se inicialice.

SUGERENCIA La potencia de transmisin legal mxima es mayor para algunos canales

de 5 GHz que para otros. Cuando selecciona de forma aleatoria un canal de
5 GHz en el que la potencia est restringida, el punto de acceso reduce
automticamente la potencia de transmisin para cumplir los lmites de
potencia de dicho canal.
SUGERENCIA Le recomendamos utilizar el comando world-mode dot11d

country-code configuration interface para
configurar un cdigo de pas en las radios con tecnologa DFS.
El protocolo IEEE 802.11h exige que los puntos de acceso incluyan el elemento
informativo (IE) del pas en las balizas y respuestas de sonda. De manera
predeterminada, sin embargo, el cdigo de pas en el IE est en blanco. Utilice
el comando world-mode para cumplimentar el IE del cdigo de pas.
Deteccin del radar en un canal DFS
Cuando un punto de acceso detecta un radar en un canal DFS, crea un archivo en

su memoria flash. El archivo se basa en el nmero de serie de la radio 802.11a y
contiene los nmeros de canal en los que se detecta el radar. Se trata de un
comportamiento previsto y no es posible eliminar este archivo.
Comandos CLI Las secciones a continuacin describen los comandos CLI que se aplican a la
DFS.
Confirmacin de la habilitacin de la DFS

Utilice el comando show controllers dot11radio1 para confirmar que
la DFS est habilitada. El comando tambin incluye indicaciones de la necesidad
de una dispersin uniforme y de los canales que se encuentran en periodo de no
ocupacin como consecuencia de la deteccin del radar.
Este ejemplo muestra una lnea procedente de la salida del comando show
controller para un canal en el que la DFS est habilitada. Los indicadores
enumerados en el prrafo anterior aparecen en negrita:
ap#show controller dot11radio1
!
Radio AIR-RM1251A, Base Address 011.9290ec0, BBlock
version 0.00, Software version 6.00.0
Serial number FOCO83114WK
Number of supported simultaneous BSSID on
Dot11Radio1: 8
Carrier Set: Americas (OFDM) (US)
Uniform Spreading Required: Yes

Current Frequency: 5300 MHz Channel 60 (DFS

enabled)
Current Frequency: 5300 MHz Channel 60 (DFS
enabled)
Allowed Frequencies: 5180(36) 5200(40) 5220(44)
5240(48) *5260(52) *5280(56) *53
00(60) *5320(64) *5500(100) *5520(104) *5540(108)
*5560(112) *5580(116) *5660(13
2) *5680(136) *5700(140) 5745(149) 5765(153)
5785(157) 5805(161)
* = May only be selected by Dynamic Frequency
Selection (DFS)
Listen Frequencies: 5170(34) 5190(38) 5210(42)

5230(46) 5180(36) 5200(40) 5220(4
4) 5240(48) 5260(52) 5280(56) 5300(60) 5320(64)
5500(100) 5520(104) 5540(108) 55
60(112) 5580(116) 5600(120) 5620(124) 5640(128)
5660(132) 5680(136) 5700(140) 57
45(149) 5765(153) 5785(157) 5805(161) 5825(165)
DFS Blocked Frequencies: none

Beacon Flags: 0; Beacons are enabled; Probes are
enabled
Current Power: 17 dBm
Allowed Power Levels: -1 2 5 8 11 14 15 17
Allowed Client Power Levels: 2 5 8 11 14 15 17
...

Configuracin de un canal Utilice el comando channel para configurar un canal. El comando para la
interface se modifica nicamente para permitirle seleccionar un nmero de canal
concreto y para habilitar la DFS.

configure terminal
2. Obtenga acceso a la interface de configuracin para la radio 802.11a.
interface dot11radio1
3. Introduzca Channel <number>:
los nmeros de canal disponibles son 36, 40, 44, 48, 149, 153, 157, 161,
165, 5180, 5200, 5220, 5240, 5745, 5765, 5785, 5805 o 5825.
SUGERENCIA Se trata de algo especfico del dominio -A (EE. UU./Canad).
Para usar los canales de la DFS, introduzca dfs y una de estas bandas de
frecuencia para utilizar la seleccin de frecuencia dinmica en el canal
seleccionado:
1 5.1505.250 GHz
2 5.2505.350 Ghz
3 5.4705.725 GHz
4 5.7255.825 GHz
Si trata de configurar un canal que solo se puede seleccionar mediante la DFS,

aparecer este mensaje:
This channel number/frequency can only be used by
Dynamic Frequency Selection (DFS)
end
show running-config
En el ejemplo a continuacin se selecciona el canal 36 y se configura para el uso de

la DFS en una banda de frecuencia 1:
ap#configure terminal
ap(config)interface dot11radio1
ap(config-if) channel 36
ap(config-if)

Bloqueo de canales de la seleccin DFS
Si su dominio regulador limita el nmero de canales que puede utilizar en

ubicaciones especficas (por ejemplo, en interior o en exterior), puede bloquear
grupos de canales para impedir que el punto de acceso los seleccione cuando la
DFS est habilitada. Utilice este comando de configuracin de interface para
bloquear grupos de canales de la seleccin DFS:
[no] dfs band [1] [2] [3] [4] block
Las opciones 1, 2, 3 y 4 designan bloques de canales:

1 Especifica frecuencias entre 5.150 y 5.250 GHz.
Este grupo de frecuencias tambin se conoce como banda UNII-1.
Este ejemplo muestra cmo evitar que el punto de acceso seleccione frecuencias
entre 5.150 y 5.350 GHz durante la DFS:
ap(config-if)# dfs band 1 2 block
Este ejemplo muestra cmo desbloquear frecuencias entre 5.150 y 5.350 para la
DFS:
ap(config-if)# no dfs band 1 2 block
Este ejemplo muestra cmo desbloquear todas las frecuencias para la DFS:
ap(config-if)# no dfs band block
Configuracin del intervalo El intervalo de guarda 802.11n es el periodo en nanosegundos entre paquetes.
Existen dos ajustes disponibles: corto (400 ns) y largo (800 ns). Un intervalo de
de guarda 802.11n guarda corto permite un rendimiento ligeramente superior, pero puede generar
problemas en entornos con muchas reflexiones y seales de trayecto mltiple.
En el modo EXEC con privilegios, siga estos pasos para configurar el intervalo de
guarda 802.11n.
configure terminal
La radio 802.11n de 2.4 GHz es la radio 0
3. Introduzca un intervalo de guarda.

any permite el intervalo de guarda corto (400 ns) o largo (800 ns)
long permite solo el intervalo de guarda largo (800 ns)
guard-interval {any | long}
end
Configuracin de las antenas Puede seleccionar la antena que utilizar el punto de acceso inalmbrico para
recibir y transmitir datos.
de transmisin y recepcin
Opcin Descripcin
a-antenna uso de la antena A
ab-antenna uso de las antenas A y B
abc-antenna uso de las antenas A, B y C
abcd-antenna uso de las antenas A, B, C y D
En el modo EXEC con privilegios, siga estos pasos para seleccionar las antenas
que utilizar el punto de acceso inalmbrico para recibir y transmitir datos.

configure terminal
3. Especifique la ganancia resultante de la antena conectada al dispositivo
introduciendo un valor entre -128 y 128 dB.
En caso necesario, puede emplear valores con decimales, como por
ejemplo 1,5.
gain dB
4. Seleccione las antenas que quiera utilizar:
antenna {a-antenna | ab-antenna | abc-antenna |
abcd-antenna}
Si desea obtener el mayor rendimiento posible, no utilice este ajuste salvo que
conecte una antena externa no estndar o que inhabilite un puerto de antena
daado. Los puertos de antena tiene las marcas A, B, C, D en la carcasa del punto
de acceso.
end

Habilitacin e inhabilitacin La respuesta de sonda gratuita (Gratuitous Probe Response o GPR) ayuda a
preservar la carga de la batera en los telfonos de modo dual compatibles con los
de la respuesta de sonda modos de funcionamiento celular y WLAN. La GPR se encuentra disponible en
gratuita las radios de 5 GHz y est inhabilitada de manera predeterminada. Puede
configurar dos ajustes de GPR:
Periodo
Este ajuste determina el tiempo entre las transmisiones GPR en intervalos

Kusec de 10 a 255 (similar al periodo de baliza)
Velocidad
La velocidad es la velocidad de datos empleada para transmitir la GPR. La

seleccin de un periodo ms largo reduce la cantidad de ancho de banda de
RF consumido por la GPR con la posibilidad de acortar la vida til de la
batera. La seleccin de velocidades de transmisin superiores tambin
reduce la cantidad de ancho de banda consumido, pero en detrimento del
tamao de la celda.
En el modo EXEC con privilegios, siga estos pasos para habilitar la GPR y
configurar sus parmetros.

configure terminal
5 GHz.
interface dot11radio {1}
3. Habilite la funcin de la respuesta de sonda gratuita aplicando el periodo
(10 Kusec) y la velocidad (6.0 Mbps) predeterminados.
probe-response gratuitous
{period | speed}
4. (Opcional) Introduzca un valor entre 10 y 255. El valor predeterminado
es 10.
period Kusec
5. (Opcional) Configura la velocidad de la respuesta en Mbps. El valor
predeterminado es 6.0.
speed
{[6.0] [9.0] [12.0] [18.0] [24.0] [36.0] [48.0 ]
[54.0] }
end

Los parmetros opcionales se pueden configurar de modo independiente o

combinado cuando no quiera utilizar los valores predeterminados, como se
muestra en estos ejemplos:
config-if)# probe-response gratuitous period 30
config-if)# probe-response gratuitous speed 12.0
config-if)# probe-response gratuitous period 30
speed 12.0
Utilice la forma no del comando para inhabilitar la funcin de GPR.
Habilitacin e inhabilitacin De manera predeterminada, el punto de acceso inalmbrico utiliza las extensiones
Aironet para detectar las funciones de los dispositivos cliente y admitir
de las extensiones Aironet caractersticas que requieren una interaccin especfica entre el punto de acceso
inalmbrico y los dispositivos cliente asociados. Las extensiones Aironet deben
estar habilitadas para admitir estas caractersticas:
Equilibrado de cargas
El punto de acceso inalmbrico utiliza extensiones Aironet para dirigir

los dispositivos cliente a un punto de acceso que proporcione la mejor
conexin con la red en funcin de factores como el nmero de usuarios,
la proporcin de error de bit y la fuerza de la seal.
Comprobacin de la integridad de los mensajes (MIC)
MIC es una funcin de seguridad WEP adicional que previene los ataques
sobre los paquetes cifrados denominados de bit-flip. La MIC, si se
implementa en el punto de acceso inalmbrico y en todos los clientes
dispositivo asociados, aade algunos bytes a cada paquete para protegerlos
frente a manipulaciones.
Protocolo de integridad de la clave de Cisco (CKIP)
Tcnica de permuta de claves WEP de Cisco basada en un algoritmo

precoz presentado por el grupo de tareas de seguridad IEEE 802.11i.
El algoritmo basado en normas, TKIP, no requiere la habilitacin de
extensiones Aironet.
Modo de repetidor
Deber habilitar las extensiones Aironet en los puntos de acceso en modo

de repetidor y en los puntos de acceso raz asociados.
Modo mundo (solo sistemas existentes)
Los dispositivos cliente con el obsoleto modo mundo habilitado reciben

informacin del conjunto de portadoras procedente del punto de acceso
inalmbrico y configuran sus ajustes automticamente. Las extensiones
Aironet no son necesarias para el funcionamiento en el modo mundo
802.11d.

Limitacin del nivel de potencia en los dispositivos cliente asociados
Cuando un dispositivo cliente se asocia al punto de acceso inalmbrico, el

punto de acceso inalmbrico enva el ajuste de nivel de potencia mximo
permitido al cliente.
Si inhabilita las extensiones Aironet, inhabilitar las funciones anteriormente

enumeradas, aunque esto a veces mejora la capacidad de los dispositivos cliente
distintos de Cisco de asociarse al punto de acceso inalmbrico.
Las extensiones Aironet estn habilitadas de manera predeterminada. En el modo

EXEC con privilegios, siga estos pasos para inhabilitar las extensiones Aironet.

configure terminal
2. Obtenga acceso al modo de configuracin de la interface de radio. La radio
de 2.4 GHz es la radio 0 y la radio de 5 GHz es la radio 1.
3. Inhabilitacin de las extensiones Aironet
no dot11 extension aironet
end
Utilice el comando dot11 extension aironet para habilitar las

extensiones Aironet si estn inhabilitadas.
Configuracin del mtodo de Cuando el punto de acceso inalmbrico recibe paquetes de datos que no son
802.3, el punto de acceso inalmbrico debe formatearlos como 802.3 mediante
transformacin del un mtodo de transformacin de encapsulado. Estos son los dos mtodos de
encapsulado Ethernet transformacin:
802.1H: este mtodo proporciona un buen rendimiento para los
productos inalmbricos Cisco Aironet.
RFC 1042: utilice este ajuste para comprobar la correcta interoperacin
con los equipos inalmbricos que no son Cisco Aironet. RFC 1042 lo
utilizan otros fabricantes de equipos inalmbricos y es el ajuste
predeterminado.
transformacin de encapsulado.

configure terminal


3. Configure el mtodo de transformacin de encapsulado como RFC 1042
(rfc1042, el ajuste predeterminados) o 802.1h (dot1h).
payload-encapsulation
rfc1042 | dot1h
end
Habilitacin e inhabilitacin El ajuste de los mensajes multidifusin confiables que van del punto de acceso a
los puentes de grupo de trabajo limita la entrega confiable de mensajes
de la multidifusin confiable multidifusin a aproximadamente 20 puentes de grupo de trabajo Aironet de
a los puentes de grupo de Cisco asociados al punto de acceso inalmbrico. El ajuste predeterminado
trabajo (inhabilitado) reduce la confiabilidad de la entrega multidifusin para permitir la
asociacin al punto de acceso inalmbrico de un nmero mayor de puentes de
grupo de trabajo.
Los puntos de acceso y puentes en este modo tratan los puentes de grupo de
trabajo no como dispositivos cliente, sino como dispositivos de infraestructura,
como puntos de acceso o puentes. Cuando se trata un puente de grupo de trabajo
como un dispositivo de infraestructura, el punto de acceso inalmbrico entrega de
forma confiable los paquetes multidifusin, incluidos los paquetes del protocolo
de resolucin de direcciones (ARP), al puente del grupo de trabajo.
El costo en rendimiento de la entrega multidifusin confiable, que supone la

duplicacin de cada paquete multidifusin enviado a cada puente de grupo de
trabajo, limita el nmero de dispositivos de infraestructura, incluidos los puentes
de grupo de trabajo, que se pueden asociar al punto de acceso inalmbrico. Para
incrementar a ms de 20 el nmero de puentes de grupo de trabajo que pueden
mantener una conexin de radio con el punto de acceso inalmbrico, el punto de
acceso inalmbrico debe reducir la confiabilidad de la entrega de los paquetes
multidifusin a puentes de grupo de trabajo. Con una menor confiabilidad, el
punto de acceso inalmbrico no puede confirmar si los paquetes multidifusin
llegan al puente de grupo de trabajo previsto, de modo que los puentes de grupo
de trabajo en el extremo de la zona de cobertura del punto de acceso inalmbrico
pueden perder la conectividad IP. Cuando se trata a los puentes de grupo de
trabajo como dispositivos cliente, se incrementa el rendimiento, pero se reduce la
confiabilidad.
SUGERENCIA Esta caracterstica se utiliza con los puentes de grupo de trabajo fijos.
Los puentes de grupo de trabajo mviles pueden detectar puntos en la
zona de cobertura del dispositivo inalmbrico en los que no reciben
paquetes multidifusin y pierden la comunicacin con el dispositivo
inalmbrico aunque sigan asociados a l.

transformacin de encapsulado.

configure terminal
2.4 GHz.
interface dot11radio { 0 }
3. Habilite los mensajes de multidifusin confiable dirigidos a los puentes de
grupo de trabajo.
infrastructure-client
end
Utilice la forma no del comando para inhabilitar los mensajes de multidifusin

confiable dirigidos a los puentes de grupo de trabajo.

Habilitacin e inhabilitacin El reenvo pblico seguro de paquetes (Public Secure Packet Forwarding o PSPF)
evita que los dispositivos cliente asociados a un punto de acceso compartan
del reenvo pblico seguro de archivos o se comuniquen con otros dispositivos cliente asociados al punto de
paquetes acceso de forma accidental. Proporciona acceso a internet a los dispositivos cliente
sin proporcionar otras funciones propias de una red LAN. Esta caracterstica
resulta til para la redes inalmbricas pblicas, como las que se instalan en
aeropuertos o campuses universitarios.
SUGERENCIA Para impedir la comunicacin entre clientes asociados a distintos puntos de

acceso, deber configurar puertos protegidos en el switch al que estn
conectados los dispositivos inalmbricos. Consulte Configuracin de puertos
protegidos en la pgina 283 si desea obtener instrucciones sobre cmo
configurar puertos protegidos.
Para habilitar e inhabilitar el PSPF mediante comandos CLI en el punto de

acceso inalmbrico, tendr que utilizar grupos de puentes. Puede encontrar una
explicacin detallada de los grupos de puentes e instrucciones para su
implementacin en este documento:
Consulte el apartado de configuracin de puentes transparentes en

Cisco IOS Bridging and IBM Networking Configuration Guide
(manual de configuracin de conexiones de red IBM y puente IOS Cisco).
Tambin puede habilitar e inhabilitar el PSPF mediante la interface del

navegador web. El ajuste del PSPF se encuentra en las pginas Radio Settings.
El PSPF est inhabilitado de manera predeterminada. En el modo EXEC con

privilegios, siga estos pasos para habilitar el PSPF.

configure terminal
3. Habilite el PSPF.
bridge-group group port-protected
end
Utilice la forma no del comando para inhabilitar el PSPF.

Configuracin de puertos Para impedir la comunicacin entre dispositivos cliente asociados a distintos
puntos de acceso de su red LAN inalmbrica, deber configurar puertos
protegidos protegidos en el switch al que estn conectados los punto de acceso inalmbricos.
En el modo EXEC con privilegios, siga estos pasos para definir un puerto en su
switch como puerto protegido.

configure terminal
2. Obtenga acceso al modo de configuracin de interface e introduzca el tipo
y nmero de la interface del puerto de conmutacin que quiera configurar,
como por ejemplo gigabitethernet0/1.
interface interface-id
3. Configure la interface como un puerto protegido.
switchport protected
end
show interfaces interface-id switchport
Para inhabilitar el puerto protegido, utilice el comando de configuracin de

interface no switchport protected.
Configuracin del periodo de El periodo de baliza es el tiempo que transcurre entre el envo de balizas del punto
de acceso en kilomicrosegundos. Un Ksec equivale a 1024 microsegundos. La
baliza y el DTIM velocidad de baliza de datos, que siempre es un mltiplo del periodo de baliza,
determina la frecuencia con la que la baliza contiene un mensaje de indicacin
del trfico de entrega (DTIM). El DTIM informa a los dispositivos cliente con
ahorro de energa que un paquete los espera.
Por ejemplo, si el periodo de baliza se configura como 100, su ajuste predeter-

minado, y la velocidad de baliza de datos se configura como 2, su valor predeter-
minado, el punto de acceso inalmbrico enviar una baliza con un DTIM cada
200 Ksecs. Un Ksec equivale a 1024 microsegundos.

El periodo de baliza predeterminado es 100 y el DTIM predeterminado es 2.

En el modo EXEC con privilegios, siga estos pasos para configurar el periodo de
baliza y el DTIM.

configure terminal
La radio 802.11n de 2.4 GHz es 0.
La radio 802.11n de 5 GHz es 1.
3. Configure el periodo de baliza. Introduzca un valor en kilomicrosegundos.
beacon period value
4. Configure el DTIM. Introduzca un valor en kilomicrosegundos.
beacon dtim-period value
end
Configuracin del lmite RTS El lmite RTS determina el tamao del paquete para el que el punto de acceso
inalmbrico emite una solicitud de envo (RTS) antes de mandarlo. Un ajuste de
y las tentativas lmite RTS bajo puede resultar til en las zonas en las que muchos dispositivos
cliente se estn asociando al punto de acceso inalmbrico o en zonas donde los
clientes estn muy alejados y solo pueden detectar el punto de acceso inalmbrico
y no detectarse entre s. Puede introducir un valor entre 0 y 2347 bytes.
El nmero de tentativas de RTS mximo es la cantidad de veces que el punto de

acceso inalmbrico emite una RTS como mximo antes de detener el intento de
envo del paquete por la radio. Introduzca un valor entre 1 y 128.
El lmite de RTS predeterminado es 2347 para todos los puntos de acceso y

puentes y nmero de tentativas de RTS mximo predeterminado es 32. En el
modo EXEC con privilegios, siga estos pasos para configurar el lmite de RTS y el
nmero de tentativas de RTS mximo.

configure terminal
3. Configure el lmite RTS. Introduzca un valor de lmite de RTS entre
0 y 2347.
rts threshold value

4. Configure nmero de tentativas de RTS mximo. Introduzca un valor

entre 1 y 128.
rts retries value
end
Utilice la forma no del comando para restablecer los ajustes RTS

predeterminados.
Configuracin del nmero de El ajuste del nmero de tentativas de datos mximo determina la cantidad de
tentativas del punto de acceso inalmbrico de envo de un paquete antes de
tentativas de datos mximo desistir y dejar que se pierda.
El ajuste predeterminado es 32. En el modo EXEC con privilegios, siga estos

pasos para configurar el nmero de tentativas de datos mximo.

configure terminal
3. Configure el nmero de tentativas de datos mximo. Introduzca un valor
entre 1 y 128.
packet retries value
end
Utilice la forma no del comando para restablecer los valores predeterminados del
ajuste.

Configuracin del lmite de El lmite de fragmentacin determina el tamao en el que se fragmentan los
paquetes (enviados como varias piezas en lugar de en un bloque). Utilice un ajuste
fragmentacin bajo en zonas donde la comunicacin no sea buena o donde existan muchas
interferencias de radio.
El ajuste predeterminado es 2338 bytes. En el modo EXEC con privilegios, siga

estos pasos para configurar el lmite de fragmentacin:

configure terminal
3. Configure el lmite de fragmentacin.
Introduzca un valor entre 256 y 2346 bytes para la radio de 2.4 GHz.
Introduzca un valor entre 256 y 2346 bytes para la radio de 5 GHz.
fragment-threshold value
end
Utilice la forma no del comando para restablecer los valores predeterminados del
ajuste.
Realizacin de una prueba de Puede realizar una prueba de portadora ocupada para comprobar la actividad de
la radio en los canales inalmbricos. Durante la prueba de portadora ocupada, el
portadora ocupada punto de acceso inalmbrico desactiva todas las asociaciones con dispositivos de
red inalmbricos durante 4 segundos mientras lleva a cabo la prueba y despus
aparecen los resultados de esta.
En el modo EXEC con privilegios, introduzca este comando para realizar la

prueba de portadora ocupada:
dot11 interface-number carrier busy
En interface-number, introduzca dot11radio 0 para ejecutar la prueba en la

radio de 2.4 GHz o introduzca dot11radio 1 para ejecutar la prueba en la
radio de 5 GHz.
Utilice el comando show dot11 carrier busy para ver los resultados de la
prueba de portadora ocupada.

Configuracin de ClientLink Cisco ClientLink (denominada Beam Forming) es una tecnologa de conforma-
cin del haz inteligente que dirige la seal de RF a los dispositivos 802.11a/g
para aumentar el rendimiento un 65%, mejorar la cobertura un 27% y reducir
los puntos donde esta se pierde.
Cisco ClientLink ayuda a ampliar la vida til de los dispositivos 802.11a/g

existentes en las redes de cliente mixtas. Su uso resulta ventajoso para las
organizaciones que cambian a 802.11n y quieren garantizar que todos los clientes
de la red, con independencia de su tipo, tengan el ancho de banda y rendimiento
efectivo que necesitan.
Utilice la CLI para configurar ClientLink
Para habilitar ClientLink, introduzca este comando CLI en el modo de

configuracin de las interfaces de radio 802.11n:
beamform ofdm
La opcin de configuracin ClientLink no se encuentra disponible a

travs de la GUI. La opcin ClientLink est inhabilitada de manera
predeterminada.
Funciones de depuracin de Utilice el comando EXEC con privilegios debug dot11 para empezar a
depurar las funciones de radio. Utilice la forma no de este comando para detener
la radio la depuracin. La sintaxis del comando es:
[no] debug dot11
{events | packets | forwarding | mgmt | network-map
| syslog | virtual-interface}
ADVERTENCIA: La habilitacin del modo de depuracin puede afectar de

forma muy negativa al rendimiento e incluso interrumpir la comunicacin por
completo. Utilice esta opcin nicamente si se lo indica la asistencia tcnica.
Tabla 98 Sintaxis del comando debug dot11

Sintaxis Activa
events Activa la depuracin de todos los eventos relativos a la radio
packets Activa la depuracin de los paquetes de radio recibidos y transmitidos
forwarding Activa la depuracin de los paquetes de radio enviados
mgmt Activa la depuracin de la actividad de gestin del punto de acceso de
la radio
network-map Activa la depuracin del mapa de red de administracin de la
asociacin de la radio
syslog Activa la depuracin del registro del sistema de la radio
virtual interface Activa la depuracin de las interfaces virtuales de radio

Este ejemplo muestra cmo empezar a depurar todos los eventos relativos a la
radio:
AP# debug dot11 events
Este ejemplo muestra cmo empezar a depurar el registro del sistema de la radio:
AP# debug dot11 syslog
Este ejemplo muestra cmo dejar de depurar todos los eventos relativos a la radio:
AP# no debug dot11 events
SUGERENCIA Depuracin no habilitada es el valor predeterminado del comando.

Captulo 9
Configuracin de SSID mltiples
Este captulo describe cmo configurar y gestionar identificadores de conjunto de

servicios (SSID) mltiples en el punto de acceso.
Tema Pgina
Descripcin del uso de SSID mltiples 289
Configuracin de SSID mltiples 290
Configuracin de SSID bsicos mltiples 294
Asignacin de redireccionamiento IP a un SSID 299
Inclusin de un SSID en un IE SSIDL 301
Descripcin del uso de SSID El SSID es un identificador nico que utiliza los dispositivos de red inalmbricos
para establecer y mantener la conectividad inalmbrica. Varios puntos de acceso
mltiples en una red o subred pueden utilizar los mismos SSID. Los SSID son sensibles a las
maysculas y minsculas y pueden contener hasta 32 caracteres alfanumricos.
No incluya espacios en los SSID.
Puede configurar hasta 16 SSID en su punto de acceso y asignar distintos ajustes

de configuracin a cada uno de ellos. Todos los SSID se encuentran activos al
mismo tiempo; es decir, los dispositivos cliente pueden asociarse al punto de
acceso mediante cualquiera de los SSID. A continuacin se describen los ajustes
que puede asignar a cada SSID:
VLAN
Mtodo de autenticacin de clientes
SUGERENCIA Si desea obtener informacin detallada sobre los tipos de autenticacin de

cliente, consulte Configuracin de los tipos de autenticacin en la pgina 341.
Nmero mximo de asociaciones de cliente mediante el SSID

Contabilidad RADIUS del trfico mediante el SSID
Modo de invitado
Perfil de autenticacin (nombre de usuario y contrasea) en modo de
puente de grupo de trabajo o repetidor
Redireccionamiento de los paquetes recibidos desde dispositivos cliente
Si quiere que el punto de acceso permita asociaciones de dispositivos cliente sin

un SSID especificado en su configuracin, puede configurar un SSID de invitado.
El punto de acceso incluir el SSID de invitado en su baliza. Si el modo de
invitado est inhabilitado, el SSID no se transmitir en los mensajes baliza. Si
quiere evitar que los clientes sin un SSID previamente configurado se conecten a
la red inalmbrica, inhabilite la opcin de SSID de invitado.

Captulo 9 Configuracin de SSID mltiples
Si desea informacin sobre cmo configurar o inhabilitar el SSID de modo de

invitado, consulte Creacin de un SSID a escala global en la pgina 290.
Si su punto de acceso es un repetidor o un punto de acceso raz que acta como

unidad principal de un repetidor, puede configurar un SSID para su uso en el
modo de repetidor. Puede asignar un nombre de usuario y contrasea de
autenticacin al SSID de modo de repetidor para que el repetidor autentique
su red como un dispositivo cliente.
Si su red utiliza redes VLAN, puede asignar un SSID a una VLAN y los
dispositivos cliente se agruparn en dicha VLAN mediante el SSID.
IMPORTANTE Los SSID, las redes VLAN y los esquemas de cifrado se asignan en una relacin
uno a uno: un SSID se puede asignar a una nica VLAN y una VLAN se puede
asignar a un nico esquema de cifrado. Cuando se utiliza una configuracin
SSID global, no es posible configurar un SSID con dos esquemas de cifrado
distintos. Por ejemplo, no se puede aplicar el SSID north con TKIP en la
interface dot11 0 y tambin con WEP128 en la interface dot11 1.
Configuracin de SSID Las secciones a continuacin contienen informacin de configuracin de SSID

mltiples:
mltiples
Configuracin predeterminada de SSID

En Cisco IOS versin 12.3(7)JA y posteriores no hay ningn SSID
predeterminado.
Creacin de un SSID a escala global

Puede configurar SSID a escala global o para una interface de radio especfica.
Cuando utilice el comando de configuracin global dot11 ssid para crear un
SSID, podr emplear el comando de configuracin de interface ssid para
asignar el SSID a una interface concreta.
Si un SSID se ha creado en el modo de configuracin global, el comando de

configuracin de interface ssid unir el SSID a la interface, pero no obtendr
acceso al modo de configuracin de SSID. No obstante, si el SSID no se ha creado
en el modo de configuracin global, el comando ssid har pasar la CLI al modo
de configuracin del nuevo SSID.
En el modo EXEC con privilegios, siga estos pasos para crear un SSID a escala
global. Una vez que haya creado un SSID, podr asignarlo a interfaces de radio
especficas.

configure terminal
2. Cree un SSID y obtenga acceso al modo de configuracin del nuevo SSID.

Configuracin de SSID mltiples Captulo 9
El SSID puede tener un mximo de 32 caracteres alfanumricos. Los SSID

El primer carcter no puede ser !, # o ;.
Los caracteres +, ], /, ", TAB y los espacios finales no son vlidos para los
SSID.
dot11 ssid ssid-string
3. (Opcional) Configure el nombre de usuario y contrasea de autenticacin
que el punto de acceso emplear para autenticarse en la red cuando se
encuentre en el modo de repetidor.
4. (Opcional) Configure el nombre de usuario y contrasea en el SSID que el
punto de acceso repetidor emplear para asociarse a un punto de acceso
raz o a otro repetidor.
authentication client
username username
password password
5. (Opcional) Habilite la contabilidad RADIUS para este SSID.
Para list-name, especifique la lista de mtodos de contabilidad.
accounting list-name
6. (Opcional) Asigne el SSID a una VLAN en su red.
Los dispositivos cliente que se asocien mediante el SSID se agruparn en
esta VLAN. nicamente puede asignar un SSID a una VLAN.
vlan vlan-id
7. (Opcional) Configure el SSID como SSID de modo de invitado de su
punto de acceso.
El punto de acceso incluir el SSID en su baliza y permitir asociaciones de
dispositivos cliente sin un SSID especificado.
guest-mode

8. Este comando controla el SSID que utilizan los puntos de acceso y puentes
cuando se asocian entre s. Los puntos de acceso raz nicamente
permitirn la asociacin de puntos de acceso repetidor mediante el SSID
de infraestructura.
Los puentes raz nicamente permitirn la asociacin de puentes no raz
mediante el SSID de infraestructura. Los puntos de acceso repetidor y los
puentes no raz utilizan este SSID para asociarse a dispositivos raz.
La GUI de punto de acceso y puente requiere la configuracin de SSID
de infraestructura para las funciones de repetidor y puente no raz. Es
obligatorio configurar SSID de infraestructura para las funciones de
puente de grupo de trabajo. No obstante, si utiliza la CLI para configurar
la funcin del dispositivo, no tendr que configurar un SSID de infraes-
tructura salvo que se hayan configurado mltiples SSID en la radio. Si se
han configurado mltiples SSID en la radio, deber utilizar el comando
infrastructure-ssid para especificar el SSID que utilizar el puente
no raz para conectarse al puente raz.
Los repetidores no se asociarn a puentes si no se ha configura el SSID de
infraestructura con independencia de la presencia de un nico o mltiples
SSID.
infrastructure-ssid [optional]
9. Obtenga acceso al modo de configuracin de la interface de radio que
quiera asignar al SSID.
10. Asigne el SSID global que haya creado en paso 2 a la interface de radio.
ssid ssid-string
end
IMPORTANTE Utilice las opciones de autenticacin del comando ssid para configurar
un tipo de autenticacin para cada SSID. Consulte Configuracin de un
punto de acceso como autenticador local en la pgina 307 si desea obtener
instrucciones sobre cmo configurar tipos de autenticacin.
Utilice la forma no del comando para inhabilitar el SSID o sus caractersticas.

Este ejemplo muestra cmo:

Asignar un nombre a un SSID.
Configurar el nmero mximo de dispositivos cliente que se pueden
asociar mediante este SSID como 15.
Asignar el SSID a una VLAN.
Asignar el SSID a una interface de radio.
AP(config)# dot11 ssid batman
AP(config-ssid)# max-associations 15
AP(config-ssid)# vlan 3762
AP(config-ssid)# exit
AP(config)# interface dot11radio 0
AP(config-if)# ssid batman
AP(config-if)#end
Visualizacin de los SSID configurados a escala global
Utilice este comando para ver los detalles de los SSID configurados a escala
global:
AP# show running-config ssid ssid-string
Restriccin de SSID mediante Para impedir que los dispositivos cliente se asocien al punto de acceso mediante
un SSID no autorizado, puede crear una lista de SSID autorizados que debern
un servidor RADIUS utilizar los clientes en su servidor de autenticacin RADIUS.
El proceso de autorizacin de SSID consta de estos pasos.
1. Un dispositivo cliente se asocia al punto de acceso mediante cualquier

SSID configurado en el punto de acceso.
2. El cliente inicia la autenticacin RADIUS.
3. El servidor RADIUS proporciona una lista de SSID que el cliente puede
utilizar. El punto de acceso busca en la lista una coincidencia con el SSID
utilizado por el cliente. Caben tres posibles resultados:
a. Si el SSID utilizado por el cliente para asociarse al punto de acceso
coincide con una entrada en la lista de SSID permitidos generada por el
servidor RADIUS, el cliente podr obtener acceso a la red tras satisfacer
todos los requisitos de autenticacin.
b. Si el punto de acceso no encuentra una coincidencia para el cliente en la
lista de SSID permitidos, el punto de acceso se desasociar del cliente.
c. Si el servidor RADIUS no genera ningn SSID (sin lista) para el
cliente, se deber a que el administrador no ha configurado la lista y el
cliente podr asociarse e intentar autenticarse.

Deber utilizar la lista de SSID del servidor RADIUS en forma de VSA de Cisco.
El borrador del estndar del Internet Engineering Task Force (IETF) especifica
un mtodo de comunicacin de informacin especfica del proveedor entre el
punto de acceso y el servidor RADIUS mediante el atributo vendor-specific
(atributo 26).
Los atributos especficos del proveedor (VSA) permiten a los proveedores

integrar sus propios atributos ampliados no aptos para un uso general. La
implementacin Cisco RADIUS admite una opcin especfica del proveedor
si utiliza el formato recomendado en la especificacin. El identificador de
proveedor de Cisco es el 9 y la opcin compatible tiene un tipo de proveedor 1,
denominado cisco-avpair. El servidor Radius puede tener varios VSA SSID
o ninguno por cliente.
En este ejemplo, el par de atributo y valor (AV) que se indica aade el SSID
batman a la lista de SSID permitidos para un usuario:
cisco-avpair= ssid=batman
Si desea obtener instrucciones sobre cmo configurar el punto de acceso de modo

que reconozca y utilice VSA, consulte Configuracin del punto de acceso para la
comunicacin de servidor RADIUS patentado del proveedor en la pgina 396.
Configuracin de SSID Las radios 802.11a, 802.11g y 802.11n del punto de acceso admiten hasta 8 SSID
bsicos (BSSID). Estos son similares a las direcciones MAC. Utilice BSSID
bsicos mltiples mltiples para asignar un ajuste DTIM nico a cada SSID y transmitir varios
SSID en balizas. Un valor DTIM alto aumentar la vida til de la batera de los
dispositivos cliente con ahorro de energa que utilicen un SSID y la transmisin
de SSID mltiples har la red LAN inalmbrica ms accesible a los invitados.
Los dispositivos de su red LAN inalmbrica configurados para asociarse a un

punto de acceso especfico en funcin de la direccin MAC de este (por ejemplo,
dispositivos cliente, repetidores, unidades de reserva o puentes de grupo de
trabajo) pueden perder su asociacin si aade o elimina un BSSID mltiple.
Cuando aada o elimine un BSSID mltiple, compruebe el estado de asociacin
de los dispositivos configurados para asociarse a un punto de acceso concreto. En
caso necesario, vuelva a configurar el dispositivo desasociado para utilizar la nueva
direccin MAC del BSSID.

Requisitos de configuracin de BSSID mltiples
Para configurar BSSID mltiples, sus puntos de acceso debern satisfacer estos
requisitos mnimos:
Debe haber VLAN configuradas
Los puntos de acceso deben contener una radio compatible con BSSID
mltiples.
Para determinar si una radio admite SSID bsicos mltiples, introduzca el

comando show controllers radio_interface. La radio es
compatible con SSID bsicos mltiples si los resultados incluyen esta lnea:
Number of supported simultaneous BSSID on
radio_interface: 16
Directrices para la configuracin de BSSID mltiples
Recuerde estas pautas cuando configure BSSID mltiples:
Las VLAN asignadas a RADIUS no son compatibles cuando se habilitan

BSSID mltiples.
Cuando se habilitan BSSID, el punto de acceso asigna automticamente un

BSSID a cada SSID. No se puede asignar manualmente un BSSID a un
SSID concreto.
Cuando se habilitan BSSID mltiples en el punto de acceso, el IE SSIDL

no contiene una lista de SSID; tan solo contienen funciones ampliadas.
Cualquier dispositivo cliente con certificacin wifi puede asociarse a un

punto de acceso mediante BSSID mltiples.
Puede habilitar BSSID mltiples en puntos de acceso que participen en

WDS.

Configuracin de BSSID mltiples
Siga estos pasos para configurar BSSID mltiples.
1. Haga clic en Security.

Aparecer la pgina Security Summary.
Si utiliza la CLI en lugar de la GUI, consulte los comandos CLI

enumerados en Ejemplo de configuracin de la CLI en la pgina 298.
2. En el men de la izquierda, haga clic en SSID Manager.
Aparecer la pgina SSID Manager.
3. Introduzca el nombre del SSID en el campo SSID.

4. En el men desplegable VLAN, elija la VLAN asignada al SSID.

5. Seleccione las interfaces de radio en las que el SSID est habilitado.

El SSID permanecer inactivo hasta que lo habilite para una interface de
radio.
6. Introduzca un identificador de red para el SSID en el campo Network ID.
7. Asigne los ajustes de autenticacin, gestin de claves autenticadas y
contabilidad al SSID en las secciones Authentication Settings,
Authenticated Key Management y Accounting Settings de la pgina.
Los BSSID son compatibles con todos los tipos de autenticacin admitidos
por los SSID.
8. (Opcional) En la seccin Multiple BSSID Beacon Settings, seleccione la
casilla Set SSID as Guest Mode para incluir el SSID en las balizas.
9. (Opcional) Para prolongar la vida til de la batera de los clientes con
ahorro de energa que utilicen este SSID, seleccione la casilla Set Data
Beacon Rate (DTIM) e introduzca una velocidad de baliza para el SSID.
La velocidad de baliza determina la frecuencia con la que el punto de
acceso enva una baliza con un mensaje indicador del trfico de entrega
(Delivery Traffic Indicator Message o DTIM).
Cuando los dispositivos cliente reciben una baliza que contiene un DTIM,
normalmente se activan y comprueban los paquetes pendientes. La amplia-
cin de los intervalos entre DTIM permitir a los clientes dormir ms
tiempo y ahorrar energa. Y al contrario, unos periodos DTIM ms cortos
reducirn la demora en la recepcin de los paquetes pero consumirn ms
energa de la batera, ya que los clientes se reactivarn con ms frecuencia.
La velocidad de baliza predeterminada es 2. Esto significa que cualquier
otra baliza contiene un DTIM.
10. Introduzca una velocidad de baliza entre 1 y 100.
SUGERENCIA Un incremento del recuento del periodo DTIM retrasar la entrega de los
paquetes multidifusin. Dado que los paquetes multidifusin se almacenan
en un bfer, los recuentos de periodo DTIM amplios pueden desbordar este
ltimo.

11. En la seccin Guest Mode/Infrastructure SSID Settings, seleccione

Multiple BSSID.
Ejemplo de configuracin de la CLI
Este ejemplo muestra los comandos CLI empleados para habilitar BSSID
mltiples en una interface de radio, crear un SSID denominado visitor, configurar
el SSID como BSSID, especificar la inclusin del BSSID en las balizas, configurar
un periodo DTIM para el BSSID y asignar el SSID visitor a la interface de radio:
ap(config)# interface d0
ap(config-if)# mbssid
ap(config-if)# exit
ap(config)# dot11 ssid visitor
ap(config-ssid)# mbssid guest-mode dtim-period 75
ap(config-ssid)# exit
ap(config)# interface d0
ap(config-if)# ssid visitor
Tambin puede utilizar el comando de configuracin global dot11 mbssid

para habilitar de forma simultnea BSSID mltiples en todas las interfaces de
radio compatibles con ellos.
Visualizacin de los BSSID configurados
Utilice el comando EXEC con privilegios show dot11 bssid para ver la
relacin entre los SSID y los BSSID o las direcciones MAC. Este ejemplo muestra
la salida del comando:
AP1230#show dot11 bssid
Interface BSSID Guest SSID
Dot11Radio1 0011.2161.b7c0 Yes atlantic
Dot11Radio0 0005.9a3e.7c0f Yes WPA2-TLS-g

Asignacin de Cuando configure el redireccionamiento IP para un SSID, el punto de acceso

redirigir todos los paquetes enviados desde los dispositivos cliente asociados a ese
redireccionamiento IP a SSID a una direccin IP especfica. El redireccionamiento IP se utiliza sobre todo
un SSID en redes LAN inalmbricas que prestan servicio a dispositivos de mano que
utilizan una aplicacin de software central y estn estticamente configurados
para comunicarse con una direccin IP concreta.
Por ejemplo, el administrado de una LAN inalmbrica en un establecimiento de

venta al por menor o almacn puede configurar el redireccionamiento IP de sus
escneres de cdigo de barras. Utilizarn la misma aplicacin de escner y
enviarn datos a la misma direccin IP.
Puede redirigir todos los paquetes procedentes de los dispositivos cliente

asociados utilizando un SSID o redirigir nicamente los paquetes destinados a
puertos TCP o UDP especficos (en funcin de la definicin en una lista de
control de acceso). Cuando configure el punto de acceso para redirigir
nicamente paquetes destinados a puertos concretos, el punto de acceso redirigir
esos paquetes procedentes de clientes y dejar que se pierdan los otros paquetes
procedentes de clientes mediante el SSID.
SUGERENCIA Cuando realice una prueba de ping desde el punto de acceso hasta un
dispositivo cliente asociado con un SSID de redireccionamiento IP, los paquetes
de respuesta procedentes del cliente se redirigirn a la direccin IP especificada
y el punto de acceso no los recibir.
Esta figura ilustra el flujo de proceso que se establece cuando el punto de acceso
recibe paquetes procedentes de los clientes asociados mediante un SSID de
redireccionamiento IP.
Figura 100 Flujo de proceso para el redireccionamiento IP
Paquete entrante procedente de un cliente
Redireccionamiento Envo del

IP habilitado? paquete
Reconfiguracin de la Incremento del

Filtros de puerto TCP direccin de destino del contador de paquetes
o UDP habilitados? paquete como direccin de envo de
de redireccionamiento IP redireccionamiento IP
El nmero de puerto
del paquete coincide
con el nmero de
permiso del puerto?
Incremento del contador
de paquetes perdidos de
Prdida del
redireccionamiento IP paquete

Directrices para el uso del redireccionamiento IP
Recuerde estas pautas cuando utilice el redireccionamiento IP:
El punto de acceso no redirigir los paquetes BOOTP/DHCP de

difusin, unidifusin o multidifusin recibidos de dispositivos cliente.
Los filtros ACL existentes para los paquetes entrantes tendrn prioridad
sobre el redireccionamiento IP.
Configuracin del redireccionamiento IP
En el modo EXEC con privilegios, siga estos pasos para configurar el

redireccionamiento IP de un SSID.

configure terminal
2. Obtenga acceso al modo de configuracin de un SSID especfico.
3. Obtenga acceso al modo de configuracin del redireccionamiento IP para
la direccin IP. Introduzca la direccin IP con decimales, como en este
ejemplo: 10.91.104.92
Si no especifica una lista de control de acceso (ACL) que determine los
puertos TCP o UDP para el redireccionamiento, el punto de acceso
redirigir todos los paquetes que reciba de los dispositivos cliente.
ip redirection host ip-address
4. (Opcional) Especifique una ACL para aplicarla al redireccionamiento de
los paquetes.
nicamente se redirigirn los paquetes enviados a los puertos UDP o TCP
especficos definidos en la ACL. El punto de acceso descartar todos los
paquetes recibidos que no coincidan con los ajustes definidos en la ACL.
El parmetro in especifica la aplicacin de la ACL a la interface de entrada
del punto de acceso.
ip redirection host ip-address access-group acl in
Este ejemplo muestra cmo configurar el redireccionamiento IP de un SSID sin

aplicar una ACL. El punto de acceso redirigir todos los paquetes que reciba de
dispositivos cliente asociados al SSID batman.
AP(config ssid)# ip redirection host 10.91.104.91
AP(config ssid-redirect)# end

Este ejemplo muestra cmo configurar el redireccionamiento IP nicamente para

los paquetes enviados a los puertos TCP y UDP especificados en una ACL.
Cuando el punto de acceso reciba paquetes procedentes de dispositivos cliente
asociados mediante el comando SSID robin, redirigir los paquetes enviados a
los puertos especificados y descartar el resto.
AP(config ssid)# ip redirection host 10.91.104.91
access-group redirect-acl in
AP(config ssid)# end
Inclusin de un SSID en un La baliza del punto de acceso nicamente puede anunciar un SSID de difusin.
No obstante, puede utilizar los elementos informativos SSIDL (IE SSIDL) de la
IE SSIDL baliza del punto de acceso para avisar a los dispositivos cliente de la presencia de
SSID adicionales en el punto de acceso. Cuando configure un SSID para su
inclusin en un IE SSIDL, los dispositivos cliente detectarn que el SSID se
encuentra disponible y tambin detectarn los ajustes de seguridad necesarios
para la asociacin mediante ese SSID.
IMPORTANTE Cuando se habilitan BSSID mltiples en el punto de acceso, el IE SSIDL no

contiene una lista de SSID; tan solo contienen funciones ampliadas.

En el modo EXEC con privilegios, siga estos pasos para incluir un SSID en un
IE SSIDL.

configure terminal
2. Obtenga acceso al modo de configuracin de un SSID especfico.
3. Incluya un IE SSIDL en la baliza del punto de acceso que anuncie las
funciones ampliadas para este, como por ejemplo 802.1x y la compatibili-
dad con la tecnologa Microsoft Wireless Provisioning Services (WPS).
Utilice la opcin de anuncio para incluir el nombre del SSID y las
funciones en el IE SSIDL. Utilice la opcin wps para configurar el
indicador de funcin WPS en el IE SSIDL.
information-element ssidl [advertisement] [wps]
Utilice la forma no del comando para inhabilitar los IE SSIDL.

Captulo 10
Configuracin del protocolo del rbol de

expansin
Este captulo describe cmo configurar el protocolo del rbol de expansin

(Spanning Tree Protocol o STP) en su punto de acceso.
Tema Pgina
Protocolo de rbol de expansin (STP) 303
Configuracin de las caractersticas del STP 304
Visualizacin del estado del rbol de expansin 306
IMPORTANTE El STP nicamente se encuentra disponible cuando el punto de acceso se

encuentra en el modo de puente.
Protocolo de rbol de El STP es un protocolo de administracin de vnculos de capa 2 que proporciona

redundancia de ruta a la vez que impide que se produzcan bucles en la red. Para
expansin (STP) que una red Ethernet de capa 2 funcione correctamente, solo puede existir una
ruta activa entre dos estaciones. El funcionamiento de los rboles de expansin
es transparente para las estaciones finales, que no pueden detectar si estn
conectadas a un segmento nico de LAN o a una LAN de varios segmentos.
Cuando se crean interredes con tolerancia a fallos, se debe disponer de una ruta
sin bucle entre todos los nodos de la red. El algoritmo del rbol de expansin
calcula la mejor ruta sin bucles en toda una red de capa 2. Los dispositivos de
infraestructura, como los punto de accesos inalmbricos y los switches, envan
y reciben tramas del rbol de expansin, denominadas unidades de datos del
protocolo puente (BPDU), a intervalos regulares. Los dispositivos no reenvan
estas tramas, pero las usan para construir una ruta sin bucles.
La existencia de varias rutas activas entre estaciones finales genera bucles en la red.
Si hay un bucle en la red, las estaciones finales pueden recibir mensajes duplica-
dos. Los dispositivos de infraestructura tambin pueden aprender direcciones
MAC de estaciones finales en varias interfaces de capa 2. Estas condiciones
generan inestabilidad en la red.

Captulo 10 Configuracin del protocolo del rbol de expansin
El STP define un rbol con un puente raz y una ruta sin bucles desde la raz hasta
todos los dispositivos de infraestructura en la red de capa 2.
SUGERENCIA Las negociaciones STP emplean el trmino root (raz) para describir dos
conceptos: el puente en la red que sirve como punto central en el rbol de
expansin se denomina puente raz y el puerto en cada puente que
proporciona la ruta ms eficiente hacia el puente raz se denomina puerto raz.
Estos significados difieren de la funcin en el ajuste de la red de radio, que
incluye opciones raz y no raz. Un puente cuya funcin en el ajuste de la red
de radio es Root Bridge no ser necesariamente el puente raz en el rbol de
expansin. En este captulo, el puente raz en el rbol de expansin se
denomina raz del rbol de expansin.
El STP fuerza el paso de las rutas de datos redundantes a un estado de reserva

(bloqueado). Si un segmento de red del rbol de expansin falla y existe una ruta
redundante, el algoritmo de rbol de expansin vuelve a calcular la topologa del
rbol de expansin y activa la ruta de reserva.
Cuando dos interfaces en un puente forman parte de un bucle, los ajustes de

prioridad del puerto del rbol de expansin y costo de ruta determinan qu
interface se pone en el estado de transmisin o de bloqueo. El valor de prioridad
del puerto representa la ubicacin de una interface en la topologa de red y la
idoneidad de su ubicacin para transmitir el trfico. El valor del costo de ruta
representa la velocidad de los medios.
El punto de acceso admite rboles de expansin por VLAN (PVST) y un nico

rbol de expansin 802.1q sin VLAN. El punto de acceso no puede ejecutar MST
802.1s o el rbol de expansin comn 802.1d, que asigna mltiples VLAN a un
rbol de expansin de una nica instancia.
El punto de acceso mantiene una instancia de rbol de expansin independiente

para cada VLAN activa configurada en l. Un identificador de puente, que consta
de la prioridad del puente y la direccin MAC del punto de acceso, se asocia a
cada instancia. Para cada VLAN, el punto de acceso con el identificador ms bajo
punto de acceso se convierte en la raz del rbol de expansin de dicha VLAN.
Configuracin de las El STP nicamente se encuentra disponible cuando el punto de acceso se

encuentra en el modo de puente. Siga estos pasos para configurar el STP en el
caractersticas del STP punto de acceso.
1. En caso necesario, asigne interfaces y subinterfaces a los grupos de puentes.

2. Habilite el STP para cada grupo de puentes.
3. Configure la prioridad STP para cada grupo de puentes.

Configuracin del protocolo del rbol de expansin Captulo 10
Configuracin STP predeterminada
El STP est inhabilitado de manera predeterminada. Esta tabla contiene los

ajustes STP predeterminados cuando se habilita STP.
Tabla 99 Valores STP predeterminados cuando STP est habilitado
Ajuste Valor predeterminado
Bridge priority 32768
Bridge max age 20
Bridge hello time 2
Bridge forward delay 15
Ethernet port path cost 19
Ethernet port priority 128
Radio port path cost 33
Radio port priority 128
Las interfaces de radio y Ethernet y la VLAN nativa del punto de acceso se

asignan al grupo de puentes 1 de manera predeterminada. Cuando se habilita
STP y se asigna una prioridad en el grupo de puentes 1, el STP se habilita en las
interfaces de radio y Ethernet y en la VLAN principal. Dichas interfaces adoptan
la prioridad asignada al grupo de puentes 1. Puede crear grupos de puentes para
subinterfaces y asignar distintos ajustes STP a dichos grupos de puentes.
Configuracin de los ajustes STP

En el modo EXEC con privilegios, siga estos pasos para configurar STP en el
punto de acceso.

configure terminal
2. Obtenga acceso al modo de configuracin de las interfaces o subinterfaces
de radio o Ethernet.
La interface Gigabit Ethernet es 0.
interface { dot11radio number | gigabitEthernet number }
3. Asigne la interface a un grupo de puentes. Puede asignar a sus grupos de

puentes un nmero entre 1 y 255.
bridge-group number
4. Neutralice el comando que inhabilita automticamente STP para un grupo
de puentes. El STP se habilita en la interface cuando se introduce el
comando bridge n protocol ieee.
no bridge-group number spanning-disabled
5. Vuelva al modo de configuracin global.
exit

Captulo 10 Configuracin del protocolo del rbol de expansin
6. Habilite el STP para el grupo de puentes. Deber habilitar STP en cada

grupo de puentes que cree con los comandos bridge-group.
bridge number protocol ieee
7. (Opcional) Asigne una prioridad a un grupo de puentes. Cuanto ms baja
sea la prioridad, ms probable ser que el puente se convierta en la raz del
rbol de expansin.
bridge number priority priority
end
show spanning-tree bridge
Visualizacin del estado del Para ver el estado del rbol de expansin, utilice uno o varios de los comandos
EXEC con privilegios de esta tabla.
rbol de expansin
Tabla 100 Comandos de visualizacin del estado del rbol de expansin
Comando Descripcin
show spanning-tree Informacin sobre el rbol de expansin de su red.
show spanning-tree blocked-ports Lista de los puertos bloqueados en este puente.
show spanning-tree bridge Estado y configuracin de este puente.
show spanning-tree active Informacin del rbol de expansin solo en las interfaces activas.
show spanning-tree root Resumen de la informacin en la raz del rbol de expansin.
show spanning-tree interface interface-id Informacin del rbol de expansin para la interface especificada.
show spanning-tree summary [totals] Aparece el resumen de los estados del puerto o el total de lneas de la seccin de
estado STP.
Si desea informacin sobre otras palabras clave del comando EXEC con
privilegios show spanning-tree, consulte la publicacin Cisco IOS Command
Reference for Cisco Aironet Access Points and Bridges (referencia de los
comandos Cisco IOS para los puentes y puntos de acceso Cisco Aironet).

Captulo 11
Configuracin de un punto de acceso como

autenticador local
Este captulo explica cmo configurar el punto de acceso como autenticador local
para que acte como autenticador autnomo para una LAN inalmbrica pequea
o para que preste un servicio de autenticacin de seguridad. Como autenticador
local, el punto de acceso realiza autenticaciones LEAP, EAP-FAST y basada en
MAC para hasta 50 dispositivos cliente.
Tema Pgina
Autenticacin local 307
Configuracin de un autenticador local 308
Configuracin de los ajustes EAP-FAST 324
Limitacin del autenticador local a un tipo de autenticacin 327
Desbloqueo de los nombres de usuario bloqueados 327
Mensajes de depuracin 329
Autenticacin local Muchas LAN inalmbricas pequeas que podran ser ms seguras gracias a la
autenticacin 802.1x no disponen de acceso a un servidor RADIUS. En muchas
LAN inalmbricas que emplean la autenticacin 802.1x, el punto de acceso
recurre a servidores RADIUS alojados en una ubicacin distante para autenticar
dispositivos cliente y el trfico de autenticacin debe atravesar una conexin
WAN. Si la conexin WAN falla o los puntos de acceso no pueden obtener acceso
a los servidores RADIUS por cualquier motivo, los dispositivos cliente no podrn
obtener acceso a la red inalmbrica aunque el trabajo que quieran realizar sea
completamente local.
Puede configurar el punto de acceso de modo que acte como servidor de

autenticacin local y preste servicios de autenticacin local o de autenticacin
de respaldo en caso de fallo de la conexin WAN o del servidor. El punto de
acceso puede autenticar hasta 50 dispositivos cliente inalmbricos mediante
autenticacin LEAP, EAP-FAST o basada en MAC. El punto de acceso realiza
hasta cinco autenticaciones por segundo.
Deber configurar manualmente el punto de acceso autenticador local con las

contraseas y nombres de usuario de clientes, ya que este no sincroniza su base
de datos con los principales servidores RADIUS. Tambin puede especificar una
VLAN y una lista de los SSID que puede utilizar un cliente.
SUGERENCIA Si su LAN inalmbrica incluye un nico punto de acceso, puede configurarlo

como autenticador 802.1x y autenticador local. No obstante, los usuarios
asociados al punto de acceso autenticador local pueden percibir un descenso
del rendimiento cuando este autentique los dispositivos cliente.

Captulo 11 Configuracin de un punto de acceso como autenticador local
Puede configurar sus puntos de acceso para que utilicen el autenticador local
cuando no puedan llegar a los servidores principales o para que lo utilicen como
autenticador principal si no dispone de un servidor RADIUS. Cuando configure
el autenticador local como equipo de respaldo de sus servidores principales, los
puntos de acceso comprobarn peridicamente la conexin con los servidores
principales y dejarn de utilizar el autenticador local de forma automtica cuando
se restablezca la conexin con los servidores principales.
IMPORTANTE El punto de acceso que utilice como autenticador contendr informacin de

autenticacin detallada para su LAN inalmbrica de modo que pueda
asegurarla fsicamente para proteger su configuracin.
Configuracin de un Siga estas directrices cuando configure un punto de acceso como autenticador
local.
autenticador local
Utilice un punto de acceso que no preste servicio a un gran nmero de
dispositivos cliente. Cuando el punto de acceso acte como autenticador,
puede que el rendimiento se reduzca para los dispositivos cliente asociados.
Dote el punto de acceso de medios de seguridad fsicos para proteger su

configuracin.
Descripcin general de la configuracin

Complete estos cuatro pasos principales para configurar un autenticador local.
1. En el autenticador local, cree una lista de puntos de acceso autorizados para

utilizarlo para la autenticacin de los dispositivos cliente. Cada punto de
acceso que utilice el autenticador local ser un servidor de acceso a la red
(NAS).
Si su punto de acceso autenticador local tambin presta servicio a
dispositivos cliente, deber configurarlo como un NAS. Cuando un cliente
se asocie al punto de acceso autenticador local, este se emplear a s mismo
para autenticar al cliente.
2. En el autenticador local, cree grupos de usuarios y configure los parmetros
que se aplicarn a cada uno de ellos (opcional).
3. En el autenticador local, cree una lista de hasta 50 usuarios LEAP, usuarios
EAP-FAST o direcciones MAC que est autorizado a autenticar.
No necesitar especificar el tipo de autenticacin que quiere que lleve a
cabo el autenticador local. Automticamente realizar autenticaciones
LEAP, EAP-FAST o de direccin MAC para los usuarios de su base de
datos.
4. En los puntos de acceso que utilicen el autenticador local, configure este
como un servidor RADIUS.

Configuracin de un punto de acceso como autenticador local Captulo 11
Si su punto de acceso autenticador local tambin presta servicio a

dispositivos cliente, deber configurar el autenticador local como servidor
RADIUS en sus ajustes. Cuando un cliente se asocie al punto de acceso
autenticador local, este se emplear a s mismo para autenticar al cliente.
Configuracin/habilitacin Se utilizan dos modos de autenticacin MAC. Uno de ellos es el de MAC

Authentication Only, por el que la autenticacin de direcciones MAC constituye
de la autenticacin MAC local una forma de ampliacin de la autenticacin abierta, de clave compartida o EAP
de red. El segundo radica en la coexistencia de la autenticacin MAC y la
autenticacin EAP. Este modo permite combinar los mtodos de direccin MAC
y EAP para autenticar al dispositivo o usuario. El primer paso de cualquiera de
estos mtodos consiste en configurar el SSID.
Configuracin del SSID
Para configurar el SSID, siga estos pasos.

2. En el men Security, haga clic en SSID Manager para ir a la pgina del
mismo nombre.
3. En la lista Current SSID, seleccione el SSID para la autenticacin MAC.
Si necesita crear un nuevo SSID, prosiga con el paso 4. De lo contrario,

vaya directamente al paso 7.
4. Seleccione <NEW> en la lista Current SSID.
5. Introduzca el nombre del SSID en el campo de texto SSID.
6. En la lista desplegable VLAN, seleccione la VLAN que quiera utilizar para
este SSID.
Seleccione <NONE> si las VLAN no estn habilitadas.
7. En Authentication Methods Accepted, seleccione el tipo de autenticacin
que quiera utilizar en este SSID.
8. Haga clic en Apply para crear el SSID.

Creacin de listas de direcciones MAC locales
Una vez configurado el SSID, puede crear la lista de direcciones MAC local.

2. En el men Security, haga clic en Advanced Security.
3. Haga clic en la pestaa MAC Address Authentication para ir a la pgina
del mismo nombre.
4. Seleccione Local List Only para el parmetro MAC Address

Authenticated by.
5. Haga clic en Apply en esa parte MAC Address Authentication de la
pgina.
6. En la seccin Local MAC Address List, introduzca la direccin MAC
autorizada en el parmetro New MAC Address.
7. Haga clic en Apply en esa parte Local MAC Address List de la pgina.

Creacin y habilitacin de la Primero deber configurar el SSID. Siga estos pasos para ello.
autenticacin MAC mediante 1. Haga clic en Security.
el servidor RADIUS 2. En el men Security, haga clic en SSID Manager.
3. En la lista Current SSID, seleccione el SSID para la autenticacin MAC.
Si necesita crear un nuevo SSID, prosiga con el paso 4. De lo contrario,

6. En la lista VLAN, seleccione la VLAN que quiera utilizar para este SSID.
Seleccione <NONE> si las VLAN no estn habilitadas.
7. En Authentication Methods Accepted, seleccione el tipo de autenticacin
que quiera utilizar en este SSID.
8. Utilice el men desplegable para seleccionar MAC Authentication.
Tambin puede seleccionar autenticacin MAC y EAP o autenticacin
MAC o EAP.
9. Determine el uso que va a dar a los servidores RADIUS especficos de este

SSID con las secciones EAP y MAC Authentication Server.
Puede elegir entre utilizar los valores predeterminados o personalizar las
prioridades a travs del men desplegable.
Si habilita el uso de los valores
predeterminados, haga clic en el
enlace Define Defaults para ir a la
pgina Server Manager. All podr
configurar el servidor RADIUS.

Adicin de un servidor RADIUS
Una vez configurado el SSID, podr aadir el servidor RADIUS o TACACS+.

Siga estos pasos para aadir el servidor RADIUS.

2. En el men Security, haga clic en Server Manager.
3. En el men desplegable Current
Server List, seleccione el servidor que
quiera utilizar para la autenticacin
MAC.
Si necesita crear un nuevo servidor,
prosiga con el paso 4. De lo contrario,
4. Seleccione <NEW> en Current Server List.
5. Utilice el men desplegable para seleccionar RADIUS como tipo de
servidor.
6. Introduzca el nombre de anfitrin del servidor o la direccin IP en el
campo de texto Server.
7. En el campo de texto Shared Secret, introduzca la clave secreta compartida

que utilice el servidor especificado que coincida con la del dispositivo.
8. (Opcional) Introduzca el nmero de puerto que utilice su servidor para la
autenticacin en el parmetro Authentication Port.
Por ejemplo, el ajuste del puerto para el servidor Cisco RADIUS (el
servidor de control de acceso, Access Control Server o ACS) es 1645 y el
ajuste del puerto para muchos servidores RADIUS es 1812.

9. En Default Server Priorities, determine el nivel de prioridad que quiera

asignar a cada servidor.
10. Seleccione prioridad 1, 2 o 3 para este servidor.
11. Haga clic en Apply para aadir el servidor.

Los pasos del paso 12 al paso 16 son tareas opcionales y se pueden obviar
para acelerar la configuracin.
12. Haga clic en la pestaa Global Properties.
13. En el campo Accounting Updates Interval, indique el intervalo en el que
quiera que se realicen las actualizaciones de contabilidad.
14. En el campo TACACS+ Server Timeout, especifique el nmero de

segundos durante los que quiera que un punto de acceso espere la respuesta
a una solicitud TACACS+ antes de volver a enviarla.
15. En el campo RADIUS Server Timeout, especifique el nmero de segundos
durante los que quiera que un punto de acceso espere la respuesta a una
solicitud RADIUS antes de volver a enviarla.
16. En el campo RADIUS Server Retransmit Retries, especifique el nmero de

veces que quiera que el punto de acceso enve cada solicitud RADIUS al
servidor antes de desistir.
Si se configuran varios servidores RADIUS para la autenticacin MAC,
habilite la opcin Dead Server List.
a. Indique el tiempo que quiera que transcurra antes de que se obvien los
servidores RADIUS que no respondan cuando el punto de acceso
intente la autenticacin de servidor RADIUS.
b. Introduzca este tiempo en el campo de texto Server remains on list for.

Configuracin del mtodo de autenticacin MAC
Una vez que haya aadido el servidor RADIUS, podr configurar el mtodo de
autenticacin MAC. Siga estos pasos para configurar el mtodo de autenticacin
MAC.

3. Haga clic en la pestaa MAC Address Authentication.
4. Seleccione Authentication Server if not found in Local List si desea utilizar

el servidor RADIUS en combinacin con una lista local.
5. Haga clic en Apply en la seccin MAC Address Authentication.
A continuacin siga los pasos del 6 al 9. De lo contrario, seleccione
Authentication Server Only en el parmetro MAC Addresses
authenticated by y vaya directamente al paso 9.
6. En la seccin Local MAC Address List, introduzca la direccin MAC
autorizada en el parmetro New MAC Address.
7. Haga clic en Apply en la parte Local MAC Address List de la pgina para
aadir esta direccin MAC a la lista local.
8. Si necesita aadir ms de una direccin MAC a la lista local, repita los
pasos del 4 al 5 hasta que la lista est completa.
9. Haga clic en Apply en la seccin MAC Address Authentication.

Configuracin de la El dispositivo utilizar el protocolo de autenticacin extensible (Extensible

Authentication Protocol o EAP) para interaccionar con un servidor RADIUS
autenticacin EAP de red compatible con EAP en su red con el fin de proporcionar autenticacin para los
dispositivos cliente inalmbricos.
Para configurar la opcin EAP de red, primero deber configurar el SSID. Siga
estos pasos para configurar el SSID.

2. En el men Security, haga clic en SSID Manager.
3. En la lista Current SSID, seleccione el SSID para la autenticacin EAP. Si
necesita crear un nuevo SSID, prosiga con el paso 4. De lo contrario, vaya
directamente al paso 7.

6. En la lista desplegable VLAN, seleccione la VLAN que quiera utilizar para
este SSID.
Seleccione <NONE> si las VLAN no estn habilitadas. Puede utilizar el
enlace Define VLANs para ir a Services>VLAN y configurar una.
7. En la opcin Authentication Methods Accepted, marque la casilla
Network EAP.
8. Haga clic en Apply para crear el SSID.
Una vez configurado el SSID, deber configurar el cifrado. Para configurar el

cifrado, siga estos pasos.

2. En el men Security, haga clic en Encryption Manager.
3. En el men desplegable Set Encryption Mode and Keys for VLAN,
seleccione la VLAN correspondiente al SSID anteriormente aadido.
Esta lista desplegable VLAN aparece cuando las VLAN estn habilitadas.
Si no hay ninguna VLAN presente, los ajustes de cifrado se aplicarn a
todos los SSID. Seleccione <NONE> si las VLAN no estn habilitadas.
4. En la seccin Encryption Mode, haga clic en Cipher para habilitar el
cifrado AES CCMP.

Una vez configurado el cifrado, deber aadir un servidor RADIUS o

TACACS+. Siga estos pasos para aadir el servidor RADIUS.

2. En el men Security, haga clic en Server Manager.
3. En Current Server List, seleccione el servidor que vaya a utilizar para la
autenticacin EAP.
Si necesita crear un nuevo servidor, prosiga con el paso 4. De lo contrario,
4. Seleccione <NEW> en Current Server List.
5. Introduzca el nombre de anfitrin del servidor o la direccin IP en el
campo de texto Server.
6. Utilice el men desplegable para seleccionar un servidor RADIUS o
TACACS+.
7. En el campo de texto Shared Secret, introduzca la clave secreta compartida
que utilice el servidor especificado que coincida con la del dispositivo.
8. Introduzca el nmero de puerto que utilice su servidor para la
autenticacin en el parmetro Authentication Port.
El ajuste del puerto para el servidor Cisco RADIUS (el servidor de control
de acceso, Access Control Server o ACS) es 1645 y el ajuste del puerto para
muchos servidores RADIUS es 1812.
9. Introduzca el nmero de puerto que su servidor RADIUS utiliza con fines
de contabilidad.
El ajuste del puerto para el servidor RADIUS de Cisco (el servidor de
control de acceso, Access Control Server o ACS) es 1646 y el ajuste del
puerto para varios servidores RADIUS es 1813. Compruebe la
documentacin de su servidor para encontrar el ajuste de puerto de
contabilidad correcto.
10. Utilice los mens desplegables para determinar el nivel de prioridad que
quiera asignar a cada servidor.
11. Haga clic en Apply para aadir el servidor.
Los pasos del paso 12 al paso 17 son tareas opcionales y se pueden obviar
para acelerar la configuracin.
12. Haga clic en la pestaa Global Properties.
13. En el campo Accounting Updates Interval, indique el intervalo en el que
quiera que se lleven a cabo las actualizaciones de contabilidad.

14. En el campo TACACS+ Server Timeout, especifique el nmero de

segundos durante los que quiera que un punto de acceso espere la respuesta
a una solicitud TACACS+ antes de volver a enviarla.
15. En el campo RADIUS Server Timeout, especifique el nmero de segundos
durante los que quiera que un punto de acceso espere la respuesta a una
solicitud RADIUS antes de volver a enviarla.
16. En el campo RADIUS Server Retransmit Retries, especifique el nmero de
veces que quiera que el punto de acceso enve cada solicitud RADIUS al
servidor antes de dejar de intentarlo.
Si se configuran varios servidores RADIUS para la autenticacin EAP,
habilite la opcin Dead Server List. Indique el tiempo que quiera que
transcurra antes de que se obvien los servidores RADIUS que no
respondan cuando el punto de acceso intente la autenticacin de servidor
RADIUS. Introduzca este tiempo en el campo de texto Server remains on
list for.
17. Haga clic en Apply en la seccin Global Server Properties.

Configuracin de los parmetros EAP avanzados
Una vez aadido el servidor RADIUS, podr configurar los parmetros EAP
avanzados. Estos pasos son opcionales y se pueden obviar para acelerar la
configuracin.

3. Haga clic en la pestaa Timers para ir a la pgina donde se especifica la
autenticacin EAP.
4. Elija una de las opciones que habilitan la reautenticacin.

Estas opciones de intervalo determinan la frecuencia con la que se vuelve a
intentar la autenticacin EAP. Puede introducir su propio intervalo o
utilizar el que proporciona el servidor RADIUS.
5. En el campo de texto TKIP MIC Failure Holdoff Time, introduzca el
tiempo que tendr que esperar el punto de acceso a que los clientes
inalmbricos respondan a las solicitudes de autenticacin EAP.

Configuracin del punto de En el modo EXEC con privilegios, siga estos pasos para configurar el punto de
acceso como autenticador local.
acceso autenticador local
mediante la CLI 1. Obtenga acceso al modo de configuracin global.
configure terminal
2. Habilite AAA.
aaa new-model
3. Habilite el punto de acceso como autenticador local y obtenga acceso al
modo de configuracin del autenticador.
radius-server local
4. Aada un punto de acceso a la lista de unidades que utilicen el autenticador
local.
Introduzca la direccin IP del punto de acceso y la clave compartida
empleada para autenticar la comunicacin entre el autenticador local y
otros puntos de acceso. Deber introducir esta clave compartida en los
puntos de acceso que utilicen el autenticador local. Si su autenticador local
tambin presta servicio a dispositivos cliente, deber configurar el punto de
acceso autenticador local como NAS.
SUGERENCIA Los espacios iniciales en la cadena de la clave se ignoran, pero los que
estn dentro y al final de la misma se utilizan. Si utiliza espacios en su
clave, no escriba la clave entre comillas, salvo que estas formen parte
de ella.
Repita este paso para aadir cada punto de acceso que utilice el
autenticador local.
nas ip-address key shared-key
5. (Opcional) Obtenga acceso al modo de configuracin de grupos de
usuarios y configure un grupo de usuarios a los que se puedan asignar
ajustes compartidos.
group group-name
6. (Opcional) Especifique la VLAN que utilizarn los miembros del grupo de
usuarios.
El punto de acceso trasladar a los miembros del grupo a esa VLAN,
anulando as otras asignaciones VLAN. Tan solo se puede asignar una
VLAN al grupo.
vlan vlan
7. (Opcional) Introduzca un mximo de 20 SSID para restringir los
miembros del grupo de usuarios a esos SSID.
El punto de acceso comprobar que el SSID utilizado por el cliente para
asociarse coincida con uno de los SSID de la lista. Si el SSID no coincide, el
cliente se desasociar.
ssid ssid
8. (Opcional) Introduzca el nmero de segundos que quiera esperar antes de
que los puntos de acceso autentiquen a los miembros del grupo de nuevo.

La reautenticacin proporcionar a los usuarios una nueva clave de cifrado.

El ajuste predeterminado es 0, que significa que los miembros del grupo
nunca tendrn que volver a autenticarse.
reauthentication time seconds
9. (Opcional) Para protegerse frente a los ataques en los que se trate de
adivinar la contrasea, puede bloquear el acceso de los miembros de un
grupo de usuarios durante un tiempo tras la introduccin de un nmero
determinado de contraseas incorrectas.
count: nmero de contraseas incorrectas que activa el bloqueo del
nombre de usuario.
time: segundos que puede durar el bloqueo. Si introduce infinite,
un administrador tendr que desbloquear manualmente el nombre de
usuario bloqueado.
Consulte Desbloqueo de los nombres de usuario bloqueados en la

pgina 327 si desea obtener instrucciones sobre cmo desbloquear
dispositivos cliente.
block count count
time { seconds | infinite }
10. Salga del modo de configuracin del grupo y vuelva al modo de
configuracin del autenticador.
exit
11. Introduzca los usuarios LEAP y EAP-FAST autorizados para autenticarse
a travs del autenticador local.
Deber introducir un nombre y una contrasea para cada usuario. Si tan
solo conoce el valor NT de la contrasea, que con frecuencia se puede
encontrar en la base de datos del servidor de autenticacin, puede
introducir el hash NT como una cadena de dgitos hexadecimales.
Para aadir un dispositivo cliente para la autenticacin basada en MAC,
introduzca la direccin MAC del cliente como nombre de usuario y
contrasea. Introduzca 12 dgitos hexadecimales sin un punto o guion
entre los nmeros como nombre de usuario y contrasea. Por ejemplo, para
la direccin MAC 0009.5125.d02b, introduzca 00095125d02b como
nombre de usuario y contrasea.
Para restringir al usuario nicamente a la autenticacin MAC, introduzca
mac-auth-only.
Para aadir al usuario a un grupo de usuarios, introduzca el nombre del
grupo en cuestin. Si no especifica un grupo, el usuario no se asignar a una
VLAN especfica y nunca se ver obligado a reautenticarse.
user username
{ password | nthash } password
[ group group-name ]
[mac-auth-only]


end
Este ejemplo muestra cmo configurar un autenticador local empleado por tres
puntos de acceso con tres grupos de usuarios y varios usuarios:
AP(config)# radius-server local
AP(config-radsrv)# nas 10.91.6.159 key 110337
AP(config-radsrv)# group clerks
AP(config-radsrv-group)# vlan 87
AP(config-radsrv-group)# ssid batman
AP(config-radsrv-group)# ssid robin
AP(config-radsrv-group)# reauthentication time 1800
AP(config-radsrv-group)# block count 2 time 600
AP(config-radsrv-group)# group cashiers
AP(config-radsrv-group)# ssid deer
AP(config-radsrv-group)# ssid antelope
AP(config-radsrv-group)# ssid elk
AP(config-radsrv-group)# group managers
AP(config-radsrv-group)# ssid mouse
AP(config-radsrv-group)# ssid chipmunk
AP(config-radsrv-group)# exit
AP(config-radsrv)# user jsmith password twain74
group clerks
AP(config-radsrv)# user stpatrick password snake100
group clerks
AP(config-radsrv)# user nick password uptown group
clerks
AP(config-radsrv)# user 00095125d02b password
00095125d02b group clerks mac-auth-only
AP(config-radsrv)# user 00095125d02b password
00095125d02b group cashiers

AP(config-radsrv)# user 00079431f04a password

00079431f04a group cashiers
AP(config-radsrv)# user carl password 272165 group
managers
AP(config-radsrv)# user vic password lid178 group
managers
AP(config-radsrv)# end
Configuracin de otros puntos de acceso para que utilicen el

autenticador local
Para aadir el autenticador local a la lista de servidores del punto de acceso siga
el mismo procedimiento que empleara para aadir otros servidores. Si desea
obtener instrucciones detalladas sobre la configuracin de los servidores
RADIUS en sus puntos de acceso, consulte Configuracin de los servidores
RADIUS y TACACS+ en la pgina 377
IMPORTANTE Si su punto de acceso autenticador local tambin presta servicio a dispositivos

cliente, deber configurar el autenticador local de modo que se utilice a s
mismo para autenticarlos.
En los puntos de acceso que utilicen el autenticador local, utilice el comando

radius-server host para configurar el autenticador local como servidor
RADIUS.
El orden de las tentativas de uso de los servidores por parte del punto de acceso
deber coincidir con el orden en el se introdujeron los servidores en la
configuracin del punto de acceso.
Si est configurando el punto de acceso para que utilice RADIUS por primera
vez, introduzca primero los servidores RADIUS principales y el autenticador
local en ltimo lugar.
IMPORTANTE Deber configurar 1812 como puerto de autenticacin y 1813 como puerto
de contabilidad. El autenticador local escuchar en el puerto UDP 1813 los
paquetes de contabilidad RADIUS. Descartar los paquetes de contabilidad,
pero enviar paquetes de confirmacin a los clientes RADIUS para impedir que
presupongan que el servidor no funciona.
Utilice el comando radius-server deadtime para configurar un intervalo.

Durante este intervalo, el punto de acceso no tratar de utilizar los servidores que
no respondan. De este modo se evitar el tiempo necesario para esperar a que una
solicitud expire antes de intentarlo con el siguiente servidor configurado. Los
servidores marcados como muertos se obviarn en las solicitudes adicionales
durante los minutos que especifique, hasta 1440 (24 horas).

Este ejemplo muestra cmo configurar dos servidores principales y un

autenticador local con un tiempo muerto de servidor de 10 minutos:
1000 acct-port 1001 key 77654
1645 acct-port 1646 key 77654
AP(config)# radius-server host 10.91.6.151 auth-
port 1812 acct-port 1813 key 110337
AP(config)# radius-server deadtime 10
En este ejemplo, si falla la conexin WAN con los servidores principales, el punto
de acceso seguir estos pasos cuando se asocie un dispositivo cliente con
tecnologa LEAP.
1. Lo intentar con el primer servidor, sobrepasar el tiempo de espera varias

veces y lo marcar como muerto.
2. Lo intentar con el segundo servidor, sobrepasar el tiempo de espera varias
veces y lo marcar como muerto.
3. Lo intentar y lograr utilizando el autenticador local.
Si otro dispositivo cliente debe autenticarse durante el intervalo de tiempo

muerto de 10 minutos, el punto de acceso obviar los dos primeros servidores y lo
intentar con el autenticador local en primer lugar. Tras el intervalo de tiempo
muerto, el punto de acceso intentar utilizar los servidores principales para la
autenticacin. Cuando configure un tiempo muerto, deber hallar un equilibrio
entre la necesidad de obviar servidores muertos y la necesidad de comprobar la
conexin WAN y empezar a utilizar los servidores principales de nuevo lo antes
posible.
Cada vez que el punto de acceso intente utilizar los servidores principales cuando
estn inactivos, puede que el dispositivo cliente que est tratando de autenticarse
notifique que se ha sobrepasado el tiempo de espera para la autenticacin. El
dispositivo cliente volver a intentarlo y lo lograr cuando los servidores principa-
les superen el tiempo de espera y el punto de acceso lo intente con el autenticador
local. Puede ampliar el valor del tiempo de espera en los dispositivos cliente Cisco
para adaptarlo a los tiempos de espera del servidor previstos.
Para eliminar el autenticador local de la configuracin del punto de acceso, utilice

el comando de configuracin global no radius-server host hostname
| ip-address.

Configuracin de los ajustes Los ajustes predeterminados de la autenticacin EAP-FAST son adecuados para
la mayora de las redes LAN inalmbricas. No obstante, puede personalizar los
EAP-FAST valores de tiempo de espera de las credenciales, el identificador de autoridad y las
claves de servidor de modo que se adapten a sus requisitos de red.
Configuracin de los ajustes PAC
En esta seccin se describe el modo de configurar los ajustes de las credenciales de

acceso protegido (Protected Access Credential o PAC). La primera vez que un
dispositivo cliente EAP-FAST intenta autenticarse en el autenticador local, este
genera PAC para el cliente. Tambin puede generar PAC de manera manual y
utilizar Aironet Client Utility para importar el archivo PAC.
Tiempos de expiracin de las PAC
Puede limitar el nmero de das de validez de las PAC y un periodo de gracia

durante el que estas seguirn vigentes una vez que hayan expirado. De manera
predeterminada, las PAC son vlidas durante 2 das (un periodo de un da
predeterminado y un periodo de un da de gracia). Tambin puede aplicar los
ajustes de tiempo de expiracin y periodo de gracia a un grupo de usuarios.
Utilice este comando para configurar el tiempo de expiracin y el periodo de

gracia de las PAC:
AP(config-radsrv-group)# [no] eapfast pac expiry
days [grace days]
Introduzca un nmero de das entre 2 y 4095. Introduzca la forma no del

comando para reiniciar el tiempo de expiracin o el periodo de gracia con un
nmero de das infinito.
En este ejemplo, las PAC para el grupo de usuarios expiran en un plazo de

100 das con un periodo de gracia de dos das:
AP(config-radsrv-group)# eapfast pac expiry 100
grace 2
Generacin manual de PAC
El autenticador local genera automticamente PAC para los clientes EAP-FAST

que las solicitan. No obstante, usted puede generar PAC manualmente para
algunos dispositivos cliente. Cuando introduzca el comando, el autenticador local
generar un archivo PAC y lo escribir en la ubicacin de red que especifique. El
usuario importar el archivo PAC al perfil del cliente.

Utilice este comando para generar PAC manualmente:

AP# radius local-server pac-generate filename
username [password password] [expiry days]
Cuando introduzca el nombre de archivo PAC, introduzca la ruta completa en la

que el autenticador local escribir el archivo PAC (por ejemplo, tftp://172.1.1.1/
test/user.pac). La contrasea es opcional y, si no se especifica, se utilizar una
contrasea predeterminada que conozca el cliente CCX. El tiempo de expiracin
tambin es opcional y, si no se especifica, se aplicar el periodo predeterminado de
un da.
En este ejemplo, el autenticador local genera PAC para el nombre de usuario joe,
protege el archivo con la contrasea bingo, configura un tiempo de expiracin
de PAC de 10 das y escribe el archivo PAC en el servidor TFTP en 10.0.0.5:
AP# radius local-server pac-generate tftp://
10.0.0.5 joe password bingo expiry 10
Configuracin de un identificador de autoridad
Todos los autenticadores EAP-FAST se identifican mediante una identidad de

autoridad (AID). El autenticador local enva sus AID a un cliente que se est
autenticando y este comprueba en su base de datos una AID coincidente. Si el
cliente no reconoce la AID, solicita nuevas PAC.
Utilice estos comandos para asignar una AID al autenticador local:

AP(config-radserv)# [no] eapfast authority id
identifier
AP(config-radserv)# [no] eapfast authority info

identifier
El comando eapfast authority id asigna una AID que el dispositivo cliente

utilizar durante la autenticacin.
Configuracin de las claves de servidor

El autenticador local emplea claves de servidor para cifrar las PAC que genera y
para descifrarlas cuando autentica a los clientes. El servidor mantiene dos claves,
una principal y otra secundaria, y utiliza la primera para cifrar las PAC. De
manera predeterminada, el servidor utilizar un valor predefinido como clave
principal, pero no utilizar una clave secundaria si no la configura.

Cuando el autenticador local recibe PAC de un cliente, intenta descifrarlas con la

clave principal. Si el descifrado falla con la clave principal, el autenticador tratar
de descifrar las PAC con la clave secundaria si esta se ha configurado. Si el
descifrado falla, el autenticador rechazar las PAC por considerarlas no vlidas.
Utilice estos comandos para configurar las claves de servidor:

AP(config-radsrv)# [no] eapfast server-key primary
{[auto-generate] | [ [0 | 7] key]}
AP(config-radsrv)# [no] eapfast server-key

secondary [0 | 7] key
Las claves pueden contener hasta 32 dgitos hexadecimales.

Introduzca 0 antes de la clave en el caso de las claves sin cifrar.
Introduzca 7 antes de la clave en el caso de las claves cifradas.
Utilice la forma no de los comandos para restablecer los ajustes predeterminados

en el autenticador local (un valor predeterminado como clave principal).
Posibles fallos de PAC provocados por el reloj del punto de acceso

El autenticador local utiliza el reloj del punto de acceso para generar PAC y
determinar si estas son vlidas. No obstante, el recurso al reloj del punto de acceso
puede provocar fallos de PAC.
Si su punto de acceso autenticador local recibe su ajuste de hora de un servidor

NTP, existe un intervalo entre el arranque y la sincronizacin con el servidor
NTP. Durante este intervalo, el punto de acceso utiliza su ajuste de hora
predeterminado.
Si el autenticador local genera PAC durante dicho intervalo, puede que estas
expiren cuando el punto de acceso reciba un nuevo ajuste de hora del servidor
NTP. Si un cliente EAP-FAST intenta autenticarse durante el intervalo entre el
arranque y la sincronizacin NTP, puede que el autenticador local rechace las
PAC del cliente por considerarlas no vlidas.
Si su autenticador local no recibe su ajuste de hora de un servidor NTP y

rearranca con frecuencia, puede que las PAC que genere expiren en el momento
adecuado. El reloj del punto de acceso se reinicia cuando la unidad rearranca,
por lo que el tiempo transcurrido en el reloj no alcanza el tiempo de expiracin
de las PAC.

Limitacin del autenticador De manera predeterminada, el punto de acceso autenticador local lleva a cabo
autenticaciones basadas en LEAP, EAP-FAST y MAC para los dispositivos
local a un tipo de cliente. No obstante, puede restringir el autenticador local a uno o dos tipos de
autenticacin autenticacin. Utilice la forma no del comando de autenticacin para limitar el
autenticador a un tipo de autenticacin:
AP(config-radsrv)# [no] authentication [eapfast]
[leap] [mac]
Dado que todos los tipos de autenticacin estn habilitados de manera

predeterminada, deber introducir la forma no del comando para inhabilitar los
tipos de autenticacin. Por ejemplo, si quiere que el autenticador lleve a cabo
nicamente autenticaciones LEAP, deber introducir estos comandos:
AP(config-radsrv)# no authentication eapfast
AP(config-radsrv)# no authentication mac
Desbloqueo de los nombres Puede desbloquear los nombres de usuario antes de que expire el tiempo de
bloqueo o cuando este est configurado como infinito. En el modo EXEC con
de usuario bloqueados privilegios en el autenticador local, introduzca este comando para desbloquear un
nombre de usuario bloqueado:
AP# clear radius local-server user username
Visualizacin de las estadsticas del autenticador local
En el modo EXEC con privilegios, introduzca este comando para ver las
estadsticas recopiladas por el autenticador local:
AP# show radius local-server statistics
Este ejemplo muestra estadsticas del autenticador local:

Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Unknown NAS : 0 Invalid packet from NAS : 0
NAS : 10.91.6.158
Corrupted packet : 0 Unknown RADIUS message : 0
No username attribute : 0 Missing auth attribute : 0
Shared key mismatch : 0 Invalid state attribute : 0
Unknown EAP message : 0 Unknown EAP auth type : 0
Auto provision success : 0 Auto provision failure : 0
PAC refresh : 0 nvalid PAC received : 0

Username Successes Failures Blocks

nicky 0 0 0
jones 0 0 0
jsmith 0 0 0
Router#sh radius local-server statistics
Unknown NAS : 0 Invalid packet from NAS : 0
La primera seccin de las estadsticas contiene estadsticas acumulativas del

autenticador local.
La segunda seccin contiene las estadsticas de cada punto de acceso (NAS)

autorizado para utilizar el autenticador local. Las estadsticas EAP-FAST de esta
seccin incluyen:
Auto provision success: nmero de PAC generadas automticamente
Auto provision failure: nmero de PAC no generadas como consecuencia

de un paquete de toma de contacto o un nombre de usuario o contrasea
no vlidos
PAC refresh: nmero de PAC renovadas por los clientes
Invalid PAC received: nmero de PAC recibidas que han vencido, que el
autenticador no ha podido descifrar o que se han asignado a un nombre de
usuario de cliente que no figura en la base de datos del autenticador
La tercera seccin incluye las estadsticas de los usuarios individuales. Si un

usuario est bloqueado y el tiempo de bloqueo se configura como infinito, blocked
aparecer al final de la lnea de estadsticas de dicho usuario. Si el tiempo de
bloqueo no es infinito, aparecer Unblocked in x seconds al final de la lnea de
estadsticas de dicho usuario.
Utilice este comando del modo EXEC con privilegios para poner a cero las
estadsticas del autenticador local:
AP# clear radius local-server statistics

Mensajes de depuracin En el modo EXEC con privilegios, introduzca este comando para controlar la
visualizacin de los mensajes de depuracin del autenticador local:
AP# debug radius local-server { client | eapfast |
error | packets}
Utilice las opciones de comando para ver esta informacin de depuracin:
Utilice la opcin client para ver los mensajes de error relativos a las
autenticaciones de cliente fallidas.
Utilice la opcin eapfast para ver los mensajes de error relativos a la

autenticacin EAP-FAST. Utilice las subopciones para seleccionar
informacin de depuracin especfica:
encryption : informacin sobre el cifrado y descifrado de los

paquetes recibidos y transmitidos.
events: informacin sobre todos los eventos EAP-FAST.
pac : informacin sobre los eventos relativos a las PAC, como la
generacin y comprobacin de estas.
pkts: paquetes enviados a los clientes EAP-FAST y recibidos de estos.
Utilice la opcin error para ver los mensajes de error relativos al

autenticador local.
Utilice la opcin packets para activar la visualizacin del contenido de

los paquetes RADIUS enviados y recibidos.

Notas:

Captulo 12
Configuracin de las suites de algoritmos de

cifrado
Este captulo describe cmo configurar las suites de algoritmos de cifrado

necesarias para el uso de los mtodos de gestin de claves autenticadas mediante
acceso protegido wifi (WPA) y gestin de claves centralizadas Cisco (CCKM),
incluidos AES, la comprobacin de la integridad del mensaje (MIC), el protocolo
de integridad de clave temporal (TKIP) y la rotacin de clave de difusin.
Tema Pgina
Suites de algoritmos de cifrado 331
Configuracin de las suites de algoritmos de cifrado 332
Suites de algoritmos de Del mismo modo que cualquiera que se encuentre dentro del alcance de una
emisora de radio puede sintonizar la frecuencia de esta y escuchar su seal,
cifrado cualquier dispositivo de red inalmbrico dentro del alcance de un punto de acceso
podr recibir las transmisiones de radio de este. Le recomendamos que utilice un
cifrado completo en su red inalmbrica.
Las suites de algoritmos de cifrado son conjuntos de algoritmos de cifrado e

integridad diseados para proteger las comunicaciones por radio de las redes
LAN inalmbricas. Deber utilizar una suite de algoritmos de cifrado para
habilitar WPA o CCKM.
Las suites de algoritmos de cifrado se habilitan mediante el comando encryption

mode cipher en la CLI o utilizando el men desplegable de algoritmos de cifrado
de la interface del navegador web. Las suites de algoritmos de cifrado que
contienen AES CCMP proporcionan el ms alto nivel de seguridad para las redes
LAN inalmbricas y las suites de algoritmos de cifrado que solo contienen WEP
son los menos seguros y no se recomienda su uso.
AES-CCMP: basado en el estndar de cifrado avanzado (Advanced Encryption

Standard o AES) definido en la publicacin FIPS 197 del National Institute of
Standards and Technology, AES-CCMP es un conjunto de algoritmos de cifrado
de bloque simtrico que puede cifrar y descifrar datos mediante claves de 128, 192
y 256 bits. AES-CCMP ofrece un cifrado superior a WEP, definido en la norma
IEEE 802.11i.
WEP (Wired Equivalent Privacy, privacidad equivalente a la de redes
cableadas)
WEP es un algoritmo de cifrado del estndar 802.11 originalmente
diseado para proporcionar a las LAN inalmbricas el mismo nivel de
privacidad disponible en las LAN por cable. No obstante, la estructura

Captulo 12 Configuracin de las suites de algoritmos de cifrado
WEP bsica es dbil y los atacantes pueden comprometer la privacidad con

un esfuerzo razonable.
SUGERENCIA Las radios 802.11n Cisco requieren la configuracin sin cifrado o AES-CCMP
para su correcto funcionamiento.
TKIP (Temporal Key Integrity Protocol, protocolo de integridad de clave

temporal)
TKIP es una suite de algoritmos en torno a WEP diseada para lograr el

ms alto grado de seguridad posible en hardware obsoleto construido para
ejecutar WEP. Rotacin de claves de difusin (tambin conocida como
actualizacin de claves de grupo)
La rotacin de claves de difusin permite al punto de acceso generar la
mejor clave de grupo aleatoria posible y actualizar todos los clientes con
tecnologa de gestin de claves peridicamente. El acceso protegido wifi
(Wi-Fi Protected Access o WPA) tambin ofrece opciones adicionales
para las actualizaciones de claves de grupo.
Consulte Gestin de claves WPA en la pgina 340 para obtener detalles
sobre el WPA.
IMPORTANTE Los dispositivos cliente que utilicen el WEP esttico no podrn utilizar el punto
de acceso si habilita la rotacin de clave de difusin. La rotacin de clave de
difusin es compatible cuando se utiliza nicamente la gestin de claves
(como WEP dinmico [802.1x], WPA con EAP o clave previamente
compartida).
Configuracin de las suites Estas secciones describen cmo configurar las suites de algoritmos de cifrado y
caractersticas adicionales como MIC, TKIP o la rotacin de claves de difusin.
de algoritmos de cifrado
Habilitacin de las suites de algoritmos de cifrado
En el modo EXEC con privilegios, siga estos pasos para habilitar una suite de
algoritmos de cifrado.

configure terminal
2. Obtenga acceso al modo de configuracin de la interface de radio. La radio
de 2.4 GHz es la radio 0 y la radio de 5 GHz es la radio 1.
3. Habilite una suite de algoritmos de cifrado que contenga la proteccin que
necesite.
Tabla 101 en la pgina 333 enumera las directrices para seleccionar una
suite de algoritmos de cifrado que se adecue al tipo de gestin de claves
autenticadas que configure.
4. (Opcional) Seleccione la VLAN para la que quiera habilita las funciones
de seguridad.

Configuracin de las suites de algoritmos de cifrado Captulo 12
5. Configure las opciones de los algoritmos de cifrado.
Deber configurar la gestin de claves WPA como opcional para configurar los
modos de los algoritmos de cifrado TKIP + WEP 128 o TKIP + WEP 40.
encryption
[vlan vlan-id]
mode ciphers
{[aes | aes-ccm | ckip | tkip]} {[wep128 | wep40]}
end
Utilice la forma no del comando de cifrado para inhabilitar una suite de
algoritmos de cifrado.
Suites de algoritmos de cifrado compatibles con WPA o CCKM
Si configura su punto de acceso para el uso de los mtodos de gestin de claves

autenticadas WPA o CCKM, deber seleccionar una suite de algoritmos de
cifrado compatible con el tipo de gestin de claves autenticadas en cuestin. La
tabla a continuacin enumera las suites de algoritmos de cifrado compatibles con
WPA y CCKM.
Tabla 101 Suites de algoritmos de cifrado compatibles con WPA y CCKM
Tipos de gestin de claves autenticadas Suites de algoritmos de cifrado compatibles
CCKM algoritmos del modo de cifrado wep128
algoritmos del modo de cifrado wep40
algoritmos del modo de cifrado ckip
algoritmos del modo de cifrado cmic
algoritmos del modo de cifrado ckip-cmic
algoritmos del modo de cifrado tkip
modo de cifrado aes
WPA algoritmos del modo de cifrado tkip
algoritmos del modo de cifrado tkip wep128
algoritmos del modo de cifrado tkip wep40
algoritmos del modo de cifrado eas
Los algoritmos del modo de cifrado tkip wep128 y tkip wep-40
nicamente se pueden utilizar si el WPA est configurado como
opcional.
IMPORTANTE Si utiliza WPA y CCKM como gestin de claves, nicamente se admitirn los
algoritmos de cifrado tkip y aes. Si solo utiliza CCKM como gestin de claves,
se admitirn los algoritmos de cifrado ckip, cmic, ckip-cmic, tkip, wep y aes.
Cuando configure el algoritmo de cifrado TKIP (no TKIP + WEP 128 o TKIP +
WEP 40) para un SSID, el SSID deber utilizar la gestin de claves WPA o
CCKM. La autenticacin de cliente fallar en un SSID que utilice el algoritmo
de cifrado TKIP sin habilitar la gestin de claves WPA o CCKM.
Si desea una descripcin completa de WPA e instrucciones sobre cmo

configurar la gestin de claves autenticadas, consulte Gestin de claves WPA
en la pgina 340.

Captulo 12 Configuracin de las suites de algoritmos de cifrado
Habilitacin e inhabilitacin de la rotacin de claves de difusin
La rotacin de claves de difusin est inhabilitada de manera predeterminada.

Los dispositivos cliente que utilicen el WEP esttico no podrn utilizar el punto
de acceso si habilita la rotacin de clave de difusin. La rotacin de claves de
difusin se admite nicamente cuando se utiliza la gestin de claves (como WEP
dinmico [802.1x], WPA con EAP o clave previamente compartida).
En el modo EXEC con privilegios, siga estos pasos para habilitar la rotacin de
claves de difusin.

configure terminal
3. Habilite la rotacin de claves de difusin.
4. Introduzca el nmero de segundos que transcurrirn entre cada rotacin de
la clave de difusin.
5. (Opcional) Introduzca una VLAN que quiera habilitar para la rotacin de
claves de difusin.
Consulte Configuracin de los tipos de autenticacin en la pgina 335 para

obtener instrucciones detalladas sobre la habilitacin de la gestin de claves
autenticadas.
broadcast-key
change seconds
[ vlan vlan-id ]
[ membership-termination ]
[ capability-change ]
end
Utilice la forma no del comando de cifrado para inhabilitar la rotacin de claves

de difusin.
El ejemplo a continuacin habilita la rotacin de claves de difusin en la

VLAN 22 y establece el intervalo de rotacin en 300 segundos:
ap5100(config-if)# broadcast-key vlan 22 change 300
ap5100(config-if)# end

Captulo 13
Configuracin de los tipos de autenticacin
En este captulo se describe el modo de configurar los tipos de autenticacin del

punto de acceso.
Tema Pgina
Tipos de autenticacin 335
Gestin de claves WPA 340
Configuracin de los tipos de autenticacin 341
Configuracin de ajustes WPA adicionales 345
Configuracin de intervalos, tiempos de espera y tiempos de retencin de la 349
autenticacin
Creacin y aplicacin de perfiles del mtodo EAP para el suplicante 802.1X 351
Tipos de autenticacin Los tipos de autenticacin se vincularn a los SSID que configure para el punto
de acceso. Si desea prestar servicio a distintos tipos de dispositivos cliente con el
mismo punto de acceso, puede configurar SSID mltiples.
Consulte Configuracin de SSID mltiples en la pgina 289 si desea obtener

instrucciones completas sobre la configuracin de SSID mltiples.
Para que un dispositivo cliente inalmbrico pueda comunicarse en su red a travs

del punto de acceso, deber autenticarse en este ltimo. Para disfrutar de la
mxima seguridad, los dispositivos cliente tambin deben autenticarse en la red
mediante la autenticacin de direccin MAC o EAP, tipos de autenticacin que
requieren la existencia de un servidor de autenticacin en su red.
IMPORTANTE De manera predeterminada, el punto de acceso enva solicitudes de

reautenticacin al servidor de autenticacin con el atributo service-type
configurado como authenticate-only. No obstante, algunos servidores
Microsoft IAS no admiten el atributo service-type como authenticate-only.
En funcin de los requisitos del usuario, configure el atributo service-type
como: dot11 aaa authentication attributes service-type login-user o dot11
aaa authentication attributes service-type framed-user. De manera
predeterminada, en la solicitud de acceso se enva el tipo de servicio login.
El punto de acceso emplea varios mecanismos o tipos de autenticacin y puede

utilizar ms de uno de forma simultnea.

Captulo 13 Configuracin de los tipos de autenticacin
Autenticacin abierta en el punto de acceso
La autenticacin abierta permite a cualquier dispositivo autenticarse y a conti-

nuacin tratar de comunicarse con el punto de acceso. Cuando se utiliza una
autenticacin abierta, cualquier dispositivo inalmbrico puede autenticarse en
el punto de acceso.
Autenticacin de clave compartida en el punto de acceso
Cisco proporciona servicios de autenticacin de clave compartida que cumplen la

norma IEEE 802.11b. No obstante, dadas las deficiencias de seguridad del sistema
de clave compartida, evite su uso.
Durante la autenticacin de clave compartida, el punto de acceso enviar una

cadena de texto de impugnacin a cualquier dispositivo que trate de comunicarse
con l. El dispositivo que solicite la autenticacin cifrar el texto de impugnacin
y lo enviar de vuelta al punto de acceso. Si el texto de impugnacin se ha cifrado
correctamente, el punto de acceso permitir al dispositivo solicitante autenticarse.
Es posible supervisar tanto la impugnacin cifrada como la impugnacin sin

cifrar. No obstante, esto deja el punto de acceso expuesto a los ataques de
cualquier intruso que calcule la clave WEP comparando las cadenas de texto
cifradas y sin cifrar. Este punto dbil puede hacer que la autenticacin con clave
compartida sea menos segura que la autenticacin abierta. Al igual que la
autenticacin abierta, la autenticacin con clave compartida no requiere la
existencia de un servidor RADIUS en su red.
Autenticacin EAP en la red

Este tipo de autenticacin proporciona el mayor nivel de seguridad para su red
inalmbrica. Si utiliza el protocolo de autenticacin extensible (Extensible
Authentication Protocol o EAP) para interaccionar con un servidor RADIUS
compatible con esta tecnologa, el punto de acceso ayudar a un dispositivo
cliente inalmbrico y al servidor RADIUS a llevar a cabo una autenticacin
mutua.

Configuracin de los tipos de autenticacin Captulo 13
Cuando habilite EAP en sus puntos de acceso y dispositivos cliente, la

autenticacin en la red se producir en la secuencia que se muestra en esta figura.
Figura 101 Secuencia para la autenticacin EAP
LAN por cable
Dispositivo Punto de acceso o Servidor RADIUS

cliente puente
1. Solicitud de autenticacin
2. Solicitud de identidad
3. Nombre de usuario (retransmisin al servidor)
(retransmisin al cliente) 7. Problema de autenticacin
5. Respuesta de autenticacin (retransmisin al servidor)
(retransmisin al cliente) 6. Autenticacin correcta
7. Problema de autenticacin (retransmisin al servidor)
(retransmisin al cliente) 8. Respuesta de autenticacin
En los pasos del 1 al 9, un dispositivo cliente inalmbrico y un servidor RADIUS

en la LAN por cable utilizan 802.1x y EAP para llevar a cabo una autenticacin
mutua a travs del punto de acceso. El servidor RADIUS enviar una
impugnacin de autenticacin al cliente.
El cliente emplear un cifrado unidireccional de la contrasea suministrada por

el usuario para generar una respuesta a la impugnacin que enviar al servidor
RADIUS. Utilizando la informacin de su base de datos de usuarios, el servidor
RADIUS crear su propia respuesta y la comparar con la del cliente. Cuando el
servidor RADIUS autentique al cliente, el proceso se repetir en orden inverso y
el cliente autenticar al servidor RADIUS.
Existen varios tipos de autenticacin EAP, pero el punto de acceso se comportar

del mismo modo con cada uno de ellos: transmitir los mensajes de autenticacin
del dispositivo cliente inalmbrico al servidor RADIUS y del servidor RADIUS
al dispositivo cliente inalmbrico.
Consulte Asignacin de los tipos de autenticacin a un SSID en la pgina 342 si

desea obtener instrucciones sobre cmo configurar EAP en el punto de acceso.
Autenticacin de direcciones MAC en la red
El punto de acceso transmite la direccin MAC del dispositivo cliente inalm-

brico a un servidor RADIUS en su red y el servidor comprueba la direccin
comparndola con una lista de direcciones MAC admitidas. Los intrusos pueden
crear direcciones MAC falsas, por lo que la autenticacin basada en MAC es
menos segura que la autenticacin EAP.
No obstante, la autenticacin basada en MAC supone un mtodo de autentica-

cin alternativo para dispositivos cliente que no cuentan con funciones EAP.


desea obtener instrucciones sobre cmo habilitar la autenticacin basada en
MAC.
SUGERENCIA Si no dispone de un servidor RADIUS en su red, puede crear una lista de las
direcciones MAC permitidas en las opciones de seguridad avanzadas del punto
de acceso: pgina MAC Address Authentication. Los dispositivos con una
direccin MAC que no se encuentre en la lista no podrn autenticarse.
SUGERENCIA Si los clientes autenticados mediante MAC de su LAN inalmbrica itineran con
frecuencia, puede habilitar una cach de autenticacin MAC en su punto de
acceso. La cach de autenticacin MAC reducir el tiempo de procesamiento
interno porque el punto de acceso autenticar los dispositivos que figuren
en su cach de direcciones MAC sin enviar la solicitud a su servidor de
autenticacin. Consulte Configuracin de la cach de autenticacin MAC en la
pgina 347 si desea obtener instrucciones sobre cmo habilitar esta opcin.
Esta figura muestra la secuencia de la autenticacin basada en MAC.
Figura 102 Secuencia de la autenticacin basada en MAC

LAN por cable
Wired LAN
Dispositivo
Client Punto de acceso
Access pointo Server
Server
cliente
device or puente
bridge
1.
1.Solicitud de autenticacin
Authentication request
2.2.Solicitud de autenticacin
Authentication success
3.3.Solicitud de asociacin
Association request
65584
4.4.Respuesta de asociacin
Association response
(bloqueo del trficofrom
(block traffic procedente del cliente)
client)
5.5.Solicitud de autenticacin
Authentication request
6.
6.Correcto
Success
7.
7.ElAccess
punto de acceso
pointoorpuente desbloquea
bridge unblocks
el trficofrom
traffic procedente del cliente
client
Combinacin de la autenticacin abierta, EAP y basada en MAC
Puede configurar el punto de acceso para que autentique los dispositivos cliente
mediante una combinacin de autenticacin EAP y basada en MAC. Si habilita
esta caracterstica, los dispositivos cliente que se asocien al punto de acceso
mediante la autenticacin abierta 802.11, primero probarn con la autenticacin
MAC; si la autenticacin MAC se lleva a cabo de forma correcta, el dispositivo
cliente se unir a la red. Si la autenticacin MAC falla, se llevar a cabo la
autenticacin EAP.

desea obtener instrucciones sobre cmo configurar esta combinacin de mtodos
de autenticacin.

Uso de CCKM para clientes autenticados
Gracias a la gestin de claves centralizadas (Centralized Key Management o

CCKM) de Cisco, los dispositivos cliente autenticados pueden itinerar de un
punto de acceso a otro sin ninguna demora perceptible durante la reasociacin.
Un punto de acceso en su red prestar servicios de dominio inalmbrico (Wireless
Domain Services o WDS) y crear una cach de credenciales de seguridad para los
dispositivos cliente con tecnologa CCKM en la subred. La cach de credenciales
del punto de acceso WDS reducir drsticamente el tiempo necesario para la
reasociacin cuando un dispositivo cliente con tecnologa CCKM itinere a un
nuevo punto de acceso. Cuando un dispositivo cliente itinere, el punto de acceso
WDS enviar las credenciales de seguridad del cliente al nuevo punto de acceso y
el proceso de reasociacin se reducir a un intercambio de dos paquetes entre el
cliente itinerante y el nuevo punto de acceso.
Consulte Asignacin de los tipos de autenticacin a un SSID en la
pgina 342 si desea obtener instrucciones sobre cmo habilitar CCKM en
su punto de acceso.
Consulte Configuracin de los puntos de acceso para el uso del dispositivo
WDS en la pgina 365 si desea obtener instrucciones detalladas sobre
cmo configurar un punto de acceso WDS en su LAN inalmbrica.
IMPORTANTE La funcin VLAN asignada por RADIUS no es compatible con los dispositivos
cliente que se asocian mediante SSID con CCKM habilitada.
Esta figura muestra el proceso de reasociacin mediante CCKM.
Figura 103 Reasociacin del cliente mediante CCKM

LANWired
por cableLAN
Dispositivo cliente Punto

Accessde acceso
point Dispositivo
WDS WDS: router/switch/
Device - Router/
Roaming client punto de acceso Servidor de autenticacin
Authentication server
itinerante
device Switch/AP 88964
Solicitud de reasociacin
Reassociation request
Solicitud de registrorequest
Pre-registration previo
Respuesta de registro previo

Pre-registration reply
Reassociation response

Gestin de claves WPA El acceso protegido wifi (Wi-Fi Protected Access o WPA) es una mejora de
seguridad interoperable y basada en estndares que aumenta considerablemente
el nivel de proteccin de los datos y el control de acceso en los sistemas LAN
inalmbricos existentes y futuros. Tiene su origen en la prxima norma IEEE
802.11i, con la que se podr hacer compatible. WPA emplea el protocolo de
integridad de clave temporal (Temporal Key Integrity Protocol o TKIP) para la
proteccin de datos y 802.1X para la gestin de claves autenticadas.
La gestin de claves WPA es compatible con dos tipos de gestin mutuamente

excluyentes: WPA y WPA con clave previamente compartida (WPA-PSK). Al
utilizar la gestin de claves WPA, los clientes y el servidor de autenticacin se
autentican mutuamente mediante un mtodo EAP. El cliente y el servidor
generan una clave maestra de par (PMK). Cuando se utiliza WPA, el servidor
genera la PMK de forma dinmica y la transmite al punto de acceso. No obstante,
cuando se utiliza WPA-PSK, se configura una clave previamente compartida en el
cliente y el punto de acceso que se utiliza como PMK.
IMPORTANTE Puede que las suites de algoritmos de cifrado unidifusin y multidifusin

anunciadas en el elemento informativo WPA (y negociadas durante la
asociacin 802.11) no coincidan con la suite de algoritmos de cifrado
admitida en una VLAN explcitamente asignada. Si el servidor RADIUS asigna
un nuevo identificador VLAN que emplea una suite de algoritmos de cifrado
distinta de la suite previamente negociada, el punto de acceso y el cliente no
podrn volver a la nueva suite de algoritmos de cifrado. En la actualidad, los
protocolos WPA y CCKM no permiten cambiar la suite de algoritmos de cifrado
tras la fase de negociacin de los algoritmos de cifrado 802.11 inicial. En esta
situacin, el dispositivo cliente se desasociar de la red LAN inalmbrica.

desea obtener instrucciones sobre cmo configurar la gestin de claves WPA en
su punto de acceso.

La figura ilustra el proceso de gestin de claves WPA.
Figura 104 Proceso de gestin de claves WPA

LAN porLAN
Wired cable
Dispositivo cliente
Client device Punto de point
Access acceso Servidor de
Authentication
autenticacin
server
El cliente
Client y el servidor
and server se autenticantoeleach
authenticate uno alother,
otro, generando una clave
generating an EAPmaestra EAP. key
master
ElServer
servidoruses
utilizathe
la clave
EAPmaestra
master EAPkey
paratogenerar una
clave maestraa de
generate par (PMK)master
pairwise para proteger la comunicacin
key (PMK)
to protect
entre communication
el cliente between the
y el punto de acceso.
client
No and the
obstante, access
si el cliente point.
utiliza (However, 802.1 x y
la autenticacin
if theelclient
tanto punto is de using 802.1x
acceso como authentication
el cliente se configuran con
laand both
misma thepreviamente
clave access point and the
compartida, client
esta se utilizar
are configured with the same pre-shared key,
como PMK y el servidor no generar
the pre-shared key is used as the PMK and
ninguna.
the server does not generate a PMK.)
ElClient
cliente and
y el punto
accessde acceso
pointmantienen
completeun dilogo de cuatro vas
a four-way handshake to:
para:
Confirmar
Confirmque thatexiste
a PMKuna PMK y que
exists andel conocimiento
that de la PMK
esknowledge
actual. of the PMK is current.
Deriveuna
Obtener a pairwise transient
clave de transiente dekey from de la PMK.
par derivada
the PMK.
Instalar claves de cifrado e integridad en el motor de integridad
Install encryption and integrity keys into
del
thecifrado, en caso necesario. engine, if necessary.
encryption/integrity
Confirmar
Confirmlainstallation
instalacin deoftodas las claves.
all keys.
ElClient
cliente and
y el punto de acceso
access pointmantienen
completeun
dilogo bidireccional
a two-way para entregar
handshake de forma
to securely
segura la clave
deliver de transiente
the group del grupo
transient key desde
from
88965
elthe access
punto point
de acceso to elthe
hasta client.
cliente.
Configuracin de los tipos de Esta seccin describe el modo de configurar los tipos de autenticacin. Asigne
tipos de configuracin a los SSID del punto de acceso. Consulte Configuracin
autenticacin de SSID mltiples en la pgina 289 si desea informacin sobre la configuracin
de SSID mltiples.
SUGERENCIA El punto de acceso inalmbrico no cuenta con ningn SSID predeterminado.

Asignacin de los tipos de autenticacin a un SSID
En el modo EXEC con privilegios, siga estos pasos para configurar los tipos de
autenticacin para los SSID.

configure terminal
El SSID puede contener un mximo de 32 caracteres alfanumricos. Los
SSID son sensibles a las maysculas y minsculas.
3. (Opcional) Configure el tipo de autenticacin como abierta para este
SSID.
La autenticacin abierta permite a cualquier dispositivo autenticarse y a
continuacin tratar de comunicarse con el punto de acceso.
authentication open
[mac-address list-name [alternate]]
[[optional] eap list-name]
a. (Opcional) Configure el tipo de autenticacin del SSID como abierta
con autenticacin de direcciones MAC.
El punto de acceso forzar la autenticacin de direcciones MAC de

todos los dispositivos cliente para que puedan unirse a la red. Para list-
name, especifique la lista de mtodos de autenticacin.
Utilice la palabra clave alternate para permitir a los dispositivos cliente

unirse a la red mediante el mtodo de autenticacin MAC o EAP; los
clientes que completen correctamente cualquiera de los dos procesos de
autenticacin, podrn unirse a la red.
b. (Opcional) Configure el tipo de autenticacin del SSID como abierta
con autenticacin EAP.
El punto de acceso forzar la autenticacin EAP de todos los

dispositivos cliente para que puedan unirse a la red. Para list-name,
especifique la lista de mtodos de autenticacin.

Utilice la palabra clave optional para permitir a los dispositivos cliente

utilizar el mtodo de autenticacin abierta o el mtodo de autenticacin
EAP para asociarse y autenticarse. Este ajuste lo utilizan sobre todo los
proveedores de servicios que requieren accesibilidad de cliente especial.
SUGERENCIA Un punto de acceso configurado para la autenticacin EAP forzar la

autenticacin EAP de todos los dispositivos cliente que se asocien. Los
dispositivos cliente que no empleen EAP no podrn utilizar el punto de acceso.
Dadas las deficiencias de seguridad del mtodo de clave compartida, le
recomendamos que evite su uso. La autenticacin con clave compartida se
puede asignar a un nico SSID.
4. (Opcional) Configure el tipo de autenticacin del SSID como EAP de red.

authentication network-eap list-name
[mac-address list-name]
Si utiliza el protocolo de autenticacin extensible (Extensible

Authentication Protocol o EAP) para interaccionar con un servidor
RADIUS compatible con EAP, el punto de acceso ayudar a un
dispositivo cliente inalmbrico y al servidor RADIUS a llevar a cabo
una autenticacin mutua y a generar una clave WEP unidifusin
dinmica. No obstante, el punto de acceso no obligar a todos los
dispositivos cliente a llevar a cabo una autenticacin EAP.
a. (Opcional) Configure el tipo de autenticacin del SSID como EAP
de red con autenticacin de direcciones MAC.
b. Para list-name, especifique la lista de mtodos de autenticacin.
Todos los dispositivos cliente que se asocien al punto de acceso tendrn

que llevar a cabo una autenticacin de direccin MAC.
5. (Opcional) Configure el tipo de autenticacin del SSID como WPA,
CCKM o ambos.
authentication key-management { [wpa] [cckm] }
[ optional ]
Si utiliza la palabra clave optional, los dispositivos cliente distintos de

WPA y CCKM podrn utilizar este SSID. Si no utiliza la palabra clave
optional, nicamente los dispositivos cliente WPA o CCKM podrn
utilizar el SSID.
Para habilitar CCKM para un SSID, tambin deber habilitar la
autenticacin EAP de red. Cuando los mtodos CCKM y EAP de red
estn habilitados para un SSID, los dispositivos cliente que utilizan
LEAP, EAP-FAST, PEAP/GTC, MSPEAP, EAP-TLS y EAP-FAST
pueden autenticarse mediante el SSID.
Para habilitar WPA para un SSID tambin deber habilitar la
autenticacin abierta, EAP de red o ambas.

Si habilita WPA y CCKM para un SSID, deber introducir wpa

primero y cckm en segundo lugar. Cualquier cliente WPA podr
intentar autenticarse, pero solo los clientes de voz CCKM podrn tratar
de autenticarse.
Para poder habilitar CCKM o WPA, deber configurar el modo de

cifrado de la VLAN del SSID como una de las opciones de suite de
algoritmos de cifrado. Para habilitar CCKM y WPA deber configurar
el modo de cifrado como una suite de algoritmos de cifrado que incluya
TKIP.
Consulte Configuracin de las suites de algoritmos de cifrado en la

pgina 331 si desea obtener instrucciones sobre cmo configurar el
modo de cifrado de la VLAN.
Si habilita WPA para un SSID sin una clave previamente compartida,

el tipo de gestin de claves ser WPA. Si habilita WPA con una clave
previamente compartida, el tipo de gestin de claves ser WPA-PSK.
Consulte Configuracin de ajustes WPA adicionales en la pgina 345 si
desea obtener instrucciones sobre cmo configurar una clave previamente
compartida.
Consulte Configuracin de WDS y la itinerancia rpida segura en la
pgina 353 si desea obtener instrucciones detalladas sobre cmo configurar
su LAN inalmbrica para utilizar CCKM y un administrador de contexto
de subred.
end

Utilice la forma no de los comandos SSID para inhabilitar el SSID o sus

caractersticas.
Este ejemplo configura el tipo de autenticacin del SSID batman como EAP
de red con gestin de claves autenticadas CCKM. Los dispositivos cliente que
utilicen el SSID batman se autenticarn mediante la lista de servidores adam. Una
vez que se hayan autenticado, los clientes con tecnologa CCKM podrn llevar a
cabo reasociaciones rpidas utilizando la CCKM.
ap1200(config)# dot11 ssid batman
ap1200(config-ssid)# authentication network-eap
adam
ap1200(config-ssid)# authentication key-management
cckm optional
ap1200(config-if)# ssid batman
ap1200(config-ssid)# end
Configuracin de ajustes Utilice dos ajustes opcionales para configurar una clave previamente compartida
en el punto de acceso y ajustar la frecuencia de las actualizaciones de la clave de
WPA adicionales grupo.
Configuracin de una clave previamente compartida
Para habilitar WPA en una red LAN inalmbrica en la que la autenticacin

basada en 802.1X no se encuentra disponible, deber configurar una clave previa-
mente compartida en el punto de acceso. Podr introducir la clave previamente
compartida con caracteres ASCII o hexadecimales. Si introduce la clave con
caracteres ASCII, deber introducir entre 8 y 63 caracteres y el punto de acceso
ampliar la clave. Si introduce la clave con caracteres hexadecimales, deber
introducir 64 caracteres hexadecimales.

Configuracin de las actualizaciones de la clave de grupo
En el ltimo paso del proceso WPA, el punto de acceso distribuir una clave de
grupo al dispositivo cliente autenticado. Podr utilizar estos ajustes opcionales
para configurar el punto de acceso de modo que cambie y distribuya la clave de
grupo en funcin de la asociacin y desasociacin de clientes:
Extincin de la filiacin
El punto de acceso generar y distribuir una nueva clave de grupo cuando

cualquier dispositivo autenticado se desasocie del punto de acceso. Esta
funcin mantiene la privacidad de la clave de grupo para los dispositivos
asociados, aunque puede generar cierto trfico de procesamiento interno si
los clientes de su red itineran con frecuencia de un punto de acceso a otro.
Cambio de funcin
El punto de acceso generar y distribuir una clave de grupo dinmica

cuando el ltimo cliente sin gestin de claves (WEP esttico) se desasocie
y distribuir la clave WEP estticamente configurada cuando el primer
cliente sin gestin de claves (WEP esttico) se autentique. En el modo de
migracin WPA, esta funcin mejora considerablemente la seguridad de
los clientes compatibles con la gestin de claves cuando no existen clientes
de WEP esttico asociados al punto de acceso.
En el modo EXEC con privilegios, siga estos pasos para configurar una clave
previamente compartida WPA y las opciones de actualizacin de la clave de
grupo.

configure terminal
2. Obtenga acceso al modo de configuracin del SSID.
3. Introduzca una clave previamente compartida para los dispositivos cliente
mediante WPA que tambin utilicen claves WEP estticas.
wpa-psk { hex | ascii } [ 0 | 7 ] encryption-key
Introduzca la clave utilizando caracteres hexadecimales o ASCII. Si utiliza

caracteres hexadecimales, deber introducir 64 caracteres hexadecimales
para completar la clave de 256 bits. Si utiliza caracteres ASCII, deber
introducir un mnimo de 8 letras, nmeros o smbolos, y el punto de acceso
ampliar la clave por usted. Puede introducir un mximo de 63 caracteres
ASCII.


2. Obtenga acceso al SSID definido en el paso 2 para asignarlo a la interface

de radio seleccionada.
ssid ssid-string
exit
4. Utilice el comando de rotacin de la clave de difusin para configurar
actualizaciones adicionales de la clave de grupo WPA.
broadcast-key [ vlan vlan-id ]
{ change seconds }
[ membership-termination ]
[ capability-change ]
Este ejemplo muestra cmo configurar una clave previamente compartida para
clientes mediante WPA con opciones de actualizacin de la clave de grupo:
ap# configure terminal
ap(config)# dot11 ssid batman
ap(config-ssid)# wpa-psk ascii batmobile65
ap(config)# interface dot11radio 0
ap(config-ssid)# ssid batman
ap(config-if)# exit
ap(config)# broadcast-key vlan 87 membership-
termination capability-change
Configuracin de la cach de autenticacin MAC
Si los clientes autenticados mediante MAC de su LAN inalmbrica itineran con

frecuencia, puede habilitar una cach de autenticacin MAC en su punto de
acceso. La cach de autenticacin MAC reducir el tiempo de procesamiento
interno porque el punto de acceso autenticar los dispositivos que figuren en su
cach de direcciones MAC sin enviar la solicitud a su servidor de autenticacin.
Cuando un dispositivo cliente complete la autenticacin MAC en su servidor de
autenticacin, el punto de acceso aadir la direccin MAC de este a la cach.
En el modo EXEC con privilegios, siga estos pasos para habilitar la cach de
autenticacin MAC.

configure terminal
2. Habilite la cach de autenticacin MAC en el punto de acceso.
dot11 aaa mac-authen filter-cache [timeout seconds]

Utilice la opcin timeout para configurar un valor de tiempo de espera

para las direcciones MAC en la cach. Introduzca un valor entre 30 y
65 555 segundos. El valor predeterminado es 1800 (30 minutos). Cuando
introduzca un valor de tiempo de espera, la cach de autenticacin MAC se
habilitar automticamente.
exit
4. Visualice las entradas de la cach de autenticacin MAC. Incluya
direcciones MAC de cliente para ver entradas de clientes especficos.
show dot11 aaa mac-authen filter-cache [address]
5. Borre todas las entradas de la cach. Incluya direcciones MAC de cliente
para eliminar clientes concretos de la cach.
clear dot11 aaa mac-authen filter-cache [address]
end
Este ejemplo muestra cmo habilitar la cach de autenticacin MAC con un

tiempo de espera de una hora:
ap# configure terminal
ap(config)# dot11 aaa mac-authen filter-cache
timeout 3600
ap(config)# end
Utilice la forma no del comando dot11 aaa mac-authen filter-cache

para inhabilitar la cach de autenticacin MAC. Por ejemplo:
no dot11 aaa authentication mac-authen filter-cache

Configuracin de intervalos, En el modo EXEC con privilegios, siga estos pasos para configurar tiempos de
retencin, periodos de reautenticacin y tiempos de espera de autenticacin para
tiempos de espera y tiempos los dispositivos cliente que se autentiquen a travs de su punto de acceso.
de retencin de la
autenticacin 1. Obtenga acceso al modo de configuracin global.
configure terminal
2. Introduzca el nmero de segundos que deber esperar un dispositivo
cliente antes de poder intentar autenticarse de nuevo tras un proceso de
autenticacin fallido.
dot11 holdoff-time seconds
El tiempo de retencin se aplicar cada vez que un cliente realice tres

intentos de inicio de sesin fallidos o no responda a tres solicitudes de
autenticacin procedentes del punto de acceso. Introduzca un valor entre
1 y 65 555 segundos.
3. Introduzca el nmero de segundos que el punto de acceso deber esperar
a que un cliente responda a un mensaje EAP/dot1x antes de que falle la
autenticacin. Introduzca un valor entre 1 y 120 segundos.
dot1x timeout supp-response seconds [local]
El servidor RADIUS puede configurarse de modo que enve un valor de

tiempo de espera distinto que anule el que est configurado. Introduzca la
palabra clave local para configurar el punto de acceso de modo que obvie
el valor del servidor RADIUS y utilice el valor configurado.
La palabra clave opcional no restablece el valor predeterminado del tiempo
de espera: 30 segundos.
5. Introduzca el intervalo de segundos que el punto de acceso esperar antes
de obligar a un cliente autenticado a volver a autenticarse.
dot1x reauth-period { seconds | server }
Introduzca la palabra clave server para configurar el punto de acceso de

modo que utilice el periodo de reautenticacin especificado por el servidor
de autenticacin. Si utiliza esta opcin, configure su servidor de
autenticacin con el atributo RADIUS 27: Session-Timeout.
Este atributo establece el nmero mximo de segundos de servicio que se
prestar al cliente antes del trmino de la sesin o solicitud. El servidor
enviar este atributo al punto de acceso cuando un dispositivo cliente lleve
a cabo una autenticacin EAP.

SUGERENCIA Si configura tanto la autenticacin de direcciones MAC como la autenticacin

EAP para un SSID, el servidor enviar el atributo Session-Timeout para la
autenticacin MAC y EAP de un dispositivo cliente. El punto de acceso utilizar
el atributo Session-Timeout para la ltima autenticacin que lleve a cabo el
cliente.
Por ejemplo, si un cliente lleva a cabo una autenticacin de direccin MAC y
despus lleva a cabo una autenticacin EAP, el punto de acceso utilizar el valor
de Session-Timeout del servidor para la autenticacin EAP.
Para evitar confusiones al utilizar un atributo Session-Timeout, configure el
mismo valor de Session-Timeout en el servidor de autenticacin para la
autenticacin MAC y EAP.
6. Configure un tiempo de mantenimiento de fallo MIC TKIP.

countermeasure tkip hold-time seconds
Si el punto de acceso detecta dos fallos MIC en un plazo de 60 segundos,

bloquear a todos los clientes TKIP en esa interface durante el tiempo de
mantenimiento.
end
Utilice la forma no de estos comandos para volver a los ajustes predeterminados.

Creacin y aplicacin de Esta seccin describe la configuracin opcional de una lista de mtodos EAP para
el suplicante 802.1X. La configuracin de perfiles de mtodos EAP evita que el
perfiles del mtodo EAP para suplicante reconozca algunos mtodos EAP, aunque se encuentren disponibles en
el suplicante 802.1X l. Por ejemplo, si un servidor RADIUS es compatible con EAP-FAST y LEAP,
en determinadas configuraciones el servidor puede emplear inicialmente LEAP
en lugar de un mtodo ms seguro. Si no se ha definido ninguna lista de mtodos
EAP preferidos, el suplicante admitir LEAP, pero puede resultar ventajoso
obligarlo a forzar un mtodo ms seguro, como EAP-FAST.
Utilice el comando no para cambiar el signo de un comando o configurar

sus valores predefinidos.
Utilice el comando show eap registrations method para ver los mtodos
EAP disponibles en ese momento (registrados).
Utilice el comando show eap sessions para ver las sesiones EAP existentes.
Consulte Creacin de un perfil de credenciales en la pgina 209 si desea

informacin adicional sobre el suplicante 802.1X.
Creacin de un perfil de mtodos EAP

En el modo EXEC con privilegios, siga estos pasos para definir un nuevo perfil
EAP.

configure terminal
2. Introduzca un nombre para el perfil.
eap profile profile name
3. (Opcional) Introduzca una descripcin para el perfil EAP.
description
4. Introduzca un mtodo o mtodos EAP permitidos.
method fast
SUGERENCIA A pesar de que aparecen como subparmetros, EAP-GTC, EAP-MD5 y
EAP-MSCHAPV2 estn diseados como mtodos internos para la
autenticacin EAP tunelizada y no deben emplearse como mtodo de
autenticacin principal.

end

Aplicacin de un perfil EAP a un SSID de enlace ascendente

Esta operacin normalmente se aplica a los puntos de acceso o puentes de grupo
de trabajo. En el modo EXEC con privilegios, siga estos pasos para aplicar un
perfil EAP al SSID de enlace ascendente.

configure terminal
3. Asigne el SSID de enlace ascendente a la interface de radio.
ssid ssid
4. Vuelva al modo de configuracin del terminal.
exit
5. Introduzca el nombre del perfil preconfigurado.
eap profile profile
end

Captulo 14
Configuracin de WDS y la itinerancia rpida

segura
Este captulo describe el mtodo de configuracin de los puntos de acceso para los
servicios de dominio inalmbrico (WDS) y la itinerancia segura rpida de los
dispositivos cliente.
Tema Pgina
WDS 353
Configuracin del WDS 357
Configuracin de la itinerancia rpida segura 368
Proteccin de trama de administracin 371
WDS Cuando configure los servicios de dominio inalmbrico (WDS) en su red, los
puntos de acceso de su LAN inalmbrica utilizarn el dispositivo WDS (un
punto de acceso, un router de servicios integrados o un switch configurado
como dispositivo WDS) para proporcionar una itinerancia rpida segura a los
dispositivos cliente y participar en la gestin de la radio.
Los puntos de acceso configurados como dispositivo WDS admiten hasta

60 puntos de acceso participantes y los routeres de servicios integrados (ISR)
configurados como dispositivos WDS admiten hasta 100 puntos de acceso
participantes.
SUGERENCIA Un nico punto de acceso admite hasta 16 grupos de movilidad.
La itinerancia rpida segura proporciona una reautenticacin rpida cuando un

dispositivo cliente itinera de un punto de acceso a otro, evitando retrasos en los
servicios de voz y otras aplicaciones sensibles al tiempo.
Funcin del dispositivo WDS
El dispositivo WDS realiza varias tareas en su red LAN inalmbrica:
Anuncia su funcin WDS y participa en la eleccin del mejor dispositivo

WDS para su LAN inalmbrica. Cuando se configura una LAN
inalmbrica para WDS, es preciso configurar un dispositivo como
candidato WDS principal y uno o varios dispositivos adicionales como
candidatos WDS de respaldo. Si el dispositivo WDS principal pierde la
conexin, uno de los dispositivos WDS de respaldo ocupar su lugar.
Autentica todos los puntos de acceso en la subred y establece un canal de

comunicacin seguro con cada uno de ellos.

Captulo 14 Configuracin de WDS y la itinerancia rpida segura
Acta como canal de paso para todos los dispositivos cliente autenticados
segn 802.1x asociados a los puntos de acceso participantes.
Registra todos los dispositivos cliente en la subred que utilizan una

codificacin dinmica, establece claves de sesin para ellos y almacena en
cach sus credenciales de seguridad. Cuando un cliente itinera a otro punto
de acceso, el dispositivo WDS transmite las credenciales de seguridad del
cliente al nuevo punto de acceso.
Esta tabla contiene el nmero de puntos de acceso participantes compatible con

las plataformas que se pueden configurar como dispositivo WDS.
Tabla 102 Puntos de acceso participantes compatibles con los dispositivos WDS
Unidad configurada como dispositivo WDS Puntos de acceso participantes compatibles
Punto de acceso que tambin presta servicio a 30
dispositivos cliente
Punto de acceso con las interfaces de radio inhabilitadas 60
Funcin de los puntos de acceso mediante el uso del dispositivo WDS
Los puntos de acceso de su red LAN inalmbrica interaccionarn con el

dispositivo WDS en estas actividades:
Detectar y hacer un seguimiento del dispositivo WDS actual y transmitir

los anuncios WDS a la red LAN inalmbrica.
Autenticarse con el dispositivo WDS y establecer un canal de

comunicacin seguro hacia el dispositivo WDS.
Registrar los dispositivos cliente asociados con el dispositivo WDS.
Notificar los datos de la radio al dispositivo WDS.

Configuracin de WDS y la itinerancia rpida segura Captulo 14
Itinerancia rpida segura Los puntos de acceso de muchas redes LAN inalmbricas prestan servicio a
dispositivos cliente mviles que itineran de un punto de acceso a otro en toda la
instalacin. Algunas aplicaciones que se ejecutan en dispositivos cliente requieren
una reasociacin rpida cuando itineran a un punto de acceso diferente. Las
aplicaciones de voz, por ejemplo, requieren una itinerancia sin fisuras para evitar
demoras y lagunas en la conversacin.
Durante el funcionamiento normal, los dispositivos cliente con tecnologa EAP

se autentican mutuamente con un nuevo punto de acceso llevando a cabo una
autenticacin EAP completa, incluida la comunicacin con el servidor RADIUS
principal.
Figura 105 Autenticacin del cliente mediante un servidor RADIUS
LAN por cable
Dispositivo cliente Punto de acceso o Servidor RADIUS

puente
1. Solicitud de autenticacin
2. Solicitud de identidad
3. Nombre de usuario (retransmisin al servidor)
(retransmisin al cliente) 4. Problema de autenticacin
5. Respuesta de autenticacin (retransmisin al servidor)

(retransmisin al cliente) 6. Autenticacin correcta

(retransmisin al cliente) 8. Respuesta de autenticacin
9. Problema de autenticacin resuelto (retransmisin al servidor)

Cuando se configura una red LAN inalmbrica para la itinerancia rpida segura,
sin embargo, los dispositivos cliente con tecnologa EAP itineran de un punto de
acceso a otro sin involucrar al servidor RADIUS principal. Gracias a la gestin de
claves centralizadas de Cisco (CCKM), un dispositivo configurado para prestar
servicios de dominio inalmbrico (WDS) ocupa el lugar del servidor RADIUS
y autentica al cliente con tanta rapidez que no se produce ninguna demora
perceptible en los servicios de voz u otras aplicaciones sensibles al tiempo. Esta
figura ilustra la autenticacin de clientes mediante CCKM.
Figura 106 Reasociacin de clientes mediante CCKM y un punto de acceso WDS

LAN por cable
Wired LAN
WDS
Dispositivo client
Roaming cliente Punto
Accessde acceso
point Punto
Accessde acceso
pointo or
switch que
switch Servidor de autenticacin
Authentication server
itinerante
device providing
presta serviciosWireless
de dominio
Domain Services
inalmbrico (WDS)
103569
Reassociation request
Solicitud de registrorequest
Respuesta de registro
reply
Respuesta de reasociacin
Reassociation response
El dispositivo WDS mantendr una cach de credenciales para los dispositivos

cliente con tecnologa CCKM en su LAN inalmbrica. Cuando un cliente con
tecnologa CCKM itinere de un punto de acceso a otro, enviar una solicitud de
reasociacin al nuevo punto de acceso y este transmitir la solicitud al dispositivo
WDS.
El dispositivo WDS transmitir las credenciales del cliente al nuevo punto de

acceso y este enviar la respuesta de reasociacin al cliente. Tan solo se transmiti-
rn dos paquetes entre el cliente y el nuevo punto de acceso, lo que reducir en
gran medida el tiempo de reasociacin. El cliente tambin utilizar la respuesta
de reasociacin para generar la clave unidifusin.
Consulte Configuracin de la itinerancia rpida segura en la pgina 368 si desea

obtener instrucciones sobre cmo configurar los puntos de acceso para que sean
compatibles con la itinerancia rpida segura.

Configuracin del WDS Esta seccin le explica cmo configurar los WDS en su red.
Tema Pgina
Directrices sobre WDS 357
Requisitos para WDS 357
Descripcin general de la configuracin 358
Configuracin de los puntos de acceso como dispositivos WDS potenciales 359
Configuracin de los puntos de acceso para el uso del dispositivo WDS 365
Configuracin del modo solo WDS 366
Configuracin del modo solo WDS 366
Visualizacin de la informacin del WDS 367
Mensajes de depuracin 368
Directrices sobre WDS
Siga estas directrices cuando configure WDS:
Un punto de acceso WDS que tambin presta servicio a dispositivos

cliente admite hasta 30 puntos de acceso participantes, pero un punto de
acceso WDS con las radios inhabilitadas admite hasta 60 puntos de acceso
participantes.
El modo WDS solo admite hasta 60 puntos de acceso de infraestructura y

1200 clientes.
Los puntos de acceso en modo repetidor no admiten WDS. No configure

un punto de acceso repetidor como candidato WDS y no configure un
punto de acceso WDS para que vuelva al modo repetidor en caso de fallo
Ethernet.
Requisitos para WDS
Para configurar los WDS deber contar con estos elementos en su red LAN
inalmbrica:
Como mnimo, un punto de acceso que puede configurar como dispositivo

WDS
Un servidor de autenticacin (o un punto de acceso configurado como

autenticador local)

Descripcin general de la configuracin
Debe completar estos tres pasos principales para configurar WDS y la itinerancia
rpida segura.
1. Configure los puntos de acceso como dispositivos WDS potenciales.

Este captulo contiene instrucciones para la configuracin de un punto de
acceso como dispositivo WDS.
2. Configure el resto de sus puntos de acceso para que utilicen el dispositivo
WDS.
3. Configure el servidor de autenticacin en su red para que autentique el
dispositivo WDS y los puntos de acceso que utilizarn el dispositivo WDS.
Esta figura muestra la configuracin necesaria para cada dispositivo que participa
en los WDS.
Figura 107 Configuraciones en los dispositivos que participan en los WDS
LAN por cable

Wired LAN
135334
WDS
Punto de acceso: Dispositivo WDS: Servidor de autenticacin:
Access point: WDS device: Authentication server
Servicios inalmbricos habilitados Configurado como candidato WDS Punto de acceso WDS configurado
Wireless Services
Nombre de usuario y contrasea de Si Configured as aque
es un punto de acceso WDS
presta servicio WDS
como access
dispositivo point
de infraestructura
enabled
autenticacin en el servidor candidate
a un dispositivo cliente, un nombre de entered
Puntos as que
de acceso an utilizan
infra- los WDS
usuario structureendevice
introducidos el servidor como
Username and password If any access
contraseapoint
para la autenticacin
serving
for authentication to the enclient
el servidor
devices, username dispositivos
Access cliente
points conthat
nombreusede
server and password for usuario
the WDSy contraseas
entered que coinciden
on the
authentication to the server con los queas
server estnclient
configurados
devicesen los
puntos
with de acceso
usernames and
passwords that match
those configured on the
access points

Configuracin de los puntos Como candidato WDS principal, configure un punto de acceso que no preste
servicio a un gran nmero de dispositivos cliente. Si los dispositivos cliente se
de acceso como dispositivos asocian al punto de acceso WDS cuando arranque, puede que tengan que esperar
WDS potenciales varios minutos para ser autenticados.
Cuando la opcin WDS est habilitada, el punto de acceso WDS lleva acabo y
hace un seguimiento de todas las autenticaciones. Por lo tanto, deber configurar
los ajustes de seguridad EAP en el punto de acceso WDS.
Consulte Configuracin de los tipos de autenticacin en la pgina 341 si desea

obtener instrucciones sobre cmo configurar EAP en el punto de acceso.
En el punto de acceso que quiera configurar como punto de acceso WDS

principal, siga estos pasos para configurarlo como candidato WDS principal.
1. Vaya a la pgina Wireless Services Summary.
Esta figura muestra la pgina Wireless Services Summary.
Figura 108 Pgina Wireless Services Summary
2. Haga clic en WDS para ir a la pgina WDS/WNM Summary.
3. En la pgina WDS/WNM Summary, haga clic en General Setup para ir a

la pgina WDS/WNM General Setup.
Aparecer la pgina WDS/WNM General Setup.

Figura 109 Pgina WDS/WNM General Setup
4. Marque la casilla Use this AP as Wireless Domain Services.

5. En el campo Wireless Domain Services Priority, introduzca un valor de
prioridad entre 1 y 255 para determinar la prioridad de este candidato
WDS.

El punto de acceso candidato a WDS con el nmero del campo de

prioridad ms alto se convertir en el punto de acceso que acte como
dispositivo WDS. Por ejemplo, si se asigna una prioridad de 255 a un
candidato WDS y una prioridad de 100 a otro candidato, el primero se
convertir en el punto de acceso que acte como dispositivo WDS.
6. (Opcional) Marque la opcin Use Local MAC List for Client
Authentication.
Esta opcin permite autenticar los dispositivos cliente mediante direccio-
nes MAC en la lista de direcciones local configurada en el dispositivo
WDS. Si no marca esta casilla, el dispositivo WDS utilizar el servidor
especificado para la autenticacin de direcciones MAC en la pgina Server
Groups para autenticar a los clientes en funcin de sus direcciones MAC.
SUGERENCIA Si selecciona la casilla Use Local MAC List for Client Authentication no forzar la
autenticacin basada en MAC de los dispositivos cliente. Ofrece una alternativa
local a la autenticacin de direcciones MAC basada en servidor.

8. Vaya a la pgina WDS Server Groups, haga clic en Server Groups.
Aparecer la pgina WDS Server Groups.
Figura 110 Pgina WDS Server Groups

Configuracin de un grupo de servidores
Siga estas instrucciones para crear un grupo de servidores que se utilizar para la
autenticacin 802.1x de los dispositivos de infraestructura (puntos de acceso) que
utilicen el punto de acceso WDS.
1. Introduzca un nombre para el grupo en el campo Server Group Name.

2. En el men desplegable Priority 1, elija el servidor principal.
Si necesita aadir al grupo un servidor que no aparece en los mens
desplegables Priority, haga clic en Define Servers para ir a la pgina Server
Manager. Configure el servidor all y vuelva a la pgina WDS Server
Groups.
SUGERENCIA Si no dispone de un servidor de autenticacin en la red, puede configurar un

punto de acceso o un ISR como servidor de autenticacin local. Consulte
Configuracin de un punto de acceso como autenticador local en la pgina 307
si desea obtener instrucciones de configuracin.
3. (Opcional) Elija los servidores de respaldo en los mens desplegables

Priority 2 y 3.
5. Configure la lista de los servidores que se utilizarn para la autenticacin
802.1x de los dispositivos cliente.
Puede especificar una lista independiente mediante un determinado tipo
de autenticacin, como EAP, LEAP, PEAP o basada en MAC, o
especificar una lista para los dispositivos cliente mediante cualquier tipo
de autenticacin.
6. Introduzca un nombre de grupo para el servidor o servidores en el campo
Server Group Name.
7. Elija el servidor principal en el men desplegable Priority 1.

Si necesita aadir al grupo un servidor que no aparece en los mens

desplegables Priority, haga clic en Define Servers para ir a la pgina Server
Manager. Configure el servidor all y vuelva a la pgina WDS Server
Groups.
8. (Opcional) Elija los servidores de respaldo en los mens desplegables
Priority 2 y 3.
9. (Opcional) Elija la opcin Restrict SSIDs para limitar el uso del grupo de
servidores a los dispositivos cliente mediante SSID especficos.
10. Introduzca un SSID en el campo SSID y haga clic en Add.
Para eliminar un SSID, destquelo en la lista de SSID y haga clic en
Remove.
12. Configure el punto de acceso WDS para la autenticacin LEAP.
Consulte Configuracin de los tipos de autenticacin en la pgina 335
si desea obtener instrucciones sobre cmo configurar LEAP.
SUGERENCIA Si su punto de acceso WDS presta servicio a dispositivos cliente, siga las
instrucciones de Configuracin de los puntos de acceso para el uso del
dispositivo WDS en la pgina 365 para configurar el punto de acceso WDS
para el uso de los WDS.

Ejemplo de configuracin CLI
Este ejemplo muestra los comandos CLI que son equivalentes a los pasos
enumerados en Configuracin de los puntos de acceso como dispositivos WDS
potenciales en la pgina 359:
AP(config)# wlccp wds priority 200 interface bvi1
AP(config)# wlccp authentication-server
infrastructure infra_devices
AP(config)# wlccp authentication-server client any
client_devices
AP(config-wlccp-auth)# ssid fred
AP(config-wlccp-auth)# ssid ginger
AP(config)# end
En este ejemplo, los dispositivos de infraestructura se autentican mediante el

grupo de servidores infra_devices; los dispositivos cliente que utilizan los SSID
fred o ginger se autentican a travs del grupo de servidores client_devices.
Si desea obtener una descripcin completa de los comandos utilizados en este

ejemplo, consulte el documento Cisco IOS Command Reference for Cisco
Aironet Access Points and Bridges (referencia de los comandos Cisco IOS para
los puentes y puntos de acceso Cisco Aironet).

Configuracin de los puntos de acceso para el uso del dispositivo WDS
Para participar en los WDS, los puntos de acceso de infraestructura deben

ejecutar la misma versin de IOS que el dispositivo WDS.
Siga estos pasos para configurar un punto de acceso que se autentique a travs del
dispositivo WDS y que participe en WDS.
1. Vaya hasta la pgina Wireless Services Summary.

2. Haga clic en AP para ir a la pgina Wireless Services AP.
Aparecer esta pgina Wireless Services.
Figura 111 Pgina Wireless Services AP
3. Haga clic en Enable del ajuste Participate in SWAN Infrastructure.

4. En el campo Username, introduzca un nombre de usuario para el punto de
acceso.
Este nombre de usuario deber coincidir con el nombre de usuario que
haya creado para el punto de acceso en su servidor de autenticacin.
5. En el campo Password, introduzca una contrasea para el punto de acceso.
Introdzcala de nuevo en el campo Confirm Password.
Esta contrasea deber coincidir con la que haya creado para el punto de
acceso en su servidor de autenticacin.

Los puntos de acceso que configure para que interaccionen con el WDS
automticamente, seguirn estos pasos:
Detectar y hacer un seguimiento del dispositivo WDS actual y transmitir

los anuncios WDS a la red LAN inalmbrica.
Autenticarse con el dispositivo WDS y establecer un canal de

comunicacin seguro hacia el dispositivo WDS.
Registrar los dispositivos cliente asociados con el dispositivo WDS.
Ejemplo de configuracin en Este ejemplo muestra los comandos CLI que son equivalentes a los pasos
enumerados en Configuracin de los puntos de acceso para el uso del dispositivo
la CLI WDS en la pgina 365:
AP(config)# wlccp ap username APWestWing password 7
wes7win8
AP(config)# end
En este ejemplo, el punto de acceso est habilitado para interaccionar con el

dispositivo WDS y se autentica en su servidor de autenticacin utilizando
APWestWing como nombre de usuario y wes7win8 como contrasea. Deber
configurar el mismo par de nombre de usuario y contrasea cuando configure el
punto de acceso como cliente en su servidor de autenticacin.

Configuracin del modo solo WDS

Los puntos de acceso WDS pueden funcionar en el modo solo WDS mediante el
comando wlccp wds mode wds-only. Despus de emitir este comando y
volver a cargar, el punto de acceso empezar a funcionar en el modo de solo WDS.
En el modo solo WDS no se pueden configurar los comandos dot11

subsystems are not initialized y dot11 interface related.
En el modo WDS solo, el WDS admite hasta 60 puntos de acceso de

infraestructura y 1200 clientes. Utilice la forma no de este comando para
desactivar el modo solo WDS. Utilice el comando show wlccp wds
para ver el modo de funcionamiento del punto de acceso WDS.
Para configurar el punto de acceso WDS para que funcione en los modos
de punto de acceso y WDS, utilice el comando no wlccp wds mode
wds-only y el comando write erase para volver a cargar el punto de
acceso de inmediato.

Una vez que el punto de acceso haya vuelto a cargarse, los subsistemas de radio
dot11 se inicializarn. El punto de acceso y el WDS se asociarn directamente a
los clientes inalmbricos. En este modo, el WDS admite 30 puntos de acceso de
infraestructura y 600 clientes adems de 20 asociaciones de cliente inalmbrico
directas.
Visualizacin de la informacin del WDS
En la interface del navegador web, vaya a la pgina Wireless Services Summary

para ver un resumen del estado del WDS.
En la CLI, en el modo EXEC con privilegios, utilice estos comandos para ver
informacin sobre el dispositivo WDS actual y otros puntos de acceso que
participan en CCKM:
Comando Descripcin
show wlccp ap Utilice este comando en los puntos de acceso que participan en CCKM para ver la direccin MAC del dispositivo WDS, la
direccin IP del dispositivo WDS, el estado del punto de acceso (autenticacin, autenticado o registrado), la direccin
IP del autenticador de la infraestructura y la direccin IP del autenticador del dispositivo cliente (MN).
show wlccp wds { ap | mn } En el dispositivo WDS utilice solo este comando para ver la informacin en la cach sobre los puntos de acceso y los
[ detail ] [ mac-addr mac- dispositivos cliente.
address ] ap puntos de acceso que participan en CCKM.
El comando indica la direccin MAC, la direccin IP, el estado (autenticando, autenticado o registrado) y la vida
efectiva (segundos que quedan antes de que el punto de acceso deba volver a autenticarse) de cada punto de
acceso.
Utilice la opcin mac-addr para obtener informacin sobre un punto de acceso especfico.
mn informacin en la cach sobre los dispositivos cliente, tambin denominados nodos mviles.
El comando proporciona la direccin MAC, la direccin IP, el punto de acceso asociado del cliente (cur-AP) y el
estado (autenticando, autenticado o registrado) de cada cliente.
La opcin de detalle indica la vida efectiva (segundos que quedan antes de que el cliente deba volver a
autenticarse), el SSID y el identificador de VLAN del cliente.
Utilice la opcin mac-addr para ver informacin sobre un dispositivo cliente especfico.
Si solo introduce show wlccp wds, aparecern la direccin IP, la direccin MAC, la prioridad y el estado de
la interface (administrativamente autnomo, activo, de respaldo, candidato o solo WDS) del punto de acceso.
Si el estado es de respaldo, el comando show wlccp wds proporcionar la direccin IP, la direccin MAC
y la prioridad del dispositivo WDS actual.
Si el estado es solo WDS, el comando show wlccp wds proporcionar la direccin IP, la direccin MAC,
el estado de la interface, el recuento del punto de acceso y el recuento de nodo mvil del dispositivo.

Mensajes de depuracin
En el modo EXEC con privilegios, utilice estos comandos de depuracin para

controlar la visualizacin de los mensajes de depuracin para los dispositivos que
interaccionan con el dispositivo WDS:
Tabla 103 Comandos de depuracin
Comando Descripcin
debug wlccp ap Utilice este comando para activar la visualizacin de mensajes de depuracin relativos a los
{mn | wds-discovery | state} dispositivos cliente (mn), el proceso de deteccin WDS y la autenticacin del punto de acceso
en el dispositivo WDS (estado).
debug wlccp dump Utilice este comando para llevar a cabo un volcado de paquetes WLCCP recibidos y enviados en
formato binario.
debug wlccp packet Utilice este comando para activar la visualizacin de los paquetes que llegan y salen del
dispositivo WDS.
debug wlccp wds [aggregator | Utilice este comando y sus opciones para activar la visualizacin de los mensajes de depuracin
authenticator | nm | state | WDS. Utilice la opcin statistics para activar la visualizacin de las estadsticas de fallo.
statistics]
debug wlccp wds authenticator {all | Utilice este comando y sus opciones para activar la visualizacin de los mensajes de depuracin
dispatcher | mac-authen | process | WDS relativos a la autenticacin.
rxdata | state-machine | txdata}
Configuracin de la Una vez configurado el WDS, los puntos de acceso configurados para CCKM
pueden proporcionar itinerancia rpida segura a los dispositivos cliente asociados.
itinerancia rpida segura Esta seccin describe cmo configurar la itinerancia rpida segura en su red LAN
inalmbrica.
Requisitos para la itinerancia rpida segura
Para configurar la itinerancia rpida segura, deber contar con estos elementos en
su red LAN inalmbrica:
Como mnimo un punto de acceso, un ISR o un switch (equipado con un

WLSM) configurado como dispositivo WDS
Puntos de acceso configurados para participar en WDS
Puntos de acceso configurados para itinerancia rpida segura
Un servidor de autenticacin (o un punto de acceso, ISR o switch

configurado como autenticador local)
Dispositivos cliente Cisco Aironet o compatibles con Cisco conformes con

las Cisco Compatible Extensions (CCX) versin 2 o posterior
Si desea obtener instrucciones sobre cmo configurar WDS, consulte

Configuracin del WDS en la pgina 357.

Configuracin de los puntos de acceso para que sean compatibles con

la itinerancia rpida segura
Para ser compatible con la itinerancia rpida segura, los puntos de acceso de su red
LAN inalmbrica deben configurarse de modo que participen en WDS y deben
permitir la gestin de claves autenticadas CCKM para un SSID como mnimo.
Siga estos pasos para configurar CCKM para un SSID.
1. Vaya a la pgina Encryption Manager en la GUI del punto de acceso.

Esta figura muestra la seccin superior de la pgina Encryption Manager.
Figura 112 Pgina Encryption Manager
2. Haga clic en Cipher.

3. En el men desplegable Cipher, seleccione AES-CCMP.

5. Vaya a la pgina SSID Manager.

Figura 113 Pgina SSID Manager
6. En el SSID compatible con CCKM, elija estos ajustes:

a. Si su punto de acceso contiene mltiples interfaces de radio, seleccione
aquellas a las que se aplique el SSID.
b. En Authentication Settings, seleccione Network EAP.
Cuando habilite CCKM, deber habilitar Network EAP como tipo de

autenticacin.
c. Elija Mandatory u Optional en Authenticated Key Management.
Si selecciona Mandatory, solo se podrn asociar utilizando el SSID los

clientes CCKM.
Si selecciona Optional, se podrn asociar utilizando el SSID los clientes
CCKM y los clientes incompatibles con CCKM.
d. Marque la casilla CCKM.

Ejemplo de configuracin en la CLI
enumerados en Configuracin de los puntos de acceso para que sean compatibles
con la itinerancia rpida segura en la pgina 369:
AP(config)# dot11 ssid fastroam
AP(config-ssid)# authentication network-eap
eap_methods
AP(config-ssid)# authentication key-management cckm
AP(config)# interface dot11radio0
AP(config-if)# encryption mode ciphers aes-ccm
AP(config-if)# ssid fastroam
AP(config-if)# exit
AP(config)# end
En este ejemplo, el SSID fastroam se ha configurado para admitir la EAP de red y

CCKM, la suite de algoritmos de cifrado AES-CCM est habilitada en la
interface de radio 2.4 GHz y el SSID fastroam est habilitado en la interface de
radio de 2.4 GHz.
Proteccin de trama de La proteccin de trama de administracin (Management Frame Protection o

MFP) proporciona funciones de seguridad para los mensajes de administracin
administracin que se transmiten entre el punto de acceso y las estaciones de cliente. La MFP
consta de dos componentes funcionales: MFP de infraestructura y MFP de
cliente.
La MFP de infraestructura presta asistencia para la infraestructura. La MFP de

infraestructura emplea una comprobacin de la integridad de los mensajes (MIC)
en toda la difusin y tramas de administracin dirigidas que pueden ayudar a
detectar dispositivos maliciosos y ataques de denegacin del servicio. La MFP de
cliente proporciona asistencia para los clientes. La MFP de cliente protege a los
clientes autenticados de las tramas de spoofing porque impide que muchos de los
ataques contra las WLAN habituales se hagan efectivos. El funcionamiento de la
proteccin de trama de administracin requiere un WDS.

Descripcin general
La MFP de cliente cifra las tramas de administracin de clase 3 que se envan

entre los puntos de acceso y las estaciones de cliente compatibles con CCXv5,
de modo que tanto el punto de acceso como el cliente puedan adoptar medidas
preventivas dejando caer tramas de administracin de clase 3 de spoofing (por
ejemplo, tramas de administracin transmitidas entre un punto de acceso y una
estacin de cliente autenticada y asociada).
La MFP de cliente emplea los mecanismos de seguridad definidos por IEEE

802.11i para proteger las tramas de administracin unidifusin de clase 3. La
suite de algoritmos de cifrado unidifusin negociada por STA en el RSN IE de la
solicitud de reasociacin se utiliza para proteger tanto los datos unidifusin como
las tramas de administracin de clase 3. Un punto de acceso en modo puente de
grupo de trabajo, repetidor o puente no raz deber negociar TKIP o AES-
CCMP para utilizar la MFP de cliente.
Proteccin de trama de administracin unidifusin
Las tramas de administracin clase 3 unidifusin se protegen aplicando AES-

CCMP o TKIP de una forma similar a la que ya se utiliza para las tramas de datos.
La MFP de cliente est habilitada nicamente para los puntos de acceso
autnomos si el cifrado es AES-CCMP o TKIP y la gestin de claves WPA
versin 2.
Proteccin de trama de administracin de difusin
Para evitar ataques mediante tramas de difusin, los puntos de acceso compatibles
con CCXv5 no emiten ninguna trama de administracin de clase 3 de difusin.
Un punto de acceso en el modo de puente de grupo de trabajo, repetidor o puente
no raz, descarta las tramas de administracin de clase 3 de difusin cuando la
MFP de cliente est habilitada. La MFP de cliente est habilitada nicamente
para los puntos de acceso autnomos si el cifrado es AES-CCMP o TKIP y la
gestin de claves WPA versin 2.

MFP de cliente para puntos Los puntos de acceso autnomos en modo raz admiten clientes en modo
combinado. Los clientes compatibles con CCXv5 con la suite de algoritmos de
de acceso en modo raz cifrado negociada AES o TKIP con WPAv2 pueden utilizar la MFP de cliente.
La MFP de cliente est inhabilitada para los clientes que no son compatibles con
CCXv5. De manera predeterminada, la MFP de cliente es opcional para un SSID
concreto en el punto de acceso y se puede habilitar o inhabilitar a travs de la CLI
en el modo de configuracin de SSID.
La MFP de cliente se puede configurar como necesaria u opcional para un SSID

concreto. Para configurar la MFP de cliente en funcin de las necesidades,
deber configurar el SSID con la administracin de claves WPA versin 2 como
obligatoria. Si la administracin de claves no es obligatoria para WPAv2, se
mostrar un mensaje de error y se rechazar su comando CLI. Si intenta cambiar
la administracin de claves con la MFP de cliente configurada en funcin de las
necesidades y la administracin de claves WPAv2, aparecer un mensaje de error y
rechazar su comando CLI. Cuando se configura como opcional, la MFP de
cliente se habilita si el SSID es compatible con WPAv2; de lo contrario, la MFP
de cliente se inhabilita.
Configuracin de la MFP de cliente
Los comandos CLI a continuacin se utilizan para configurar la MFP de cliente

para los puntos de acceso en modo raz.
ids mfp client required
Este comando de configuracin de SSID habilita la MFP de cliente en funcin de

las necesidades en un SSID concreto. La interface Dot11Radio se reinicia cuando
el comando se ejecuta si el SSID se vincula a la interface Dot11Radio. El
comando tambin prev que el SSID se configure con WPA versin 2 obligatorio.
Si el SSID no se configura con WPAv2 obligatorio, aparecer un mensaje de error
y el comando se rechazar.
no ids mfp client
Este comando de configuracin de SSID inhabilita la MFP de cliente en un SSID

concreto. La interface Dot11Radio se reinicia cuando el comando se ejecuta si el
SSID se vincula a la interface Dot11Radio.
ids mfp client optional
Este comando de configuracin de SSID habilita la MFP de cliente como

opcional en un SSID concreto. La interface Dot11Radio se reinicia cuando el
comando se ejecuta si el SSID est vinculado a la interface Dot11Radio. La MFP
de cliente se habilita para este SSID concreto cuando el SSID es compatible con
WPAv2; de lo contrario, la MFP de cliente se inhabilita.
show dot11 ids mfp client statistics
Utilice este comando para ver las estadsticas de la MFP de cliente en la consola
del punto de acceso para una interface Dot11Radio.
clear dot11 ids mfp client statistics
Utilice este comando para eliminar las estadsticas de la MFP de cliente.

authentication key management wpa version {1|2}

Utilice este comando para especificar de manera explcita la versin WPA que se
utilizar para la administracin de claves WPA de un SSID concreto.

configure terminal
2. Configura el punto de acceso como generador MFP.
Cuando esta opcin est habilitada, el punto de acceso protege las tramas
de administracin que transmite aadiendo un elemento informativo de
comprobacin de la integridad del mensaje (IE MIC) a cada una de ellas.
Cualquier intento de copia, alteracin o reproduccin de la trama invali-
dar la MIC, haciendo que los puntos de acceso receptores configurados
para detectar (validar) tramas MFP notifiquen la discrepancia. El punto de
acceso debe ser miembro de un WDS.
dot11 ids mfp generator
3. Configura el punto de acceso como detector MFP.
Una vez habilitado, el punto de acceso validar las tramas de administra-
cin que reciba de otros puntos de acceso. Si recibe alguna trama que no
contenga un MIC IE vlido y previsto, notificar la discrepancia al WDS.
El punto de acceso deber ser miembro de un WDS.
dot11 ids mfp detector
4. Introduzca el nombre o direccin IP del servidor SNTP.
sntp server server IP address
end
En el modo EXEC con privilegios, siga estos pasos para configurar el WDS:

configure terminal
2. Configura el WDS como distribuidor MFP.
Cuando esta opcin est habilitada, el dispositivo WDS gestiona las claves
de firma que se utilizan para crear los MIC IE y los transfiere de forma
segura entre los generadores y detectores.
dot11 ids mfp distributor
end

Configuracin de un lmite de fallo de autenticacin
La configuracin de un lmite de fallo de autenticacin protege su red frente al

ataque de denegacin del servicio denominado inundacin de EAPOL. La
autenticacin 802.1X que se produce entre un cliente y el punto de acceso activa
una serie de mensajes entre el punto de acceso, el autenticador y un servidor de
autenticacin mediante el uso de mensajes EAPOL. El servidor de autenticacin,
normalmente un servidor RADIUS, puede verse desbordado rpidamente si
existen muchas tentativas de autenticacin. Si no se controla, un nico cliente
puede activar un nmero de solicitudes de autenticacin suficiente para afectar a
su red.
En el modo de monitor, el punto de acceso hace un seguimiento de la frecuencia

con la que los clientes 802.1X intentan autenticarse a travs del punto de acceso.
Si su red recibe un ataque a travs de un nmero de tentativas de autenticacin
excesivo, el punto de acceso generar una alerta cuando se supere el lmite de
autenticaciones.
Puede configurar estos lmites en el punto de acceso:

Nmero de tentativas 802.1X a travs del punto de acceso
Duracin de la inundacin EAPOL en segundos en el punto de acceso
Cuando el punto de acceso detecte un nmero de tentativas de autenticacin

excesivo ajustar las variables MIB de modo que indiquen esta informacin:
Se ha detectado una inundacin EAPOL
Nmero de tentativas de autenticacin
Direccin MAC del cliente con el mayor nmero de tentativas de
autenticacin
En el modo EXEC con privilegios, siga estos pasos para configurar los lmites de
autenticacin que activen un fallo en el punto de acceso:

configure terminal
2. Configure el nmero de tentativas de autenticacin y el nmero de
segundos de inundacin EAPOL que activarn un fallo en el punto de
acceso.
dot11 ids eap attempts number period seconds
end

Notas:

Captulo 15
Configuracin de los servidores RADIUS y

TACACS+
Este captulo explica cmo habilitar y configurar el servicio de usuario de acceso

telefnico de autenticacin remota (RADIUS) y el sistema de control de acceso
del controlador de acceso a terminales ms (TACACS+), que proporcionan
informacin contable detallada y control administrativo flexible de los proceso de
autenticacin y autorizacin. RADIUS y TACACS+ se facilitan a travs de AAA
y nicamente se pueden habilitar a travs de los comandos AAA .
Tema Pgina
Configuracin y habilitacin RADIUS 377
Configuracin del punto de acceso para el uso de atributos RADIUS especficos del 395
proveedor
Configuracin del punto de acceso para la comunicacin de servidor RADIUS patentado 396
del proveedor
Configuracin y habilitacin de TACACS+ 401
Configuracin y habilitacin de TACACS+ 401
SUGERENCIA Puede configurar su punto de acceso como autenticador local para que acte
como equipo de respaldo de su servidor principal o para que preste servicios de
autenticacin en una red sin un servidor RADIUS. Configuracin de los tipos de
autenticacin en la pgina 335 si desea obtener instrucciones detalladas sobre
cmo configurar su punto de acceso como autenticador local.
Configuracin y habilitacin RADIUS es un sistema de cliente/servidor distribuido que protege las redes
frente a los accesos no autorizados. Los clientes RADIUS se ejecutan en
RADIUS dispositivos Cisco compatibles y envan solicitudes de autenticacin a un servidor
RADIUS central que contiene toda la informacin de acceso al servicio de red y
autenticacin de usuarios. El anfitrin RADIUS normalmente es un sistema de
mltiples usuarios que ejecuta el software de servidor RADIUS de Cisco Secure
Access Control Server versin 3.0), Livingston, Merit, Microsoft u otros
proveedores. Si desea ms informacin, consulte la documentacin del servidor
RADIUS.
Utilice RADIUS en estos entornos de red que requieren seguridad de acceso.
Redes con servidores de acceso de varios proveedores, cada uno de ellos

compatible con RADIUS.

Captulo 15 Configuracin de los servidores RADIUS y TACACS+
Por ejemplo, los servidores de acceso procedentes de varios proveedores

utilizan una nica base de datos de seguridad basada en el servidor
RADIUS. En una red basada en IP con servidores de acceso de varios
proveedores, los usuarios de acceso telefnico se autentican a travs de un
servidor RADIUS adaptado para funcionar con el sistema de seguridad
Kerberos.
Entornos de seguridad de red llave en mano cuyas aplicaciones son

compatibles con el protocolo RADIUS, como los entornos de acceso que
utilizan un sistema de control de acceso con tarjeta inteligente.
Redes que ya utilizan RADIUS.
Puede aadir un punto de acceso que contenga un cliente RADIUS a la

red.
Redes que requieren contabilidad de los recursos.
Puede utilizar la contabilidad RADIUS con independencia de la

autorizacin o la autenticacin RADIUS. Las funciones de contabilidad
RADIUS permiten el envo de datos al comienzo y trmino de los
servicios, indicando la cantidad de recursos (como el tiempo, los paquetes,
los bytes, etc.) empleados durante la sesin. Un proveedor de servicios de
internet puede utilizar una versin freeware del software de contabilidad y
control de acceso RADIUS para satisfacer necesidades de seguridad y
facturacin especiales.
RADIUS no es adecuado en estas situaciones de seguridad de red.
Situaciones de switch a switch o de router a router.
RADIUS no proporciona autenticacin bidireccional. RADIUS se puede

emplear con fines de autenticacin de un dispositivo a un dispositivo
distinto de Cisco si el segundo necesita autenticacin.
Redes que utilizan distintos servicios. RADIUS por lo general vincula un

usuario a un modelo de servicio.

Configuracin de los servidores RADIUS y TACACS+ Captulo 15
Funcionamiento de RADIUS
Cuando un usuario inalmbrico intenta iniciar sesin y autenticarse en un

punto de acceso cuyo acceso se controla mediante un servidor RADIUS, la
autenticacin en la red se produce en los pasos que se muestran en esta figura.
Figura 114 Secuencia de la autenticacin EAP
En los pasos del 1 al 9, un dispositivo cliente inalmbrico y un servidor RADIUS

en la LAN por cable utilizan 802.1x y EAP para llevar a cabo una autenticacin
mutua a travs del punto de acceso. El servidor RADIUS enviar una impugna-
cin de autenticacin al cliente. El cliente emplear un cifrado unidireccional
de la contrasea suministrada por el usuario para generar una respuesta a la
impugnacin que enviar al servidor RADIUS.
Utilizando la informacin de su base de datos de usuarios, el servidor RADIUS

crear su propia respuesta y la comparar con la del cliente. Cuando el servidor
RADIUS autentique al cliente, el proceso se repetir en orden inverso y el cliente
autenticar al servidor RADIUS.
Existen varios tipos de autenticacin EAP, pero el punto de acceso se comportar

del mismo modo con cada uno de ellos: transmitir los mensajes de autenticacin
del dispositivo cliente inalmbrico al servidor RADIUS y del servidor RADIUS
al dispositivo cliente inalmbrico. Consulte Asignacin de los tipos de
autenticacin a un SSID en la pgina 342 si desea obtener instrucciones sobre
cmo configurar la autenticacin de cliente a travs de un servidor RADIUS.

Configuracin de RADIUS
Esta seccin describe cmo configurar su punto de acceso de modo que sea
compatible con RADIUS. Como mnimo, deber identificar el anfitrin o
anfitriones que ejecuten el software de servidor RADIUS y definir las listas de
mtodos para la autenticacin RADIUS. De manera opcional, puede definir
listas de mtodos para la contabilidad y autorizacin RADIUS.
Las listas de mtodos definen la secuencia y los mtodos que deben emplearse
para autenticar, autorizar o llevar la contabilidad de un usuario. Puede utilizar las
listas de mtodos para determinar el uso de uno o varios protocolos de seguridad,
garantizando as un sistema de respaldo en caso de que el mtodo inicial falle.
El software utilizar el primer mtodo enumerado para autenticar, autorizar o
llevar la contabilidad de los usuarios; si ese mtodo no responde, el software
seleccionar el siguiente mtodo de la lista. Este proceso se prolongar hasta que
se establezca la comunicacin con un mtodo enumerado o se llegue al final de la
lista de mtodos.
Puede obtener acceso al servidor RADIUS y configurarlo antes de definir las

caractersticas RADIUS en su punto de acceso.
SUGERENCIA Los comandos CLI del servidor RADIUS estarn inhabilitados hasta que
introduzca el comando aaa new-model.
Configuracin RADIUS predeterminada

RADIUS y AAA estn inhabilitados de manera predeterminada. Para evitar
interrupciones en la seguridad, no se puede configurar RADIUS a travs de una
aplicacin de gestin de red mediante SNMP. Cuando est habilitado, RADIUS
puede autenticar a los usuarios que obtienen acceso al punto de acceso travs de la
CLI o HTTP (Device Manager).
Identificacin del anfitrin servidor RADIUS

En la comunicacin del punto de acceso al servidor RADIUS intervienen varios
componentes:
Nombre del anfitrin o direccin IP
Puerto de destino de la autenticacin
Puerto de destino de la contabilidad
Cadena de la clave
Periodo de tiempo de espera
Valor de retransmisin
Los servidores de seguridad RADIUS se identifican por su nombre de anfitrin

o direccin IP, nombre de anfitrin y nmeros de puerto UDP especficos o su
direccin IP y nmero de puerto UDP especficos.

La combinacin de la direccin IP y el nmero de puerto UDP crea un identifi-

cador nico que permite definir por separado distintos puertos como anfitriones
RADIUS que prestan un servicio AAA concreto. Este identificador nico
permite el envo de solicitudes RADIUS a varios puertos UDP en un servidor en
la misma direccin IP.
SUGERENCIA Con Cisco IOS versin 12.2(8)JA y posteriores, el punto de acceso utiliza un
nmero de puerto de fuente UDP elegido de forma aleatoria en un intervalo
entre 21645 y 21844 para la comunicacin con los servidores RADIUS.
Si configura dos entradas de anfitrin distintas en el mismo servidor RADIUS

para el mismo servicio (como por ejemplo, la contabilidad), la segunda entrada
configurada actuar como entrada de respaldo en caso de fallo de la primera.
Utilizando este ejemplo, si la primera entrada de anfitrin no presta servicios
de contabilidad, el punto de acceso probar con la segunda entrada de anfitrin
configurada en el mismo dispositivo para los servicios de contabilidad.
(Las entradas de anfitrin RADIUS se prueban en el orden en el que estn
configuradas.)
Un servidor RADIUS y el punto de acceso utilizan una cadena de texto secreta

compartida para cifrar contraseas y respuestas de intercambio. Para configurar
RADIUS para el uso de los comandos de seguridad AAA, deber indicar el
anfitrin que ejecute el centinela del servidor RADIUS y una cadena de texto
secreta (clave) compartida con el punto de acceso.
Los valores de tiempo de espera, retransmisin y clave de cifrado se pueden

configurar a escala global para cada uno de los servidores RADIUS o en alguna
combinacin de ajustes globales y por servidor.
Para aplicar estos ajustes a escala global a todos los servidores RADIUS que se
comuniquen con el punto de acceso, utilice los tres comandos de configuracin
global nicos:
radius-server timeout
radius-server retransmit
radius-server key
Para aplicar estos valores a un servidor RADIUS concreto, utilice el comando de

configuracin global radius-server host.
SUGERENCIA Si configura funciones tanto globales como por servidor (comandos timeout,
retransmission y key) en el punto de acceso, los comandos per-server timer,
retransmission y key value anularn los comandos global timer, retransmission
y key value.
Si desea informacin sobre cmo configurar estos ajustes en todos los
servidores RADIUS, consulte Configuracin de todos los servidores RADIUS en
la pgina 393.
Puede configurar el punto de acceso para que utilice grupos de servidores AAA
para agrupar los anfitriones servidor existentes con fines de autenticacin. Para
obtener ms informacin, consulte Definicin de los grupos de servidores AAA
en la pgina 386.

En el modo EXEC con privilegios, siga estos pasos para configurar la comunica-
cin RADIUS en cada uno de los servidores por separado. Este procedimiento es
necesario.

configure terminal
2. Habilite AAA.
aaa new-model
remoto.
(Opcional) Para auth-port port-number, especifique el puerto
de destino UDP para las solicitudes de autenticacin.
(Opcional) Para acct-port port-number, especifique el puerto
de destino UDP para las solicitudes de contabilidad.
(Opcional) Para timeout seconds, especifique el intervalo de
tiempo durante el que el punto de acceso esperar a que el servidor
RADIUS responda antes de retransmitir. El intervalo comprende
entre 1 y 1000.
Este ajuste anula el ajuste del comando de configuracin global
radius-server timeout. Si no se configura ningn tiempo de
espera con el comando radius-server host, se utilizar el ajuste
del comando radius-server timeout.
(Opcional) Para retransmit retries, especifique el nmero de
veces que se reenviar una solicitud RADIUS a un servidor en caso de
que este no responda o lo haga con lentitud. El intervalo comprende
entre 1 y 1000.
Si no se configura ningn valor de retransmisin con el comando
radius-server host, se utilizar el ajuste del comando de
configuracin global radius-server retransmit.
(Opcional) Para key string , especifique la clave de autenticacin y
cifrado que se utilizar entre el punto de acceso y el centinela RADIUS
que se ejecute en el servidor RADIUS.
SUGERENCIA La clave es una cadena de texto que debe coincidir con la clave de cifrado
empleada en el servidor RADIUS. Configure siempre la clave como el ltimo
tem del comando radius-server host. Los espacios iniciales se ignoran, pero
los que estn dentro y al final de la clave se tienen en cuenta. Si utiliza
espacios en su clave, no escriba la clave entre comillas, salvo que estas
formen parte de ella.
Para configurar el punto de acceso para que reconozca ms de una entrada de

anfitrin asociada a una nica direccin IP, introduzca este comando tantas veces
como sea necesario, asegurndose de que cada nmero de puerto UDP sea
diferente. El software del punto de acceso buscar los anfitriones en el orden en
el que los especifique. Configure los valores de tiempo de espera, retransmisin y
la clave de cifrado para su uso con el anfitrin RADIUS especfico.

4. Obtenga acceso al modo de configuracin de un SSID cuando necesite

habilitar la contabilidad.
El SSID puede tener hasta 32 caracteres alfanumricos. Los SSID son
5. Habilite la contabilidad RADIUS para este SSID. Para list-name,
especifique la lista de mtodos de contabilidad.
accounting list-name
end
show running-config
Para eliminar el servidor RADIUS especificado, utilice el comando de

configuracin global no radius-server host hostname |
ip-address .
Este ejemplo muestra cmo configurar un servidor RADIUS para su uso

con fines de autenticacin y otro para su uso con fines de contabilidad:
port 1612 key rad1
AP(config)# radius-server host 172.20.36.50 acct-
port 1618 key rad2
Este ejemplo muestra cmo configurar un SSID para

la contabilidad RADIUS:
AP(config-ssid)# accounting accounting-method-list
Este ejemplo muestra cmo configurar host1 como

servidor RADIUS y utilizar los puertos
predeterminados con fines de autenticacin y
contabilidad:
AP(config)# radius-server host host1
Necesitar configurar algunos ajustes tambin en el servidor RADIUS. Estos

ajustes incluyen la direccin IP del punto de acceso y la cadena de la clave que
compartirn el servidor y el punto de acceso.

Configuracin de la autenticacin para el inicio de sesin RADIUS

mtodos define los tipos de autenticacin y el orden en el que deben ejecutarse.
Debe aplicarse a una interface especfica antes de que se lleve a cabo cualquiera de
los mtodos de autenticacin definidos. La nica excepcin es la lista de mtodos
predeterminada (por coincidencia, se llama default). La lista de mtodos
predeterminada se aplica automticamente a todas las interfaces excepto a
aquellas con un lista de mtodos nombrada explcitamente definida.

para la autenticacin en caso de que el mtodo inicial falle. El software utilizar
el primer mtodo enumerado para autenticar a los usuarios; si ese mtodo no
responde, el software seleccionar el siguiente mtodo de autenticacin de la lista.

configure terminal
2. Habilite AAA.
aaa new-model
nombrada no est especificada en el comando login authentication,
utilice la palabra clave default seguida de los mtodos que deban
emplearse en situaciones predeterminadas. La lista de mtodos
predeterminada se aplicar automticamente a todas las interfaces.
Para method1..., especifique el mtodo real que probar el algoritmo
de autenticacin. Los mtodos de autenticacin adicionales nicamente
se utilizarn si el mtodo anterior genera un error, no si falla.
Line
Utilice la contrasea de lnea para la autenticacin. Deber definir una
contrasea de lnea para poder utilizar este mtodo de autenticacin.
Utilice el comando de configuracin de lnea password password.
Local


password.
Radius
Utilice la autenticacin RADIUS. Deber configurar el servidor
RADIUS antes de poder utilizar este mtodo de autenticacin. Para
obtener ms informacin, consulte Identificacin del anfitrin servidor
RADIUS en la pgina 380.
4. Obtenga acceso al modo de configuracin de lnea y configure las lneas
que quiera aplicar a la lista de autenticacin.
line-number]
authentication login .
6. Configure el punto de acceso de modo que enve su nombre de sistema en
el atributo NAS_ID para la autenticacin.
format %h
end
show running-config
new-model .
Para inhabilitar la autenticacin RADIUS para el inicio de sesin o volver al valor

predeterminado, utilice el comando de configuracin de lnea no login
authentication {default | list-name}.

Definicin de los grupos de servidores AAA
Puede configurar el punto de acceso para que utilice grupos de servidores AAA
para agrupar los anfitriones servidor existentes con fines de autenticacin.
Debe elegir un subconjunto de los anfitriones servidor configurados y utilizarlos
para un servicio concreto. El grupo de servidores se utilizar con una lista de
anfitriones servidor global. La lista contendr las direcciones IP de los anfitriones
servidor seleccionados.
Los grupos de servidores tambin pueden incluir mltiples entradas de anfitrin

para el mismo servidor si cada entrada cuenta con un identificador nico (la
combinacin de la direccin IP y el nmero de puerto UDP), permitiendo as
definir distintos puertos por separado como anfitriones RADIUS para la
prestacin de un servicio AAA especfico. Si configura dos entradas de anfitrin
distintas en el mismo servidor RADIUS para el mismo servicio (como por
ejemplo, la contabilidad), la segunda entrada de anfitrin configurada actuar
como entrada de respaldo en caso de fallo de la primera.
Utilice el comando de configuracin de grupos de servidores server para asociar

un servidor concreto a un grupo de servidores definido. Puede identificar el
servidor mediante su direccin IP o identificar mltiples entradas o instancias de
anfitrin mediante las palabras clave opcionales authport y acct-port.
En el modo EXEC con privilegios, siga estos pasos para definir el grupo de
servidores AAA y asociar un servidor RADIUS especfico al mismo.

configure terminal
2. Habilite AAA.
aaa new-model
3. Escriba la direccin IP o el nombre del anfitrin servidor RADIUS
remoto.
(Opcional) Para auth-port port-number, especifique el puerto de
destino UDP para las solicitudes de autenticacin.
(Opcional) Para acct-port port-number, especifique el puerto de
destino UDP para las solicitudes de contabilidad.
(Opcional) Para timeout seconds, especifique el intervalo de tiempo
durante el que el punto de acceso esperar a que el servidor RADIUS
responda antes de retransmitir.
El intervalo comprende entre 1 y 1000. Este ajuste anula el ajuste del
comando de configuracin global radius-server timeout. Si
no se configura ningn tiempo de espera con el comando radius-
server host, se utilizar el ajuste del comando radius-server
timeout.
(Opcional) Para retransmit retries, especifique el nmero de veces
que se reenviar una solicitud RADIUS a un servidor en caso de que
este no responda o lo haga con lentitud.

El intervalo comprende entre 1 y 1000. Si no se configura ningn valor

de retransmisin con el comando radius-server host, se
utilizar el ajuste del comando de configuracin global radius-
server retransmit.
(Opcional) Para key string, especifique la clave de autenticacin y
cifrado que se utilizar entre el punto de acceso y el centinela RADIUS
que se ejecute en el servidor RADIUS.
empleada en el servidor RADIUS. Configure siempre la clave como el ltimo
tem del comando radius-server host. Los espacios iniciales se ignoran, pero
los que estn dentro y al final de la clave se tienen en cuenta. Si utiliza
espacios en su clave, no escriba la clave entre comillas, salvo que estas
formen parte de ella.
Para configurar el punto de acceso para que reconozca ms de una entrada

de anfitrin asociada a una nica direccin IP, introduzca este comando
tantas veces como sea necesario, asegurndose de que cada nmero de
puerto UDP sea diferente. El software del punto de acceso buscar los
anfitriones en el orden en el que los especifique. Configure los valores de
tiempo de espera, retransmisin y la clave de cifrado para su uso con el
anfitrin RADIUS especfico.
4. Defina el grupo de servidores AAA con un nombre de grupo.
Este comando deja al punto de acceso en el modo de configuracin de
grupos de servidores.
aaa group server radius group-name
5. Asocie un servidor RADIUS concreto al grupo de servidores definido.
Repita este paso con cada servidor RADIUS del grupo de servidores AAA.
paso 2.
server ip-address
end
show running-config
9. Habilite el mtodo de autenticacin para el inicio de sesin RADIUS.

Vase Configuracin de la autenticacin para el inicio de sesin RADIUS

en la pgina 384.
Para eliminar el servidor RADIUS especificado, utilice el comando
de configuracin global no radius-server host hostname |
ip-address.
Para eliminar un grupo de servidores de la lista de configuracin,
utilice el comando de configuracin global no aaa group server
radius group-name.
Para eliminar la direccin IP de un servidor RADIUS, utilice
el comando de configuracin de grupos de servidores no server
ip-address.
En este ejemplo, el punto de acceso se configura de modo que reconozca dos

grupos de servidores RADIUS distintos (group1 y group2). El grupo 1 presenta
dos entradas de anfitrin distintas en el mismo servidor RADIUS configurado
para los mismos servicios. La segunda entrada de anfitrin acta como entrada de
respaldo en caso de fallo de la primera entrada.
1000 acct-port 1001
1645 acct-port 1646
1000 acct-port 1001
2000 acct-port 2001

Configuracin de la autorizacin RADIUS para el acceso de usuarios

con privilegios y los servicios de red
La autorizacin AAA limita los servicios disponibles para un usuario. Cuando

se habilita la autorizacin AAA, el punto de acceso utiliza la informacin
recuperada del perfil del usuario, que se encuentra en la base de datos de usuarios
local o en el servidor de seguridad, para configurar la sesin del usuario. El acceso
a un servicio solicitado se concede al usuario nicamente si la informacin de su
perfil lo permite.
SUGERENCIA Esta seccin describe la configuracin de la autorizacin de los administradores

del punto de acceso, no de los dispositivos cliente inalmbricos.

la palabra clave radius para configurar los parmetros que restringen el acceso a
la red de un usuario al modo EXEC con privilegios.
El comando aaa authorization exec radius local configura estos

parmetros de autorizacin:
Utilice RADIUS para la autorizacin del acceso EXEC con privilegios en

caso de que la autenticacin se haya llevado a cabo mediante RADIUS.

mediante RADIUS.
RADIUS para el acceso EXEC con privilegio y los servicios de red.

configure terminal
2. Configure el punto de acceso con la autorizacin RADIUS del usuario
para todas las solicitudes de servicio relacionadas con la red.
aaa authorization network radius
3. Configure el punto de acceso con la autorizacin RADIUS del usuario
para determinar si este dispone de acceso EXEC con privilegios.

aaa authorization exec radius
end
show running-config


no aaa authorization {network | exec} method1.
Configuracin del paquete de desconexin
El paquete de desconexin (PoD) tambin se denomina mensaje de desconexin.

Puede encontrar informacin adicional sobre el PoD en el estndar de internet
RFC 3576 del Internet Engineering Task Force (IETF).
El paquete de desconexin comprende un mtodo para poner fin a una sesin que
ya se ha establecido. El PoD es un paquete RADIUS Disconnect_Request y ha
sido diseado para su uso en situaciones en las que el servidor agente autenticador
quiere desconectar al usuario una vez que la sesin ha sido aceptada por el paquete
RADIUS access_accept. Esto puede ser necesario en al menos dos situaciones:
La deteccin de un uso fraudulento que no puede llevarse a cabo antes de

aceptar la llamada.
La desconexin de usuarios de punto caliente una vez que su tiempo de

acceso de prepago ha expirado.
Cuando se ha puesto fin a una sesin, el servidor RADIUS enva un mensaje de

desconexin al servidor de acceso a la red (NAS); un punto de acceso o WDS.
Para las sesiones 802.11, el atributo RADIUS Calling-Station-ID [31] (la
direccin MAC del cliente) debe indicarse en la solicitud PoD. El punto de
acceso o WDS intentar desasociar la sesin en cuestin y despus devolver un
mensaje de respuesta de desconexin al servidor RADIUS. A continuacin se
indican los tipos de mensaje:
40 Disconnect-Request
41 Disconnect ACK
42 Disconnect NAK
SUGERENCIA Consulte la documentacin de su aplicacin de servidor RADIUS si desea

obtener instrucciones sobre cmo configurar solicitudes de PoD.
El punto de acceso no bloquear los intentos de reasociacin del cliente
posteriores. Ser responsabilidad del administrador de seguridad
inhabilitar la cuenta del cliente antes de emitir una solicitud de PoD.
Si el dispositivo WDS est configurado, dirija las solicitudes de PoD a este.
El WDS transmitir la solicitud de desasociacin al punto de acceso
principal y despus purgar la sesin de sus propias tablas internas.
El PoD es compatible con el servidor RADIUS Cisco CNS Access Registrar
(CAR), pero no con el servidor Cisco Secure ACS, v4.0 y anteriores.
En el modo EXEC con privilegios, siga estos pasos para configurar un PoD.

configure terminal
2. Habilita las sesiones de usuario que deben desconectarse mediante
solicitudes procedentes de un servidor RADIUS cuando se presentan
atributos de sesin concretos.

port port number (Opcional) El puerto UDP en el que el punto de

acceso escucha las solicitudes PoD. El valor predeterminado es 1700.
auth-type
Este parmetro no es compatible con las sesiones 802.11.

clients
(Opcional) Se pueden designar hasta cuatro servidores RADIUS como

clientes. Si esta configuracin est presente y se origina una solicitud
PoD procedente de un dispositivo que no se encuentra en la lista, se
rechazar.
ignore
(Opcional) Cuando est configurada como server_key, la clave

secreta compartida no se valida cuando se recibe una solicitud PoD.
session-key
Incompatible con las sesiones 802.11.

server-key
Configura la cadena de texto secreta compartida.

string Cadena de texto secreta compartida entre el servidor de acceso a
la red y la estacin de trabajo del cliente. Esta clave secreta compartida
debe ser la misma en ambos sistemas.
SUGERENCIA Cualquier dato introducido despus de este parmetro se tratar como cadena
secreta compartida.
aaa pod server [port port number]

[auth-type {any | all | session-key}] [clients
client 1...] [ignore {server-key string...|
session-key }] | server-key string...]}
end
show running-config

Inicio de la contabilidad RADIUS

La funcin de contabilidad AAA hace un seguimiento de los servicios para los
que estn obteniendo acceso los usuarios y de la cantidad de recursos de red que
estn consumiendo. Cuando la contabilidad AAA est habilitada, el punto de
acceso informa de la actividad del usuario al servidor de seguridad RADIUS
mediante registros contables.
Cada registro contable contiene pares de atributo y valor (AV) contables y se

almacena en el servidor de seguridad. Estos datos se pueden analizar despus para
la administracin de la red, la facturacin de los cliente o las auditoras.
Consulte Atributos RADIUS enviados por el punto de acceso en la pgina 398 si

desea obtener una lista completa de los atributos enviados y recibidos por el punto
de acceso.
En el modo EXEC con privilegios, siga estos pasos para habilitar la contabilidad
RADIUS para cada nivel de privilegios de Cisco IOS y para los servicios de red:

configure terminal
2. Habilite la contabilidad RADIUS para todas las solicitudes de servicio
relativas a la red.
aaa accounting network start-stop radius
3. Configure el punto de acceso para que enve su direccin IP BVI en el
atributo NAS_IP_ADDRESS para los registros contables.
ip radius source-interface bvi1
4. Introduzca un intervalo de actualizacin contable en minutos.
aaa accounting update periodic minutes
end
show running-config
Para inhabilitar la contabilidad, utilice el comando de configuracin global

no aaa accounting {network | exec} {start-stop}
method1....

Seleccin del formato CSID Puede elegir el formato de las direcciones MAC en los atributos Called-Station-
ID (CSID) y Calling-Station-ID de los paquetes RADIUS. Utilice el comando
de configuracin global dot11 aaa csid para seleccionar el formato CSID.
Esta tabla contiene las opciones de formato con los ejemplos de direcciones MAC
correspondientes.
Opcin Ejemplo de direccin MAC
predeterminado 0007.85b3.5f4a
ietf 00-07-85-b3-5f-4a
sin formato 000785b35f4a
Para volver al formato CSID predeterminado, utilice la forma no del comando

dot11 aaa csid o introduzca
dot11 aaa csid default
SUGERENCIA Tambin puede utilizar el comando wlccp wds aaa csid para
seleccionar el formato CSID.
Configuracin de todos los servidores RADIUS
En el modo EXEC con privilegios, siga estos pasos para configurar los ajustes de
comunicacin global entre el punto de acceso y todos los servidores RADIUS.

configure terminal
2. Especifique la cadena de texto secreta compartida que se utilizar entre el
punto de acceso y todos los servidores RADIUS.
SUGERENCIA La clave es una cadena de texto que debe coincidir con la clave de
cifrado empleada en el servidor RADIUS. Los espacios iniciales se
ignoran, pero los que estn dentro y al final de la clave se tienen en
cuenta. Si utiliza espacios en su clave, no escriba la clave entre
comillas, salvo que estas formen parte de ella.
radius-server key string

3. Especifique el nmero de veces que el punto de acceso enviar cada
solicitud RADIUS al servidor antes de desistir. El valor predeterminado es
3; el intervalo comprende entre 1 y 1000.
radius-server retransmit retries
4. Especifique los segundos que un punto de acceso esperar una respuesta a
una solicitud RADIUS antes de volver a enviarla.
El valor predeterminado es 5; el intervalo comprende entre 1 y 1000.
radius-server timeout seconds
5. Utilice este comando para hacer que el software Cisco IOS marque como
muerto cualquier servidor RADIUS que no responda a las solicitudes de
autenticacin, evitando as que se sobrepase el tiempo de espera a la
solicitud antes de intentarlo con el siguiente servidor configurado.

Los servidores RADIUS marcados como muertos se obviarn en las

solicitudes adicionales durante los minutos que especifique, hasta un
mximo de 1440 (24 horas).
SUGERENCIA Este comando debe configurarse cuando se definen varios servidores RADIUS.
Si no est configurado, no se producir la autenticacin del cliente. Cuando se
define un servidor RADIUS, este comando es opcional.
radius-server deadtime minutes
6. Configure el punto de acceso de modo que enve su nombre de sistema en
el atributo NAS_ID para la autenticacin.
format %h
end
8. Compruebe sus ajustes.
show running-config
Este ejemplo muestra cmo configurar dos servidores principales y un

autenticador local con un tiempo muerto de servidor de 10 minutos:

1000 acct-port 1001 key 77654

1645 acct-port 1646 key 77654

port 1812 acct-port 1813 key 110337
AP(config)# radius-server deadtime 10
Para volver a los ajustes predeterminados de retransmisin, tiempo de

espera y tiempo muerto, utilice las formas no de estos comandos.

Configuracin del punto de El borrador del estndar del Internet Engineering Task Force (IETF) especifica
un mtodo de comunicacin de informacin especfica del proveedor entre el
acceso para el uso de punto de acceso y el servidor RADIUS mediante el atributo vendor-specific
atributos RADIUS especficos (atributo 26). Los atributos especficos del proveedor (VSA) permiten a los
del proveedor proveedores integrar sus propios atributos ampliados no aptos para un uso
general.
La implementacin Cisco RADIUS admite una opcin especfica del proveedor

si utiliza el formato recomendado en la especificacin. El identificador de
proveedor de Cisco es el 9 y la opcin compatible tiene un tipo de proveedor 1,
denominado cisco-avpair. El valor es una cadena con este formato:
protocol. attribute sep value *
Protocol es un valor del atributo de protocolo de Cisco para un tipo de

autorizacin concreto. Attribute y value son un par AV adecuado definido en la
especificacin TACACS+ de Cisco, y sep es = para los atributos obligatorios y el
asterisco (*) para los atributos opcionales. Esto permite utilizar un completo
conjunto de caractersticas disponibles para la autorizacin TACACS+ tambin
con RADIUS.
Por ejemplo, el par AV a continuacin activa la funcin de fondos de direcciones

ip con mltiples nombres de Cisco durante la autorizacin IP (durante la
asignacin de direccin IPCP de PPP):
cisco-avpair= ip:addr-pool=first
El ejemplo a continuacin muestra cmo proporcionar un inicio de sesin de

usuario desde un punto de acceso con acceso inmediato a los comandos EXEC
con privilegios:
cisco-avpair= shell:priv-lvl=15
Otros proveedores tienen sus propios identificadores, opciones y VSA asociados

nicos. Si desea ms informacin sobre los identificadores y VSA de proveedor,
consulte RFC 2138, Remote Authentication Dial-In User Service (RADIUS).
En el modo EXEC con privilegios, siga estos pasos para configurar el punto de
acceso para que reconozca y utilice los VSA.

configure terminal
2. Habilite el punto de acceso para que reconozca y utilice los VSA definidos
por el atributo RADIUS IETF 26.
(Opcional) Utilice la palabra clave accounting para limitar el conjunto
de atributos especficos del proveedor reconocidos nicamente a los
atributos contables.
(Opcional) Utilice la palabra clave authentication para limitar el con-
junto de atributos especficos del proveedor reconocidos nicamente
a los atributos de autenticacin.

Si introduce este comando sin palabras clave, se utilizarn los atributos

especficos del proveedor de contabilidad y autenticacin.
radius-server vsa send [accounting |
authentication]
end
show running-config
Si desea obtener una lista completa de atributos RADIUS o ms informacin

sobre el VSA 26, consulte la publicacin Cisco IOS Security Configuration
Guide for Release 12.2 (manual de configuracin de seguridad de Cisco IOS para
la versin 12.2).
Configuracin del punto de A pesar de que el borrador de un estndar del IETF para RADIUS especifica un
mtodo de comunicacin de la informacin patentada del proveedor entre el
acceso para la comunicacin punto de acceso y el servidor RADIUS, algunos proveedores han ampliado el
de servidor RADIUS conjunto de atributos RADIUS de una forma nica. El software Cisco IOS
patentado del proveedor admite un subconjunto de atributos RADIUS patentados del proveedor.
Como se ha sealado anteriormente, para configurar RADIUS (patentado del

proveedor o de conformidad con el borrador del IETF), deber especificar el
anfitrin que ejecute el centinela de servidor RADIUS y la cadena de texto
secreta compartida con el punto de acceso. Deber especificar el anfitrin
RADIUS y la cadena de texto secreta mediante los comandos de configuracin
global radius-server.
En el modo EXEC con privilegios, siga estos pasos para especificar un anfitrin
servidor RADIUS patentado del proveedor y una cadena de texto secreta
compartida.

configure terminal
remoto e identifique si est utilizando una implementacin patentada del
proveedor de RADIUS.
radius-server host {hostname | ip-address} non-
standard
3. Especifique la cadena de texto secreta compartida que se utilizar entre el
punto de acceso y el servidor RADIUS patentado del proveedor.

El punto de acceso y el servidor RADIUS utilizarn esta cadena de texto

para cifrar contraseas y respuestas de intercambio.
empleada en el servidor RADIUS. Los espacios iniciales se ignoran, pero los que
estn dentro y al final de la clave se tienen en cuenta. Si utiliza espacios en su
clave, no escriba la clave entre comillas, salvo que estas formen parte de ella.
radius-server key string

end
show running-config
Para eliminar el anfitrin RADIUS patentado del proveedor, utilice el
comando de configuracin global no radius-server host
{hostname | ip-address} non-standard.
Para inhabilitar la clave, utilice el comando de configuracin global no
radius-server key.
Este ejemplo muestra cmo especificar un anfitrin RADIUS patentado del

proveedor y utilizar la clave secreta rad124 entre el punto de acceso y el
servidor:
AP(config)# radius-server host 172.20.30.15
nonstandard
AP(config)# radius-server key rad124
Visualizacin de la configuracin RADIUS
Para ver la configuracin RADIUS, utilice el comando EXEC con privilegios

show running-config .
SUGERENCIA Cuando un DNS est configurado en el punto de acceso, con show

running-config puede que aparezca la direccin IP de un servidor
en lugar de su nombre.

Atributos RADIUS enviados por el punto de acceso
Tabla 104 en la pgina 398 a la Tabla 106 en la pgina 398 identifican los
atributos enviados por un punto de acceso a un cliente en los paquetes access-
request, access-accept y accounting-request.
Tabla 104 Atributos enviados en los paquetes Access-Request
Id. de atributo Descripcin
1 User-Name
4 NAS-IP-Address
5 NAS-Port
12 Framed-MTU
30 Called-Station-ID (MAC address)
31 Calling-Station-ID (MAC address)
32 NAS-Identifier(1)
61 NAS-Port-Type
79 EAP-Message
80 Message-Authenticator
(1) El punto de acceso enva NAS-Identifier cuando el atributo 32 (include-in-access-req) est configurado.
Tabla 105 Atributos aceptados en los paquetes Access-Accept

25 Class
27 Session-Timeout
64 Tunnel-Type(1)
65 Tunnel-Medium-Type(1)
79 EAP-Message
80 Message-Authenticator
81 Tunnel-Private-Group-ID(1)
VSA (attribute 26) LEAP session-key
VSA (attribute 26) Auth-Algo-Type
VSA (attribute 26) SSID
(1) RFC2868; define un nmero de anulacin VLAN.
Tabla 106 Atributos enviados en los paquetes Accounting-Request (inicio)

1 User-Name
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
25 Class
41 Acct-Delay-Time
44 Acct-Session-Id
61 NAS-Port-Type

Tabla 106 Atributos enviados en los paquetes Accounting-Request (inicio)

VSA (attribute 26) NAS-Location
VSA (attribute 26) Cisco-NAS-Port
VSA (attribute 26) Interface
Tabla 107 Atributos enviados en los paquetes Accounting-Request (actualizacin)

1 User-Name
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
25 Class
41 Acct-Delay-Time
42 Acct-Input-Octets
43 Acct-Output-Octets
44 Acct-Session-Id
46 Acct-Session-Time
47 Acct-Input-Packets
48 Acct-Output-Packets
61 NAS-Port-Type
VSA (attribute 26) VLAN-ID
VSA (attribute 26) Connect-Progress
Tabla 108 Atributos enviados en los paquetes Accounting-Request (paro)

1 User-Name
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
25 Class
41 Acct-Delay-Time
42 Acct-Input-Octets
43 Acct-Output-Octets
44 Acct-Session-Id
46 Acct-Session-Time
47 Acct-Input-Packets
48 Acct-Output-Packets

Tabla 108 Atributos enviados en los paquetes Accounting-Request (paro) (Continuacin)

49 Acct-Terminate-Cause
61 NAS-Port-Type
VSA (attribute 26) Disc-Cause-Ext
VSA (attribute 26) VLAN-ID
VSA (attribute 26) Connect-Progress
VSA (attribute 26) Auth-Algo-Type
De manera predeterminada, el punto de acceso enva solicitudes de reautentica-

cin al servidor de autenticacin con el atributo service-type configurado como
authenticate-only. No obstante, algunos servidores Microsoft IAS no admiten el
atributo service-type como authenticate-only. En funcin de los requisitos del
usuario, configure el atributo service-type como:
dot11 aaa authentication attributes service-type
login-user
o
dot11 aaa authentication attributes service-type

framed-user.
De manera predeterminada, en la solicitud de acceso se enva el tipo de servicio

login.

Configuracin y habilitacin TACACS+ es una aplicacin de seguridad que ofrece funciones de validacin
centralizada de los usuarios que intentan obtener acceso a un punto de acceso.
de TACACS+ A diferencia de RADIUS, TACACS+ no autentica los dispositivos cliente
asociados al punto de acceso.
Los servicios TACACS+ se mantienen en una base de datos en un centinela

TACACS+ que normalmente se ejecuta en una estacin de trabajo NT o UNIX.
Obtenga acceso al servidor TACACS+ y configrelo antes de configurar las
caractersticas TACACS+ en su punto de acceso.
TACACS+ proporciona funciones de autenticacin, autorizacin y contabilidad

independientes y modulares. TACACS+ permite a un nico servidor de control
de acceso (el centinela TACACS+) prestar cada servicio, autenticacin, autoriza-
cin y contabilidad de forma independiente. Cada servicio se puede vincular a su
propia base de datos para aprovechar otros servicios disponibles en ese servidor o
en la red, dependiendo de las funciones del centinela.
TACACS+, administrado a travs de los servicios de seguridad AAA, puede

prestar estos servicios:
Autenticacin
Proporciona control completo de la autenticacin de los administradores a travs

del cuadro de dilogo de inicio de sesin y la contrasea, la impugnacin y
respuesta, y los mensajes de asistencia.
El componente de autenticacin puede mantener un dilogo con el administra-

dor (por ejemplo, despus de proporcionar un nombre de usuario y contrasea,
para poner a prueba a un usuario con varias preguntas, como su domicilio, el
apellido de soltera de su madre, el tipo de servicio y el nmero de la seguridad
social). El servicio de autenticacin TACACS+ tambin puede enviar mensajes a
las pantallas del administrador. Por ejemplo, un mensaje podra notificar a los
administradores que deben cambiar sus contraseas como consecuencia de una
poltica de obsolescencia de las contraseas de la empresa.
Autorizacin
Proporciona control detallado de las competencias del administrador mientras

dura su sesin, incluidas, entre otras, la configuracin de los comandos
automticos, el control de acceso, la duracin de la sesin o la compatibilidad
del protocolo. Tambin puede aplicar restricciones a los comandos que un
administrador puede ejecutar con la funcin de autorizacin TACACS+.

Accounting
Recopila y enva informacin que se utiliza con fines de facturacin, auditora y

creacin de informes al centinela TACACS+. Los administradores de red pueden
utilizar el componente de contabilidad para hacer un seguimiento de la actividad
del administrador en una auditora de seguridad o para proporcionar informacin
para la facturacin de los usuarios. Los registros contables incluyen identidades de
administrador, horas de inicio y fin, comandos ejecutados (como PPP), nmero
de paquetes y nmero de bytes.
El protocolo TACACS+ proporciona servicios de autenticacin entre el punto

de acceso y el centinela TACACS+ y preserva la confidencialidad porque todos
los intercambios de protocolo entre el punto de acceso y el centinela TACACS+
estn cifrados.
Necesitar un sistema que ejecute el software centinela TACACS+ para utilizar

TACACS+ en su punto de acceso.
Funcionamiento de TACACS+
Cuando un administrador trata de realizar un inicio de sesin ASCII sencillo

autenticndose en un punto de acceso mediante TACACS+, tiene lugar este
proceso:
1. Una vez establecida la conexin, el punto de acceso se pone en contacto

con el centinela TACACS+ para obtener una solicitud de nombre de
usuario que despus se muestra al administrador.
2. El administrador introduce un nombre de usuario y el punto de acceso se
pone en contacto con el centinela TACACS+ para obtener una solicitud
de contrasea.
3. Entonces se muestra la solicitud de contrasea al administrador, quien
introduce una contrasea que se enva al centinela TACACS+.
TACACS+ permite mantener una conversacin entre el centinela y el
administrador hasta que el primero recibe suficiente informacin para
autenticar al administrador. El centinela solicita una combinacin de
nombre de usuario y contrasea, pero puede incluir otros elementos, como
el apellido de soltera de la madre del usuario.
4. El punto de acceso eventualmente recibir una de estas respuestas del
centinela TACACS+.
Respuesta Descripcin
ACCEPT El administrador se ha autenticado y el servicio puede comenzar. Si el punto de acceso
est configurado de modo que requiera autorizacin, esta comenzar en este momento.
REJECT El administrador no se ha autenticado. Puede que se deniegue el acceso al administrador
o que se le solicite que repita la secuencia de inicio de sesin, en funcin del centinela
TACACS+.
ERROR Se ha producido un error en algn momento durante la autenticacin con el centinela o
en la conexin de red entre el centinela y el punto de acceso. Si se recibe una respuesta
ERROR, normalmente el punto de acceso intentar utilizar un mtodo alternativo para
autenticar al administrador.
CONTINUE Se solicitar al administrador que introduzca informacin de autenticacin adicional.

Tras la autenticacin, el administrador se someter a un proceso de autori-

zacin adicional si se ha habilitado esta opcin en el punto de acceso. Los
administradores debern superar la autenticacin TACACS+ para poder
proseguir con la fase de autorizacin TACACS+.
5. Si se requiere una autorizacin TACACS+, la unidad se pondr en con-
tacto de nuevo con el centinela TACACS+, que enviar una respuesta de
autorizacin ACCEPT o REJECT. Si se recibe una respuesta ACCEPT,
esta contendr datos en forma de atributos que dirigirn la sesin EXEC o
NETWORK para dicho administrador, determinando los servicios a los
que este podr obtener acceso:
Servicios Telnet, rlogin o EXEC con privilegios
Parmetros de conexin, incluida la direccin IP del cliente o anfitrin,
la lista de acceso y los tiempos de espera del administrador
Configuracin de TACACS+
Para configurar su punto de acceso de modo que sea compatible con TACACS+,
deber identificar el anfitrin o anfitriones que alberguen el centinela TACACS+
y definir las listas de mtodos para la autenticacin TACACS+. De manera
opcional, puede definir listas de mtodos para la contabilidad y autorizacin
TACACS+.
Una lista de mtodos define la secuencia y los mtodos que deben emplearse para
autenticar, autorizar o llevar la contabilidad de un administrador. Puede utilizar
las listas de mtodos para determinar el uso de uno o varios protocolos de
seguridad, garantizando as un sistema de respaldo en caso de que el mtodo
inicial falle.
El software utilizar el primer mtodo enumerado para autenticar, autorizar o

llevar la contabilidad de los administradores; si ese mtodo no responde, el
software seleccionar el siguiente mtodo de la lista. Este proceso se prolongar
hasta que se establezca la comunicacin con un mtodo enumerado o se llegue al
final de la lista de mtodos.
Configuracin predeterminada de TACACS+

TACACS+ y AAA estn inhabilitados de manera predeterminada.
Con el fin de evitar fallos en la seguridad, no es posible configurar TACACS+ a

travs de una aplicacin de administracin de red. Cuando est habilitado,
TACACS+ puede autenticar a los administradores que obtienen acceso al punto
de acceso a travs de la CLI.

Identificacin del anfitrin servidor TACACS+ y configuracin de la

clave de autenticacin
Puede configurar el punto de acceso para que utilice un nico servidor o grupos
de servidores AAA para agrupar los anfitriones servidor existentes con fines de
autenticacin. Puede agrupar los servidores para seleccionar un subconjunto de
los anfitriones servidor configurados y utilizarlos para un servicio concreto. El
grupo de servidores se utilizar con una lista de anfitriones servidor global donde
se enumerarn las direcciones IP de los anfitriones servidor seleccionados.
En el modo EXEC con privilegios, siga estos pasos para identificar el anfitrin IP
o el anfitrin que alberga el servidor TACACS+ y, de manera opcional, configure
la clave de cifrado.

configure terminal
2. Identifique el anfitrin IP o los anfitriones que albergan un servidor
TACACS+.
Introduzca este comando varias veces para crear una lista de anfitriones
favoritos. El software buscar los equipos anfitriones en el orden en el que
los especifique.
Para hostname, especifique el nombre o direccin IP del anfitrin.
(Opcional) Para port integer, especifique un nmero de puerto del
servidor.
El valor predeterminado es el puerto 49. El intervalo permitido
comprende entre 1 y 65535.
(Opcional) Para timeout integer, especifique un tiempo en
segundos durante el que el punto de acceso esperar una respuesta del
centinela antes de declarar un error.
El valor predeterminado es 5 segundos). El intervalo permitido
comprende valores entre 1 y 1000.
(Opcional) Para key string , especifique la clave para el cifrado y
descifrado de todo el trfico entre el punto de acceso y el centinela
TACACS+. Deber configurar la misma clave en el centinela
TACACS+ para que el cifrado funcione correctamente.
tacacs-server host hostname [port integer] [timeout
integer] [key string]
3. Habilite AAA.
aaa new-model
4. (Opcional) Defina el grupo de servidores AAA con un nombre de grupo.
Este comando deja al punto de acceso en el modo de subconfiguracin de
grupos de servidores.
aaa group server tacacs+ group-name

5. (Opcional) Asocie un servidor TACACS+ concreto al grupo de servidores

definido. Repita este paso con cada servidor TACACS+ del grupo de
servidores AAA.
paso 2.
server ip-address
end
show tacacs
Para eliminar la direccin o el nombre de servidor TACACS+
especificado, utilice el comando de configuracin global no tacacs-
server host hostname.
Para eliminar un grupo de servidores de la lista de configuracin, utilice el
comando de configuracin global no aaa group server tacacs+
group-name.
Para eliminar la direccin IP de un servidor TACACS+, utilice el
comando de subconfiguracin de grupos de servidores no server ip-
address.
Configuracin de la autenticacin para el inicio de sesin TACACS+

autenticacin con nombre y despus aplicarla a varias interfaces. La lista de mto-
dos define la secuencia y los tipos de autenticacin que deben llevarse a cabo; debe
aplicarse a una interface concreta antes de ejecutar cualquiera de los mtodos de
autenticacin definidos. La nica excepcin es la lista de mtodos predetermi-
nada (por coincidencia, se llama default). La lista de mtodos predeterminada se
aplica automticamente a todas las interfaces excepto a aquellas con un lista de
mtodos nombrada explcitamente definida. Una lista de mtodos definida anu-
lar la lista de mtodos predeterminada.

aplicarn para autenticar a un administrador. Puede determinar el uso de uno o
varios protocolos de seguridad para la autenticacin, creando as un sistema de
seguridad para la autenticacin en caso de que el mtodo inicial falle. El software
utilizar el primer mtodo enumerado para autenticar a los usuarios; si ese
mtodo no responde, el software seleccionar el siguiente mtodo de autentica-
cin de la lista.

acceso al administrador), el proceso de autenticacin se detendr y no se probar

autenticacin para el inicio de sesin.

configure terminal
2. Habilite AAA.
aaa new-model
nombrada no est especificada en el comando login
authentication, utilice la palabra clave default seguida de los
mtodos que deban emplearse en situaciones predeterminadas. La lista
de mtodos predeterminada se aplicar automticamente a todas las
interfaces.
nicamente se utilizarn si el mtodo anterior genera un error, no si
falla.
line
Utilice la contrasea de lnea para la autenticacin. Deber definir una

contrasea de lnea para poder utilizar este mtodo de autenticacin.
Utilice el comando de configuracin de lnea password password.
local
password .
tacacs+
Utiliza la autenticacin TACACS+. Deber configurar el servidor
TACACS+ antes de poder utilizar este mtodo de autenticacin.
4. Obtenga acceso al modo de configuracin de lnea y configure las lneas
que quiera aplicar a la lista de autenticacin.
5. Obtenga acceso al modo de configuracin de lnea.
6. Configure las lneas.
7. Aplique la lista de autenticacin.
line-number]


comando aaa authentication login .
authentication login .
end
show running-config

new-model .

Para inhabilitar la autenticacin TACACS+ para el inicio de sesin o

volver al valor predeterminado, utilice el comando de configuracin de
lnea no login authentication {default | list-name}.
Configuracin de la autorizacin TACACS+ para el acceso EXEC con

privilegios y los servicios de red
La autorizacin AAA limita los servicios disponibles para un administrador.

Cuando se habilita la autorizacin AAA, el punto de acceso utiliza la informacin
recuperada del perfil del administrador, que se encuentra en la base de datos de
usuarios local o en el servidor de seguridad, para configurar la sesin del
administrador. El acceso a un servicio solicitado se concede al administrador
nicamente si la informacin de su perfil lo permite.

la palabra clave tacacs+ para configurar los parmetros que restringen el acceso
a la red de un administrador al modo EXEC con privilegios.
El comando aaa authorization exec tacacs+ local configura

estos parmetros de autorizacin:
Utilice TACACS+ para la autorizacin de acceso EXEC con privilegios en

caso de que la autenticacin se haya llevado a cabo mediante TACACS+.

mediante TACACS+.
SUGERENCIA El paso de autorizacin se omitir para los administradores autenticados que

inicien sesin a travs de la CLI aunque se haya configurado la autorizacin.

En el modo EXEC con privilegios, siga estos pasos

para especificar la autorizacin TACACS+ para el
acceso EXEC con privilegios y los servicios de red:

configure terminal
2. Configure el punto de acceso para la autorizacin TACACS+ del
administrador para todas las solicitudes de servicio relacionadas con la red.
aaa authorization network tacacs+
3. Configure el punto de acceso para la autorizacin TACACS+ del
administrador para determinar si este dispone de acceso EXEC con
privilegios.
aaa authorization exec tacacs+
end
show running-config

no aaa authorization {network | exec} method1 .
Inicio de la contabilidad TACACS+
La funcin de contabilidad AAA hace un seguimiento de los servicios para los

que estn obteniendo acceso los administradores y de la cantidad de recursos
de red que estn consumiendo. Cuando la contabilidad AAA est habilitada,
el punto de acceso informa de la actividad del administrador al servidor de
seguridad TACACS+ mediante registros contables. Cada registro contable
contiene pares de atributo y valor (AV) contables y se almacena en el servidor de
seguridad. Estos datos se pueden analizar despus para la administracin de la red,
la facturacin de los cliente o las auditoras.
En el modo EXEC con privilegios, siga estos pasos para habilitar la contabilidad
TACACS+ para cada nivel de privilegios de Cisco IOS y para los servicios de red.

configure terminal
2. Habilite la contabilidad TACACS+ para todas las solicitudes de servicio
relativas a la red.
aaa accounting network start-stop tacacs+

3. Habilite la contabilidad TACACS+ para enviar un aviso de contabilidad

de inicio del registro al comienzo de un proceso EXEC con privilegios y
uno de paro del registro al final.
aaa accounting exec start-stop tacacs+
end
show running-config
Para inhabilitar la contabilidad, utilice el comando de configuracin global no

aaa accounting {network | exec} {start-stop} method1....
Visualizacin de la configuracin TACACS+
Para ver las estadsticas del servidor TACACS+, utilice el comando EXEC con
privilegios show tacacs.

Notas:

Captulo 16
Configuracin de redes VLAN
Este captulo describe el modo de configurar el punto de acceso de modo que

funcione con las VLAN configuradas en su LAN por cable en estas secciones:
Tema Pgina
Redes VLAN 411
Configuracin de redes VLAN 415
Redes VLAN Una VLAN es una red conmutada que se segmenta lgicamente por funciones,
equipos de proyecto o aplicaciones en lugar de en funcin de criterios fsicos o
geogrficos. Por ejemplo, todas las estaciones de trabajo y servidores utilizados
por un equipo de grupo de trabajo concreto se pueden conectar a la misma
VLAN con independencia de sus conexiones fsicas a la red o del hecho de que
se puedan combinar con otros equipos. Utilice las redes VLAN para reconfigurar
la red a travs del software en lugar de desconectar y desplazar fsicamente los
dispositivos o cables.
Una VLAN puede considerarse un dominio de difusin que existe dentro de un

conjunto de switches definido. Una VLAN consta de una serie de sistemas finales,
que pueden ser anfitriones o equipos de red (como puentes y routers), conectados
mediante un nico dominio de conexin en puente. El dominio de conexin en
puente es compatible con varios componentes de los equipos de red, como los
switches LAN que utilizan protocolos de conexin en puente entre s con un
grupo distinto para cada VLAN.
Las redes VLAN prestan los servicios de segmentacin que tradicionalmente

proporcionaban los routeres en las configuraciones de LAN. Gestin de red,
seguridad y capacidad de escalado de la direccin de las redes VLAN. Cuando
disee y cree redes LAN conmutadas, tenga en cuenta varios aspectos clave:
Segmentacin de la LAN
Seguridad
Control de la transmisin
Rendimiento
Administracin de redes
Comunicacin entre las redes VLAN

Captulo 16 Configuracin de redes VLAN
Para ampliar las VLAN a una LAN inalmbrica, se debe aadir el conocimiento
de la etiqueta IEEE 802.11Q al punto de acceso. Las tramas dirigidas a distintas
VLAN se transmiten a travs del punto de acceso inalmbrico/puente de grupo
de trabajo en distintos SSID con diferentes claves de cifrado. Tan solo los clientes
asociados a esa VLAN recibirn esos paquetes. Y a la inversa, los paquetes
procedentes de un cliente asociado a una determinada VLAN se etiquetarn
como 802.11Q antes de su transmisin en la red por cable.
Cuando la opcin 802.1q est configurada en la interface Gigabit Ethernet de un

punto de acceso, este siempre enva mensajes keepalive en la VLAN1 aunque esta
no est definida en el punto de acceso. En consecuencia, el switch Ethernet se
conecta al punto de acceso y genera un mensaje de aviso. No se producir ninguna
prdida de funciones ni en el punto de acceso ni en el switch. No obstante, el
registro del switch contendr mensajes sin sentido que pueden envolver y hacer
que pasen desapercibidos mensajes importantes.
Esto supone un problema cuando todos los SSID de un punto de acceso estn
asociados a redes de movilidad. Si todos los SSID estn asociados a redes de
movilidad, el puerto switch Ethernet al que est conectado el punto de acceso
se podr configurar como puerto de acceso. El puerto de acceso normalmente
se asigna a la VLAN nativa del punto de acceso, que no es necesariamente la
VLAN1, lo que hace que el switch Ethernet genere mensajes de aviso que
notifican que se est enviando trfico con una etiqueta 802.1q desde el punto de
acceso.
Es posible eliminar este exceso de mensajes del switch inhabilitando la funcin

keepalive.

Configuracin de redes VLAN Captulo 16
Esta figura muestra la diferencia entre la segmentacin de LAN fsica tradicional

y la segmentacin lgica de VLAN con dispositivos inalmbricos conectados.
Figura 115 Segmentacin de LAN y VLAN con dispositivos inalmbricos

VLAN Segmentation
Traditional LAN Segmentation VLAN 1 VLAN 2 VLAN 3
LAN 1
Catalyst
VLAN switch
Shared hub Floor 3
LAN 2
Catalyst
VLAN switch
Shared hub Floor 2
LAN 3
Catalyst
Shared Floor 1 VLAN
hub switch SSID 1 = VLAN 1
Trunk
port SSID 2 = VLAN 2
SSID 3 = VLAN 3
81652
SSID 0 SSID 0 SSID 0 SSID 1 SSID 2 SSID 3
Incorporacin de dispositivos inalmbricos a redes VLAN
Los componentes inalmbricos bsicos de una VLAN constan de un punto de

acceso y de un cliente asociado a l a travs de la tecnologa inalmbrica. El punto
de acceso se conecta fsicamente a travs de un puerto de enlace al switch de la red
VLAN en el que se configura esta. La conexin fsica con el switch VLAN se
establece a travs del puerto Ethernet del punto de acceso.
Bsicamente, la clave para configurar un punto de acceso de modo que se conecte
a una VLAN concreta radica en la configuracin de su SSID para que reconozca
dicha VLAN. Dado que las redes VLAN se identifican a travs de un
identificador de VLAN o nombre, si el SSID de un punto de acceso se configura
para reconocer un identificador de VLAN o nombre concreto, se establecer una
conexin con la red VLAN. Una vez establecida esta conexin, los dispositivos
cliente inalmbricos asociados con el mismo SSID podrn obtener acceso a la
VLAN a travs del punto de acceso. La VLAN procesa datos entrantes y salientes
de los clientes del mismo modo que procesa datos entrantes y salientes de las
conexiones por cable. Puede configurar hasta 16 SSID en su punto de acceso, de
modo que puede llegar a admitir hasta 16 VLAN. Tan solo se puede asignar un
SSID a cada VLAN.

Puede utilizar la caracterstica VLAN para desplegar dispositivos inalmbricos

con mayor eficiencia y flexibilidad. Por ejemplo, ahora los puntos de acceso
pueden gestionar los requisitos especficos de mltiples usuarios con una gran
diversidad de permisos y accesos de red. Sin la funcin VLAN, habra que utilizar
mltiples puntos de acceso para prestar servicio a distintas clases de usuarios en
funcin de los accesos y permisos que tuvieran asignados.
A continuacin se indican dos estrategias comunes para el despliegue de redes

VLAN inalmbricas:
Segmentacin por grupos de usuarios: puede segmentar su comunidad de

usuarios de red LAN inalmbrica y aplicar una poltica de seguridad
diferente a cada grupo de usuarios.
Por ejemplo, puede crear tres redes VLAN por cable e inalmbricas en un
entorno empresarial para los empleados a tiempo completo y parcial y
tambin proporcionar acceso a invitados.
Segmentacin por tipos de dispositivo: puede segmentar su red LAN

inalmbrica para permitir que distintos dispositivos con diferentes
funciones de seguridad se conecten a la red.
Por ejemplo, puede que algunos usuarios inalmbricos posean dispositivos

de mano compatibles solo con WPA2-PSK (claves previamente comparti-
das) y que otros cuenten con dispositivos ms sofisticados que empleen
mtodos 802.1x y EAP. Puede agrupar y aislar estos dispositivos en redes
VLAN independientes.
SUGERENCIA No se pueden configurar mltiples VLAN en los puntos de acceso en

modo repetidor. Los puntos de acceso en modo repetidor nicamente
admiten la VLAN nativa.

Configuracin de redes VLAN Cuando configure redes VLAN en puntos de acceso, la VLAN nativa deber ser
VLAN1.
El proceso de configuracin del punto de acceso para admitir redes VLAN consta
de tres pasos.
1. Habilite la VLAN en los puertos de radio y Ethernet.

2. Asigne SSID a redes VLAN.
3. Asigne ajustes de autenticacin a SSID.
Asignacin de SSID a redes VLAN
Esta seccin describe el proceso de asignacin de SSID a redes VLAN y de

habilitacin de una red VLAN en los puertos de radio y Ethernet del punto de
acceso.
Si desea obtener instrucciones detalladas sobre la asignacin de tipos de
autenticacin a SSID, consulte Configuracin de los tipos de autenticacin
en la pgina 335
Si desea obtener instrucciones para la asignacin de otros ajustes a SSID,
consulte Configuracin de SSID mltiples en la pgina 289
Puede configurar hasta 16 SSID en el punto de acceso, por lo que este podr
admitir hasta 16 redes VLAN que estn configuradas en su LAN. No obstante,
para la mayora de los despliegues, se recomienda no crear ms de tres SSID/
VLAN al objeto de reducir el tiempo de procesamiento interno.
En el modo EXEC con privilegios, siga estos pasos para asignar un SSID a una
VLAN y habilitar la VLAN en los puertos de radio y Ethernet del punto de
acceso.

configure terminal
El SSID puede tener un mximo de 32 caracteres alfanumricos. Los SSID
El SSID puede tener un mximo de 32 caracteres alfanumricos sensibles a
las maysculas y minsculas. El primer carcter no puede ser ninguno de
los que se indican a continuacin:
Signo de exclamacin (!)
Almohadilla (#)
Punto y coma (;)
Los caracteres que se indican a continuacin no son vlidos y no se pueden
emplear en los SSID:
Signo positivo (+)
Corchete derecho (])
Barra (/)
Comillas (")

TAB
Espacios finales
SUGERENCIA Utilice las opciones de autenticacin del comando ssid para configurar
un tipo de autenticacin para cada SSID.
Consulte Configuracin de los tipos de autenticacin en la pgina 335
si desea obtener instrucciones sobre cmo configurar los tipos de
autenticacin.

3. (Opcional) Asigne el SSID a una VLAN en su red.
Los dispositivos cliente que se asocien mediante el SSID se agruparn en
esta VLAN. Introduzca un nmero identificador de VLAN entre 1 y 4095.
Tan solo se puede asignar un SSID a cada VLAN.
SUGERENCIA Si su red utiliza nombres de VLAN, tambin podr asignar nombres a

las VLAN de su punto de acceso.
Consulte Asignacin de nombres a VLAN en la pgina 417 si desea
obtener instrucciones.
vlan vlan-id
4. Vuelva al modo de configuracin de la interface de radio.
exit
5. Obtenga acceso al modo de configuracin de la subinterface VLAN de
radio.
interface dot11radio 0.x | 1.x
siendo x el nmero de VLAN

6. Habilite una VLAN en la interface de radio.
(Opcional) Configure la VLAN como VLAN nativa. En muchas redes, la
VLAN nativa es VLAN 1.
encapsulation dot1q vlan-id [native]
7. Vuelva al modo de configuracin global.
exit
8. Obtenga acceso al modo de configuracin de la subinterface VLAN
Ethernet.
interface gigabitEthernet0.x
9. Habilite una VLAN en la interface Ethernet.
(Opcional) Configure la VLAN como VLAN nativa. En muchas redes, la
VLAN nativa es VLAN 1.
encapsulation dot1q vlan-id [native]
end

Este ejemplo muestra cmo:

a. Asigne un nombre a un SSID.
b. Asignar el SSID a una VLAN.
c. Habilite la VLAN en los puertos de radio y Ethernet como VLAN
nativa.
ap1200Router# configure terminal
ap1200Router(config)# interface dot11radio0
ap1200Router(config-if)# ssid batman
ap1200Router(config-if)# exit
ap1200Router(config)# dot11 ssid batman
ap1200Router(config-ssid)# vlan 1
ap1200Router(config-ssid)# exit
ap1200Router(config)# interface dot11radio0.1
ap1200Router(config-subif)# encapsulation dot1q 1
native
ap1200Router(config-subif)# exit
ap1200Router(config)# interface gigabitEthernet0.1
ap1200Router(config-subif)# encapsulation dot1q 1
native
ap1200Router(config-subif)# exit
ap1200Router(config)# end
Asignacin de nombres a VLAN
Puede asignar un nombre a una VLAN al margen de su identificador numrico.

Los nombres de VLAN pueden incluir hasta 32 caracteres ASCII. El punto de
acceso almacena cada par de identificador y nombre de VLAN en una tabla.
Directrices sobre el uso de nombres de VLAN
Recuerde estas directrices cuando utilice nombres de VLAN:
La asignacin de un nombre de VLAN a un identificador de VLAN se

produce a escala local en cada punto de acceso, de modo que puede asignar
el mismo nombre de VLAN a un identificador de VLAN diferente en la
red.
SUGERENCIA Si los clientes de su LAN inalmbrica necesitan una itinerancia sin

fisuras, le recomendamos que asigne el mismo nombre de VLAN al
mismo identificador de VLAN en todos los puntos de acceso o que
utilice solamente identificadores de VLAN sin nombres.
Cada una de las redes VLAN configuradas en su punto de acceso deber

contar con un identificador, pero los nombres de VLAN son opcionales.

Los nombres de VLAN pueden contener hasta 32 caracteres ASCII. No

obstante, un nombre de VLAN no puede ser un nmero entre 1 y 4095.
Por ejemplo, vlan4095 es un nombre de VLAN vlido, pero 4095 no lo es.
El punto de acceso reserva los nmeros del 1al 4095 a los identificadores de
VLAN.
Creacin de un nombre de VLAN
En el modo EXEC con privilegios, siga estos pasos para asignar un nombre a una
VLAN.

configure terminal
2. Asigne un nombre de VLAN a un identificador de VLAN. El nombre
puede contener hasta 32 caracteres ASCII.
dot11 vlan-name name vlan vlan-id
end
Utilice la forma no del comando para eliminar el nombre de la VLAN. Utilice el

comando EXEC con privilegios show dot11 vlan-name para ver una lista con
todos los pares de nombre e identificador de VLAN configurados en el punto de
acceso.
Asignacin de usuarios a una VLAN mediante un servidor RADIUS
Puede configurar su servidor de autenticacin RADIUS de modo que asigne

usuarios o grupos de estos a una VLAN concreta cuando se autentiquen en la red.
Puede que las suites de algoritmos de cifrado unidifusin y multidifusin

anunciadas en el elemento informativo del WPA (y negociadas durante la
asociacin 802.11) no coincidan con la suite de algoritmos de cifrado admitida
en una VLAN explcitamente asignada. Si el servidor RADIUS asigna un nuevo
identificador VLAN que emplea un suite de algoritmos de cifrado distinta de la
suite previamente negociada, el punto de acceso y el cliente no podrn volver a
cambiar a la nueva suite de algoritmos de cifrado. En la actualidad, los protocolos
WPA y CCKM no permiten cambiar la suite de algoritmos de cifrado tras la fase
de negociacin de algoritmos de cifrado 802.11 inicial. En esta situacin, el
dispositivo cliente se desasociar de la red LAN inalmbrica.
El proceso de asignacin de VLAN consta de estos pasos.
1. Un dispositivo cliente se asocia al punto de acceso mediante cualquier

SSID configurado en el punto de acceso.
2. El cliente inicia la autenticacin RADIUS.

3. Cuando el cliente se autentica correctamente, el servidor RADIUS lo

asigna a una VLAN concreta, con independencia del mtodo de asigna-
cin VLAN definido para el SSID que el cliente est utilizando en el
punto de acceso. Si el servidor no devuelve ningn atributo de la VLAN
al cliente, este se asignar a la VLAN indicada por el SSID localmente
asignado al punto de acceso.
Estos son los atributos de usuario RADIUS que se utilizan para la asignacin de
identificadores de VLAN. Cada atributo debe tener un valor de etiqueta comn
entre 1 y 31 que identifique la relacin agrupada.
IETF 64 (Tunnel Type): configure este atributo como VLAN.
IETF 65 (Tunnel Medium Type): configure este atributo como 802.
IETF 81 (Tunnel Private Group ID): configure este atributo como vlan-id.
Visualizacin de las redes VLAN configuradas en el punto de acceso
En el modo EXEC con privilegios, utilice el comando show vlan para ver las
redes VLAN compatibles con el punto de acceso. A continuacin se incluye un
ejemplo de salida de un comando show vlan :
Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0

GigabitEthernet0
Virtual-Dot11Radio0
This is configured as native Vlan for the following

interface(s).
Dot11Radio0
GigabitEthernet0
Virtual-Dot11Radio0
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 201688 0
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.2

GigabitEthernet0.2
Virtual-Dot11Radio0.2
Protocols Configured: Address: Received: Transmitted:

Configuracin y habilitacin La VLAN predeterminada es la VLAN de gestin y todas las tramas sin etiquetar
se asocian de manera implcita a este identificador de VLAN predeterminado.
de una VLAN con SSID Configure una de sus redes VLAN como red nativa.
mediante Stratix 5100
Device Manager Para configurar la VLAN, siga estos pasos.
1. Elija Services en el men del mismo nombre.

2. Haga clic en VLAN.
3. Introduzca un nmero identificador de VLAN nico entre 1 y 4095.

4. Indique si desea que este identificador de VLAN sea la VLAN nativa.
5. Haga clic en la radio que quiera asociar a este identificador de VLAN.
Si no hace clic en Apply, la nueva VLAN no se guardar y no aparecer en
la pgina SSID.

7. Haga clic en el enlace Define SSID para ir a la pgina SSID Manager.
8. Elija un SSID nico para asignarlo a esta VLAN.

Si no existe ningn SSID nico disponible, elija el ajuste NEW y cree un
nuevo SSID.
9. Seleccione el nmero de la VLAN de la lista que quiera asociar al SSID
nico.
10. Haga clic en Apply para guardar la configuracin.

Configuracin del cifrado para la VLAN
Una vez completada la configuracin de la VLAN, deber configurar el cifrado de

esta. Siga estos pasos para configurar el cifrado de la VLAN.
1. Haga clic en Security para ir a la pgina Security Summary.

2. En el men Security, seleccione Encryption Manager.
Aparecer la pgina Encryption Manager.
3. Seleccione la VLAN que est configurando en la lista desplegable Set

Encryption Mode and Keys for VLAN.
SUGERENCIA Esta lista desplegable de VLAN solo aparece cuando las VLAN estn
habilitadas. Si no hay ninguna VLAN presente, los ajustes de cifrado
se aplicarn a todos los SSID.
4. En la seccin Encryption Mode, indique el tipo de cifrado, cuando

corresponda, que los clientes inalmbricos tendrn que utilizar cuando se
comuniquen con el punto de acceso.
IMPORTANTE Se recomienda AES CCMP para disfrutar del nivel de seguridad ms elevado
posible.

Captulo 17
Configuracin de QoS
Este captulo explica cmo configurar la opcin de calidad de servicio (QoS) en

su punto de acceso. Gracias a esta opcin, podr dar un trato preferente a un
determinado tipo de trfico en detrimento de otros. Sin QoS, el punto de acceso
ofrece un servicio de mejor esfuerzo a cada paquete, con independencia de su
contenido o tamao. Enva los paquetes sin ninguna garanta de confiabilidad,
lmites de retraso o rendimiento efectivo.
IMPORTANTE Si desea conocer la sintaxis completa y obtener informacin sobre el uso de

los comandos utilizados en este captulo, consulte el documento Cisco IOS
Command Reference for Cisco Aironet Access Points and Bridges Guide
(manual de referencia de los comandos Cisco IOS para los puentes y puntos
de acceso Cisco Aironet).
Tema Pgina
QoS para redes LAN inalmbricas 423
Configuracin de QoS mediante Stratix 5100 Device Manager 426
QoS para redes LAN Normalmente, las redes funcionan en funcin de la entrega de mejor esfuerzo: es
decir, todo el trfico tiene la misma prioridad y probabilidad de ser entregado con
inalmbricas puntualidad. Cuando se produce una congestin, todo el trfico tiene las mismas
probabilidades de perderse.
Si configura QoS en el punto de acceso, podr seleccionar un tipo de trfico de

red concreto, darle prioridad y aplicar tcnicas de gestin y prevencin de la
congestin para darle un trato preferente. La implementacin de QoS en su red
LAN inalmbrica har que el rendimiento de la red sea ms predecible y el uso del
ancho de banda ms eficaz.
Cuando configure QoS, crear polticas de QoS que aplicar a las redes VLAN
configuradas en su punto de acceso. Si no utiliza VLAN en su red, puede aplicar
sus polticas de QoS a los puertos de Ethernet y radio del punto de acceso.
IMPORTANTE Cuando se habilita QoS, el punto de acceso utiliza el modo wifi multimedia
(WMM) de manera predeterminada. Consulte Modo multimedia wifi en la
pgina 431 si desea informacin sobre el WMM.

Captulo 17 Configuracin de QoS
QoS para redes LAN inalmbricas frente a QoS en redes LAN por cable
La implementacin de QoS para las redes LAN inalmbricas difiere de las

implementaciones QoS en otros dispositivos Cisco. Con la opcin QoS
habilitada, los puntos de acceso llevan a cabo estas acciones:
No clasifican paquetes; dan prioridad a los paquetes en funcin del valor
DSCP, el tipo de cliente (por ejemplo, un telfono inalmbrico) o el valor
de prioridad de la etiqueta 802.1q o 802.1p.
No crean valores DSCP internos; nicamente admiten la asignacin de los
valores IP DSCP, prioridad o protocolo a los valores COS de capa 2.
Llevan a cabo la EDCF (funcin de coordinacin distribuida mejorada),
como la puesta en cola nicamente en el puerto de salida de la radio.
Llevan a cabo la puesta en cola FIFO (primero en entrar, primero en salir)
nicamente en el puerto de salida Ethernet.
Admiten nicamente la accin policy-map set cos en MQC.
Dan prioridad al trfico procedente de los clientes de voz con respecto al
trfico procedente de otros clientes cuando est habilitada la opcin QoS
Element for Wireless Phones.
Admiten telfonos Spectralink utilizando la clusula de protocolo IP class-
map con el valor de protocolo configurado como 119.
Repercusiones de QoS sobre una red LAN inalmbrica
Las funciones QoS de LAN inalmbrica son un subconjunto del estndar

802.11e. La opcin QoS en las redes LAN inalmbricas permite asignar
prioridades al trfico procedente del punto de acceso en la WLAN en funcin
su clasificacin.
Al igual que en cualquier otro medio, no podr percibir los efectos de QoS en
una red LAN inalmbrica con una carga ligera. Las ventajas de QoS se hacen ms
evidentes a medida que aumenta la carga de la red LAN inalmbrica, ya que
mantiene los niveles de latencia, inestabilidad y prdida de los tipos de trfico
seleccionados dentro de un intervalo aceptable.
La opcin QoS en la red LAN inalmbrica se centra en la asignacin de

prioridades aguas abajo del punto de acceso. Esta figura muestra el flujo de trfico
aguas arriba y aguas abajo.
Figura 116 Flujo de trfico aguas arriba y aguas abajo

Radio Ethernet
downstream downstream
Wired
LAN
Radio Access Ethernet
Client
81732
upstream point upstream

device
El flujo aguas abajo de la radio es trfico que se transmite desde el punto

de acceso a un dispositivo cliente inalmbrico. Este trfico es el principal
punto de atencin para QoS en una LAN inalmbrica.

Configuracin de QoS Captulo 17
El flujo aguas abajo de la radio es trfico que se transmite del dispositivo

cliente inalmbrico al punto de acceso. La opcin QoS para redes LAN
inalmbricas no afecta a este trfico.
El flujo Ethernet aguas abajo es el trfico que se enva desde un switch o

un router al puerto Ethernet del punto de acceso. Si la opcin QoS est
habilitada en el switch o router, este puede asignar prioridades y limitar la
velocidad del trfico al punto de acceso.
El flujo Ethernet aguas arriba es el trfico que se enva desde el puerto

Ethernet del punto de acceso a un switch o router en la red LAN por cable.
El punto de acceso no asigna prioridades al trfico que enva a la red LAN
por cable en funcin de la clasificacin del trfico.
Prioridad de los ajustes QoS
Cuando habilite la opcin QoS, el punto de acceso pondr los paquetes en cola en
funcin del valor de la clase de servicio de capa 2 de cada paquete. El punto de
acceso aplicar las polticas QoS en este orden.
Paquetes que ya estn clasificados
Cuando el punto de acceso reciba paquetes procedentes de un router o switch

compatible con QoS que ya haya clasificado los paquetes con valores 802.1Q/P
user_priority distintos de cero, el punto de acceso utilizar esa clasificacin y no
aplicar las normas de la poltica QoS a los paquetes. Una clasificacin existente
tendr prioridad sobre todas las otras polticas en el punto de acceso.
IMPORTANTE Aunque no haya configurado una poltica QoS, el punto de acceso siempre
acepta los paquetes 802.1P etiquetados que recibe a travs de la interface
de radio.
Ajuste QoS Element for Wireless Phones
Si habilita el ajuste QoS Element for Wireless Phones, se crearn clasificadores

de servicios de voz dinmicos para algunos clientes de proveedor de telfonos
inalmbricos. Esto har que el trfico telefnico inalmbrico tenga una prioridad
ms alta que el trfico de otros clientes. De manera adicional, el conjunto de
servicios bsicos QoS (QoS Basic Service Set o QBSS) se habilita para anunciar la
informacin de carga del canal en la baliza y en las tramas de respuesta de sonda.
Algunos telfonos IP utilizan elementos QBSS para determinar a qu punto de
acceso se asociarn en funcin de la carga de trfico.

Configuracin de QoS Los pasos a continuacin describen cmo configurar la opcin de calidad de
servicio (QoS) en su punto de acceso. Esta caracterstica le permitir dar un trato
mediante Stratix 5100 Device preferente a un determinado tipo de trfico en detrimento de otros. Sin QoS, el
Manager punto de acceso ofrece un servicio de mejor esfuerzo a cada paquete, con
independencia de su contenido o tamao.
Normalmente, el funcionamiento de las redes se basa en el principio de entrega de

mejor esfuerzo: es decir, todo el trfico tiene la misma prioridad y probabilidades
de ser entregado con puntualidad. Cuando se produce una congestin, todo el
trfico tiene las mismas probabilidades de perderse.
Si configura QoS en el punto de acceso, podr seleccionar un tipo de trfico de

red concreto, darle prioridad en funcin de su importancia relativa y aplicar
tcnicas de gestin y prevencin de la congestin para darle un trato preferente.
La implementacin de QoS en su red LAN inalmbrica har que el rendimiento
de la red sea ms predecible y el uso del ancho de banda ms eficaz.
Cuando configure QoS, crear polticas de QoS que aplicar a las redes VLAN
configuradas en su punto de acceso. Si no utiliza VLAN en su red, puede aplicar
sus polticas de QoS a los puertos de Ethernet y radio del punto de acceso.
La opcin QoS est inhabilitada de manera predeterminada. Antes de configurar

QoS en su punto de acceso, tenga en cuenta esta informacin:
La pauta ms importante para el despliegue de QoS es conocer el trfico

de la red LAN inalmbrica. Si conoce las aplicaciones que utilizan los
dispositivos cliente inalmbricos, la sensibilidad de las aplicaciones a los
retrasos y la cantidad de trfico asociado a estas, podr configurar QoS para
aumentar el rendimiento.
QoS no crea un ancho de banda adicional para su red LAN inalmbrica;

ayuda a controlar la asignacin del ancho de banda. Si dispone de ancho
de banda abundante en su red LAN inalmbrica, puede que no necesite
configurar QoS.
IMPORTANTE Si utiliza redes VLAN en su red LAN inalmbrica, compruebe que se hayan
configurado las redes VLAN necesarias en su punto de acceso antes de
configurar QoS.

Siga estos pasos para configurar QoS en su punto de acceso.
1. En el men superior, haga clic en Services.

2. En el men Services, haga clic en QoS.
3. Seleccione <NEW> en el campo Create/Edit Policy o seleccione una

poltica existente.
4. Introduzca un nombre para la poltica QoS en el campo Policy Name.
El nombre puede tener un mximo de 25 caracteres alfanumricos. No
incluya espacios en el nombre de la poltica.
Si los paquetes a los que tiene que asignar prioridades contienen
informacin de prioridad de IP en el campo TOS del encabezado IP,
seleccione una clasificacin de prioridad de IP en el men desplegable IP
Precedence. Las opciones del men incluyen:
Routine (0)
Priority 1
Immediate (2)
Flash (3)
Flash Override (4)
Critic/CCP (5)
Internet Control (6)
Network Control (7)

5. En el men desplegable Apply Class of Service, seleccione la clase de

servicio que quiera que aplique el punto de acceso a los paquetes del tipo
seleccionado en el men IP Precedence.
6. El punto de acceso har coincidir su seleccin IP Precedence con su

seleccin de clase de servicio.
Estas son las opciones del men Apply Class of Service:

Best Effort (0)
Background (1)
Spare (2)
Excellent (3)
Control Lead (4)
Video <100 ms Latency (5)
Voice <100 ms Latency (6)
Network Control (7)
7. Haga clic en Add junto al men Class of Service para IP Precedence.
La clasificacin aparecer en el campo Classifications. Para eliminar una
clasificacin, seleccinela y haga clic en Delete junto al campo
Classifications.
Si los paquetes a los que tiene que asignar prioridades contienen
informacin de prioridad de IP DSCP en el campo TOS del encabezado
IP, seleccione una clasificacin IP DSCP en el men desplegable IP DSCP.
Estas son las opciones del men:
Best Effort
Assured Forwarding Class 1 Low
Assured Forwarding Class 1 Medium
Assured Forwarding Class 1 High

Class Selector 1
Class Selector 2
Class Selector 3
Class Selector 4
Class Selector 5
Class Selector 6
Class Selector 7
Expedited Forwarding
8. En el men desplegable Apply Class of Service, seleccione la clase de
servicio que quiera que aplique el punto de acceso a los paquetes del tipo
seleccionado en el men IP DSCP.
El punto de acceso har coincidir su seleccin IP DSCP con su seleccin de
clase de servicio.
9. Haga clic en Add junto al men Class of Service para IP DSCP.
La clasificacin aparecer en el campo Classifications.
Si necesita asignar prioridades a los paquetes procedentes de telfonos
Spectralink (protocolo IP 119) en su red LAN inalmbrica, utilice Apply
Class of Service. Seleccione la clase de servicio que quiera que aplique el
punto de acceso a los paquetes telefnicos Spectralink. El punto de acceso
har coincidir los paquetes telefnicos Spectralink con la clase de servicio
que haya elegido.
10. Haga clic en Add junto al men Class of Service para IP Protocol 119.
Si quiere configurar una clasificacin predeterminada para todos los
paquetes en una VLAN, utilice Apply Class of Service para elegir la clase
de servicio que quiera que aplique el punto de acceso a todos los paquetes
en una VLAN. El punto de acceso har coincidir todos los paquetes con la
clase de servicio que elija.
11. Haga clic en Add junto al men Class of Service para Default classification
for packets on the VLAN.
12. Cuando termine de aadir clasificaciones a la poltica, haga clic en Apply
debajo del men desplegable Apply Class of Service.
Para cancelar la poltica y restablecer el valor predeterminado de todos
los campos, haga clic en Cancel debajo de los mens desplegables Apply
Class of Service.
Para eliminar toda la poltica, haga clic en Delete debajo de los mens
desplegables Apply Class of Service.

13. Utilice los mens desplegables Apply Policies to Interface/VLANs para

aplicar polticas a los puertos Ethernet y de radio del punto de acceso.
Si existen VLAN configuradas en el punto de acceso, se mostrarn los
mens desplegables de los puertos virtuales de cada red VLAN en esta
seccin.
Si no hay ninguna VLAN configurada en el punto de acceso, aparecern
los mens desplegables de cada interface.
14. Haga clic en Apply en la parte inferior de la pgina para aplicar las polticas
a los puertos del punto de acceso.
Si quiere que el punto de acceso d prioridad todos los paquetes de voz con
independencia de la VLAN, haga clic en la pestaa Advanced.
Puede utilizar el comandos Cisco IOS dot11 phone dot11e para habilitar la
compatibilidad con el elemento informativo de la carga QBSS estndar.
Este ejemplo muestra cmo habilitar la compatibilidad telefnica 802.11 IEEE

con el elemento de carga QBSS existente:
AP(config)# dot11 phone
Este ejemplo muestra cmo habilitar la compatibilidad telefnica 802.11 IEEE

con el elemento de carga QBSS estndar (IEEE 802.11e):
AP(config)# dot11 phone dot11e
Este ejemplo muestra cmo detener o inhabilitar la compatibilidad telefnica

802.11 IEEE:
AP(config)# no dot11 phone
15. Polticas que ha creado en el punto de acceso: las polticas QoS que haya
creado y aplicado a las redes VLAN o a las interfaces del punto de acceso
sern las terceras en el orden de prioridad, despus de los paquetes
anteriormente clasificados y el ajuste QoS Element for Wireless Phones.
16. Clasificacin predeterminada de todos los paquetes en la VLAN: si
configura una clasificacin predeterminada para todos los paquetes en una
VLAN, esa poltica ser cuarta en la lista de prioridad.

Modo multimedia wifi
Cuando se habilita QoS, el punto de acceso utiliza el modo multimedia wifi

(WMM) de manera predeterminada. WMM ofrece estas mejoras con respecto al
modo QoS bsico:
El punto de acceso aadir la clase de servicio de cada paquete al

encabezado 802.11 del paquete que vaya a transmitirse a la estacin
receptora.
Cada clase de acceso tiene su propio nmero de secuencia 802.11. El

nmero de secuencia hace posible que un paquete con una prioridad alta
interrumpa las tentativas de un paquete con un prioridad inferior sin
desbordar el bfer de comprobacin de duplicados en el lado de la
recepcin.
La deteccin de reproduccin WPA se lleva a cabo en funcin de cada clase

de acceso en el receptor. Al igual que la numeracin de secuencia 802.11,
la deteccin de reproduccin WPA hace posible que los paquetes con una
prioridad alta interrumpan las tentativas con una prioridad inferior sin
sealar una reproduccin en la estacin receptora.
En el caso de las clases de acceso configuradas para permitir esta posibili-

dad, los transmisores cualificados para transmitir a travs del procedi-
miento de retroceso normal pueden enviar un conjunto de paquetes
pendientes durante la oportunidad de transmisin configurada (un
nmero concreto de microsegundos). El envo de un conjunto de paquetes
pendientes aumenta el rendimiento efectivo porque los paquetes no tienen
que esperar un tiempo de retroceso para obtener acceso; en su lugar, los
paquetes se pueden transmitir de inmediato uno tras otro.
La opcin U-APSD Power Save est habilitada.
El punto de acceso utiliza las mejoras WMM en los paquetes enviados a los
dispositivos cliente compatibles con WMM. El punto de acceso aplica polticas
QoS bsicas a los paquetes enviados a los clientes que no son compatibles con
WMM.
Utilice el comando de configuracin de interface no dot11 qos mode wmm

para inhabilitar WMM mediante la CLI. Para inhabilitar WMM mediante la
interface del navegador web, anule la seleccin de las casillas de las interfaces de
radio en la pgina QoS Advanced.
IGMP Snooping
Cuando el snooping del protocolo de administracin de grupos de internet

(IGMP) est habilitado en un switch y un cliente itinera de un punto de acceso a
otro, se pierde la sesin multidifusin del cliente. Cuando se habilita el asistente
de snooping de IGMP del punto de acceso, este enva una consulta general a la red
LAN inalmbrica, solicitando al cliente que enve un informe de filiacin IGMP.
Cuando la infraestructura de red recibe el informe de filiacin IGMP del
anfitrin, comprueba la entrega del flujo de datos multidifusin de este.

El asistente de snooping de IGMP est habilitado de manera predeterminada.

Para inhabilitarlo, vaya a la pgina QoS Policies Advanced, marque Disable y
haga clic en Apply.
IMPORTANTE Si no existe un router multidifusin para procesar las consultas IGMP y las
respuestas del anfitrin, no puede haber configurado ningn snooping de
IGMP en el punto de acceso. Cuando la opcin IGMP snooping est habilitada,
todo el trfico del grupo multidifusin debe enviar paquetes de respuesta y
consulta IGMP. Si no se detectan los paquetes de respuesta y consulta IGMP,
todo el trfico multidifusin del grupo se perder.
Asignacin de prioridades AVVID
La asignacin de prioridades AVVID asigna los paquetes Ethernet etiquetados

como clase de servicio 5 a clase de servicio 6. Esta opcin habilita el punto de
acceso para que aplique la prioridad correcta a los paquetes de voz para la
compatibilidad con las redes Cisco AVVID.
La asignacin de prioridades AVVID est habilitada de manera predeterminada.

Para inhabilitarla, vaya a la pgina QoS Policies Advanced, seleccione la opcin
No para Map Ethernet Packets with CoS 5 to CoS 6 y haga clic en Apply.
Multimedia wifi (WMM)
A travs de las casillas Admission Control, puede habilitar el modo WMM en la

interface de radio del punto de acceso. Si habilita el control de admisin, los
clientes asociados al punto de acceso debern completar el procedimiento de
control de admisin WMM para poder utilizar esa categora de acceso.
Rate Limiting
La limitacin de velocidad proporciona control del trfico de datos transmitido

o recibido en una interface. La opcin Class-Based Policing desempea estas
funciones:
Limita la velocidad de transmisin de entrada o salida de una clase de

trfico en funcin de criterios definidos por el usuario.
Marca los paquetes configurando el valor de prioridad de IP, el valor de

punto de cdigo de servicios diferenciados (DSCP) IP y el grupo de
calidad de servicio (QoS).
Esto permite limitar la velocidad del trfico aguas arriba desde cada uno de los
puentes no raz hasta el puente raz en caso de configuracin P2MP. Para limitar
la velocidad del trfico aguas abajo, se aplican mapas de clase en el router/switch
del lado raz.
IMPORTANTE La limitacin de velocidad nicamente puede aplicarse al acceso Ethernet.

Ajuste de las categoras de acceso de radio
El punto de acceso utiliza categoras de acceso de radio para calcular los tiempos
de retroceso de cada paquete. Por norma general, los paquetes con alta prioridad
tienen tiempos de retroceso cortos.
Los valores predeterminados en los campos de la pgina Min and Max Conten-
tion y en los campos Slot Time se basan en los ajustes recomendados en el estn-
dar 802.11e IEEE. Si desea informacin detallada sobre estos valores, consulte
dicha norma. El punto de acceso Stratix 5100 viene preconfigurado con valores
optimizados para el trfico de control industrial.
Esta figura muestra la pgina Radio Access Categories. Los puntos de acceso de
doble radio disponen de una pgina Radio Access Categories para cada radio.
Figura 117 Pgina Radio Access Categories
Configuracin de las velocidades nominales
Cuando un punto de acceso recibe una solicitud ADDTS (aadir flujo de trfico)
de un cliente WMM, compara la velocidad nominal o la velocidad PHY mnima
de la solicitud ADDTS con las velocidades nominales definidas por el flujo de
trfico del comando CLI. Si no coinciden, el punto de acceso rechaza la solicitud
ADDTS.
Si elige la opcin Optimized Voice Settings (vase Figura 117 en la pgina 433),
se configurarn estas velocidades nominales:
5.5 Mbps, 6.0 Mbps, 11.0 Mbps, 12.0 Mbps y 24.0 Mbps
IMPORTANTE Las velocidades antes sealadas son adecuadas para los telfonos Cisco.
Puede que los telfonos inalmbricos de terceros tengan una velocidad
nominal distinta o una velocidad PHY mnima. Tendr que habilitar
velocidades nominales adicionales para estos telfonos.

Ajustes de voz optimizados
A travs de las casillas Admission Control, puede controlar el uso de los clientes
de las categoras de acceso. Si habilita el control de admisin para una categora de
acceso, los clientes asociados al punto de acceso debern completar el procedi-
miento de control de admisin WMM para poder utilizar esa categora de acceso.
Configuracin del control de admisin de llamadas
Para configurar el control de admisin de llamadas (Call Admission Control o

CAC) en un punto de acceso deber seguir estos pasos.
1. Configuracin de la radio.
2. Habilitacin del control de admisin en un SSID.
Siga estos pasos para configurar el control de admisin en la radio de un punto de

acceso.
Si desea obtener una lista de comandos de Cisco IOS para la configuracin del
control de admisin mediante la CLI, consulte el documento Cisco IOS
Command Reference for Cisco Aironet Access Points and Bridges Guide
(manual de referencia de los comandos Cisco IOS para los puentes y puntos de
acceso Cisco Aironet).
1. Haga clic en la pgina Access Categories de la radio que quiera configurar.
Figura 117 en la pgina 433 muestra un ejemplo de una pgina Access Categories.
2. Marque Admission Control en Voice (CoS 6-7).
3. Introduzca el porcentaje mximo del canal que se vaya a utilizar para los
servicios de voz en el campo Max Channel Capacity (%).
4. Introduzca el porcentaje mximo del canal que se vaya a utilizar para las
llamadas de itinerancia en el campo Roam Channel Capacity (%).
El porcentaje del canal utilizado por las llamadas de itinerancia hasta el valor
especificado en este campo se restar del valor especificado en el campo Max
Channel Capacity (%).
Por ejemplo, imagine que ha introducido 75% en el campo Max Channel

Capacity (%) y 6% en el campo Roam Channel Capacity (%). Si las llamadas de
itinerancia estn utilizando el 5% del canal, se emplear un mximo del 70% del
canal para los servicios de voz.
5. Para utilizar la categora de acceso de vdeo (AC = 2) para la sealizacin,
marque Admission Control en Video (CoS 4-5).
IMPORTANTE Los ajustes de control de admisin que haya configurado no tendrn efecto
hasta que habilite el control de admisin en un SSID.

Habilitacin del control de admisin
Siga estos pasos para habilitar el control de admisin en un SSID.
1. Abra la pgina SSID Manager.

2. Seleccione un SSID.
3. En General Settings, seleccione Enable en el campo Call Admission
Control.
Resolucin de problemas del control de admisin
Puede utilizar dos comandos CLI para ver informacin que le ayudar a resolver
los problemas del control de admisin:
Para ver los ajustes del control de admisin actuales en la radio 0,
introduzca este comando:
# show dot11 cac int dot11Radio 0
Para ver los ajustes del control de admisin actuales en la radio 1,

introduzca este comando:
# show dot11 cac int dot11Radio 1
Para ver informacin sobre los flujos admitidos con el control de admisin
y MT, introduzca este comando:
# show dot11 traffic-streams

Notas:

Captulo 18
Configuracin de filtros
Este captulo describe cmo configurar y gestionar filtros de direccin MAC, IP y

Ethertype en el punto de acceso utilizando la interface del navegador web.
Tema Pgina
Filtros 437
Configuracin de filtros con comandos CLI 438
Configuracin de filtros mediante Stratix 5100 Device Manager 440
Filtros Los filtros de protocolo (protocolo IP, puerto IP y Ethertype) impiden o permi-
ten el uso de protocolos concretos a travs de los puertos Ethernet y de radio del
punto de acceso. Puede configurar filtros de protocolo por separado o conjuntos
de filtros. Puede filtrar protocolos para dispositivos cliente inalmbricos, usuarios
de la LAN por cable o ambos. Por ejemplo, un filtro SNMP en el puerto de radio
del punto de acceso impedir que los dispositivos cliente inalmbricos utilicen
SNMP con el punto de acceso pero no bloquear el acceso SNMP desde la LAN
por cable.
Los filtros de direccin IP y direccin MAC permiten o impiden la transmisin

de paquetes unidifusin o multidifusin enviados desde direcciones IP o MAC
concretas o dirigidos a estas. Puede crear un filtro que transmita trfico a todas
las direcciones MAC, a excepcin de las que especifique, o puede crear un filtro
que bloquee el trfico a todas las direcciones MAC, a excepcin de las que
especifique.
Puede configurar filtros mediante la interface del navegador web o introduciendo

comandos en la CLI.
SUGERENCIA Puede incluir filtros en las polticas QoS del punto de acceso. Consulte
Configuracin de QoS en la pgina 423 si desea obtener instrucciones
detalladas sobre la configuracin de polticas QoS.
A travs de la CLI puede configurar hasta 2,048 direcciones MAC para los filtros.
No obstante, a travs de la interface del navegador web, puede configurar
nicamente un mximo de 43 direcciones MAC para los filtros.

Captulo 18 Configuracin de filtros
Configuracin de filtros con Para configurar filtros con comandos CLI, utilice listas de control de acceso
(ACL) y grupos de puentes.
comandos CLI
IMPORTANTE Evite el uso de las interfaces de la CLI y el navegador web para configurar el
dispositivo inalmbrico. Si configura el dispositivo inalmbrico mediante la
CLI, puede que la interface del navegador web muestre una interpretacin
imprecisa de la configuracin. No obstante, la imprecisin no significa
necesariamente que el dispositivo inalmbrico est mal configurado. Por
ejemplo, si configura una ACL mediante la CLI, puede que la interface del
navegador web muestre este mensaje:
Filter 700 was configured on interface Dot11Radio0 by using CLI
commands. It must be cleared via CLI for proper operation of the web
interface.
Si ve este mensaje, utilice la CLI para eliminar las ACL y utilice la interface del
navegador web para reconfigurarlas.
Cree una ACL basada en el tiempo
Las ACL basadas en el tiempo son listas que se pueden habilitar o inhabilitar
durante un periodo de tiempo concreto. Esta funcin proporciona robustez y
flexibilidad para definir polticas de control de acceso que permitan o denieguen
determinados tipos de trfico.
Este ejemplo muestra cmo configurar a travs de la CLI una ACL basada en el
tiempo en la que la conexin Telnet se permite de dentro hacia fuera de la red, de
lunes a viernes durante el horario de trabajo:
IMPORTANTE Puede definir una ACL basada en el tiempo en el puerto Gigabit Ethernet o en
el puerto de radio del punto de acceso Stratix 5100, en funcin de sus
requisitos. Nunca se aplica a la interface virtual del grupo de puentes (BVI).
Siga estos pasos para crear una ACL basada en el tiempo.
1. Inicie sesin en el punto de acceso a travs de la CLI.

2. Utilice el puerto de la consola o Telnet para obtener acceso a la ACL a
travs de la interface Ethernet o la interface inalmbrica.
4. Cree un intervalo de tiempo. Para este ejemplo, prueba (Test):
AP<config>#time-range Test
5. Cree un intervalo de tiempo:
AP<config>#time-range periodic weekdays 7:00 to
19:00
Los usuarios obtendrn acceso de lunes a viernes, de 7:00 a 19:00 horas.

6. Cree una ACL. Para este ejemplo, 101:
AP<config># ip access-list extended 101

Configuracin de filtros Captulo 18
AP<config-ext-nacl>#permit tcp 10.1.1.0 0.0.0.255

172.16.1.0 0.0.0.255 eq telnet time-range Test
IMPORTANTE Esta ACL permite el trfico Telnet que llega a la red y sale de esta durante la
prueba de intervalo de tiempo especificada. Tambin permite una sesin
Telnet en el punto de acceso de lunes a viernes.
7. Aplique la ACL basada en el tiempo a la interface Ethernet:

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
Registro de ACL
El registro de ACL es compatible con las interfaces de conexin en puente de las

plataformas de punto de acceso. Cuando se aplica en una interface de conexin en
puente, funciona como si estuviera configurado sin la opcin de registro y este no
se hace efectivo. No obstante, el registro ACL funciona bien para la interfaces
BVI siempre que se utilice una ACL distinta para ellas.
Ejemplo de configuracin en la CLI
enumerados en Bloqueo o autorizacin de la asociacin del cliente al punto de
acceso mediante las ACL de direcciones MAC en la pgina 444.
AP(config)# dot11 association access-list 777
AP(config)# end
En este ejemplo, solo los dispositivos cliente con direcciones MAC enumeradas
en la lista de acceso 777 pueden asociarse al punto de acceso. El punto de acceso
bloquear las asociaciones procedentes del resto de las direcciones MAC.


Configuracin de filtros Esta seccin describe cmo configurar y gestionar filtros de direccin MAC,
IP y Ethertype en el punto de acceso utilizando la interface del navegador web
mediante Stratix 5100 Stratix 5100 Device Manager.
Device Manager
Complete estos dos pasos para configurar y habilitar un filtro.
1. Asigne un nombre al filtro y configrelo a travs de las pginas de

configuracin de filtros.
2. Habilite el filtro.
Si desea obtener instrucciones detalladas, consulte estas secciones:

Configuracin y habilitacin de filtros de direccin MAC en la pgina 441
Configuracin y habilitacin de filtros IP en la pgina 446
Configuracin y habilitacin de filtros Ethertype en la pgina 452

Configuracin y habilitacin de filtros de direccin MAC
Los filtros de direccin MAC permiten o impiden la transmisin de paquetes

unidifusin y multidifusin dirigidos a direcciones MAC concretas. Puede crear
un filtro que transmita trfico a todas las direcciones MAC excepto a aquellas que
especifique o puede crear un filtro que bloquee el trfico a todas las direcciones
MAC, excepto a las que especifique. Puede aplicar los filtros que cree al puerto
Ethernet, al puerto de radio o a ambos, y a los paquetes entrantes, los paquetes
salientes o a ambos.
IMPORTANTE Los comandos CLI le permiten configurar direcciones MAC con fines de
filtrado, pero dada una limitacin de NVRAM, necesitar FTP o TFTP para
ms de 600 filtros MAC. No obstante, a travs de la interface del navegador
web, puede configurar nicamente un mximo de 43 direcciones MAC para
los filtros.
IMPORTANTE Los filtros de direccin MAC son potentes y puede que se impida a s mismo
obtener acceso al punto de acceso si comete un error al configurarlos. Si
accidentalmente bloquea su acceso al punto de acceso, utilice la CLI para
inhabilitar los filtros.
Utilice la pgina MAC Address Filters para crear filtros de direccin MAC para
el punto de acceso. Siga estos pasos para crear un filtro de direccin MAC.
1. En el men de navegacin superior, haga clic en Services.
2. En el men Services, haga clic en Filters para ir a la pgina Services:

Filters Apply Filters.

3. En la pgina Apply Filters, haga clic en la pestaa MAC Address Filters en

la parte superior.
Si est creando un nuevo filtro de direccin MAC, compruebe que <NEW>, el

valor predeterminado, est seleccionado en el men Create/Edit Filter Index.
Para editar un filtro, seleccione su nmero en el men Create/Edit Filter Index.

4. En el campo Filter Index, asigne un nmero al filtro entre 700 y 799.
El nmero que asigne crear una lista de control de acceso (ACL) para el filtro.
5. Introduzca una direccin MAC en el campo Add MAC Address.
Introduzca la direccin con los tres grupos de cuatro caracteres separados

por puntos; por ejemplo, 0040.9612.3456.
SUGERENCIA Si planea bloquear el trfico hacia todas las direcciones MAC, excepto a
aquellas que configure como permitidas, incluya su propia direccin MAC en
la lista de direcciones MAC permitidas.

6. Utilice el campo de entrada Mask para especificar el nmero de bits, de

izquierda a derecha, que el filtro comprobar en la direccin MAC.
Por ejemplo, para exigir una coincidencia exacta con la direccin MAC
(para comprobar todos los bits), introduzca FFFF.FFFF.FFFF. Para
comprobar solo los primeros 4 bytes, introduzca FFFF.FFFF.0000.
7. En el men desplegable Action, elija entre Forward o Block.
8. Haga clic en Add.
La direccin MAC aparece en el campo Filters Classes.
Para eliminar la direccin MAC de la lista de clases de filtros, seleccinela y

haga clic en Delete Class.
9. Repita del paso 5 al paso 8 para aadir direcciones al filtro.
10. En el men desplegable Default Action, elija entre Forward All o
Block All.
La accin predeterminada del filtro debe ser contraria a la accin de al

menos una de las direcciones de este.
Por ejemplo, si introduce varias direcciones y selecciona Block como

accin para todas ellas, deber elegir Forward All como accin predeter-
minada del filtro.


El filtro se guardar en el punto de acceso, pero no se habilitar hasta que lo
aplique en la pgina Apply Filters.
12. Vuelva a la pgina Apply Filters.
13. En los mens desplegables MAC, seleccione el nmero de filtro.
Puede aplicar el filtro a cualquiera de los puertos de radio y Ethernet o a

ambos, y a los paquetes entrantes o salientes o a ambos.
El filtro se habilitar en los puertos seleccionados.
Si los clientes no se filtran de inmediato, haga clic en Reload en la pgina System

Configuration para reiniciar el punto de acceso. Para ir a la pgina System
Configuration, haga clic en System Software en el men de tareas y haga clic en
System Configuration.
IMPORTANTE Los dispositivos cliente con direcciones MAC bloqueadas no podrn enviar ni
recibir datos a travs del punto de acceso, pero podrn permanecer en la tabla
de asociacin como dispositivos cliente sin autenticar. Los dispositivos cliente
con direcciones MAC bloqueadas desaparecern de la tabla de asociacin
cuando el punto de acceso deje de supervisarlos, cuando el punto de acceso se
reinicie o cuando los clientes se asocien a otro punto de acceso.
Bloqueo o autorizacin de la asociacin del cliente al punto de acceso mediante las ACL de
direcciones MAC
Puede utilizar ACL de direcciones MAC para bloquear o permitir la asociacin

con el punto de acceso. En lugar de filtrar el trfico en una interface, utilice la
ACL para filtrar asociaciones a la radio del punto de acceso.
Siga estos pasos para utilizar una ACL para filtrar asociaciones a la radio del
punto de acceso.
1. Siga los pasos del 1 al 10 en Configuracin y habilitacin de filtros de

direccin MAC en la pgina 441 para crear una ACL.
En el caso de las direcciones MAC cuya asociacin quiera permitir, elija
Forward en el men Action. Seleccione Block para las direcciones cuya
asociacin quiera evitar. Seleccione Block All en el men Default Action.
2. En el men principal, haga clic en Security.
Esta figura muestra la pgina Security Summary.

Figura 118 Pgina Security Summary
3. Haga clic en Advanced Security.
Figura 119 Pgina Advanced Security: MAC Address Authentication
4. Haga clic en la pestaa Association Access List.

Figura 120 Pgina Association Access List
5. Seleccione su ACL de direcciones MAC en el men desplegable.

Configuracin y habilitacin de filtros IP
Los filtros IP (direccin IP, protocolo IP y puerto IP) impiden o permiten el uso
de protocolos especficos a travs de los puertos Ethernet y de radio del punto de
acceso. Los filtros de direccin IP impiden o permiten el direccionamiento de
paquetes unidifusin y multidifusin enviados desde direcciones IP especficas o
dirigidos a estas.
Puede crear un filtro que transmita trfico a todas las direcciones MAC, a
excepcin de las que especifique, o puede crear un filtro que bloquee el trfico a
todas las direcciones MAC, a excepcin de las que especifique. Puede crear filtros
que contengan elementos de uno, dos o los tres mtodos de filtrado IP. Puede
aplicar los filtros que cree al puerto Ethernet, al puerto de radio o a ambos, y a los
paquetes entrantes, los paquetes salientes o a ambos.
Utilice la pgina IP Filters para crear filtros IP para el punto de acceso.
1. En el men principal, haga clic en Services.

2. En la lista de la pgina Services, haga clic en Filters.
3. En la pgina Apply Filters, haga clic en la pestaa IP Filters.

Figura 121 Pgina IP Filters

Creacin de un filtro IP
Siga estos pasos para crear un filtro IP.
1. Si est creando un nuevo filtro, compruebe que <NEW>, el valor

predeterminado, est seleccionado en el men Create/Edit Filter Name.
Para editar un filtro existente, seleccione su nombre.
2. Introduzca un nombre descriptivo para el nuevo filtro en el campo

Filter Name.
Block All.

menos una de las direcciones de este. Por ejemplo, si crea un filtro que
contiene una direccin IP, un protocolo IP y un puerto IP y selecciona
Block como accin para todos ellos, deber elegir Forward All como accin
predeterminada del filtro.
4. Para filtrar una direccin IP, introduzca una direccin en el campo IP
Address.
IMPORTANTE Si planea bloquear el trfico hacia todas las direcciones IP, excepto a aquellas
que configure como permitidas, incluya la direccin de su ordenador en la
lista de direcciones permitidas para no perder la conectividad con el punto de
acceso.

5. Introduzca la mscara de la direccin IP en el campo Mask.
Introduzca la mscara con los grupos de caracteres separados por puntos;

por ejemplo, 112.334.556.778.
Si introduce 255.255.255.255 como mscara, el punto de acceso aceptar
cualquier direccin IP. Si introduce 0.0.0.0, el punto de acceso buscar una
coincidencia exacta con la direccin IP que haya introducido en el campo
IP Address. La mscara que introduzca en este campo se comportar del
mismo modo que lo hara si la introdujese en la CLI.
6. En el men Action, seleccione Forward o Block.

La direccin aparecer en el campo Filters Classes. Para eliminar la
direccin de la lista Filters Classes, seleccinela y haga clic en Delete Class.
Si no necesita aadir un protocolo IP o un puerto IP al filtro, vaya

directamente al paso 15 para guardar el filtro en el punto de acceso.
8. Para filtrar un protocolo IP, seleccione uno de los protocolos comunes del
men desplegable IP Protocol o seleccione el botn Custom e introduzca
el nmero de una ACL existente en el campo Custom.
Introduzca un nmero de ACL entre 0 y 255. Consulte Filtros de

protocolos en la pgina 525 si desea ver una lista de los protocolos IP y
de sus identificadores numricos.


El protocolo aparecer en el campo Filters Classes.
Para eliminar el protocolo de la lista Filters Classes, seleccinelo y haga clic

en Delete Class.
Si no necesita aadir un puerto IP al filtro, vaya directamente al paso 15
para guardar el filtro en el punto de acceso.
11. Para filtrar un protocolo de puerto TCP o UDP, seleccione uno de los
protocolos de puerto comunes de los mens desplegables TCP Port o
UDP Port, o seleccione el botn Custom e introduzca el nmero de un
protocolo existente en uno de los campos Custom.
12. Introduzca un nmero de protocolo entre 0 y 65535.


El protocolo aparecer en el campo Filters Classes.
Para eliminar el protocolo de la lista Filters Classes, seleccinelo y haga clic

en Delete Class.
15. Una vez completado el filtro, haga clic en Apply.
16. Haga clic en la pestaa Apply Filters para volver a la pgina Apply Filters.
Figura 122 en la pgina 451 muestra la pgina Apply Filters.
Figura 122 Pgina Apply Filters
17. En uno de los mens desplegables IP, seleccione el nombre del filtro.

Configuracin y habilitacin de filtros Ethertype
Los filtros Ethertype impiden o permiten el uso de protocolos especficos a travs

de los puertos Ethernet y de la radio del punto de acceso. Puede aplicar los filtros
que cree al puerto Ethernet, al puerto de radio o a ambos, y a los paquetes
entrantes, los paquetes salientes o a ambos.
Utilice la pgina Ethertype Filters para crear filtros Ethertype para el punto de
acceso. Esta figura muestra la pgina Ethertype Filters.
Figura 123 Pgina Ethertype Filters
Siga estos pasos para ir a la pgina Ethertype Filters.
1. En el men principal, haga clic en Services.

2. En la lista de la pgina Services, haga clic en Filters.
3. En la pgina Apply Filters, haga clic en la pestaa Ethertype Filters.
Creacin de un filtro Ethertype
Siga estos pasos para crear un filtro Ethertype:
1. Siga la ruta del enlace hasta la pgina Ethertype Filters.

2. Si est creando un nuevo filtro, compruebe que <NEW>, el valor
predeterminado, est seleccionado en el men Create/Edit Filter Index.
Para editar un filtro existente, seleccione su nmero en el men Create/
Edit Filter Index.

3. En el campo Filter Index, asigne un nmero al filtro entre 200 y 299.

El nmero que asigne crear una lista de control de acceso (ACL) para el
filtro.
4. Introduzca un nmero Ethertype en el campo Add Ethertype.
Consulte Filtros de protocolos en la pgina 525 si desea ver una lista de los
protocolos y de sus identificadores numricos.
5. Introduzca la mscara de Ethertype en el campo Mask.
Si introduce 0, la mscara requerir una coincidencia exacta de Ethertype.
Ethertype aparecer en el campo Filters Classes. Para eliminar Ethertype de
la lista Filters Classes, seleccinelo y haga clic en Delete Class. Repita del
paso 4 al paso 7 para aadir Ethertypes al filtro.
Block All.
menos uno de los Ethertypes de este. Por ejemplo, si introduce varios
Ethertypes y selecciona Block como accin para todas ellos, deber elegir
Forward All como accin predeterminada del filtro.
10. Haga clic en la pestaa Apply Filters para volver a la pgina Apply Filters.
11. En uno de los mens desplegables Ethertype, seleccione el nmero de
filtro.

Notas:

Captulo 19
Configuracin del CDP
Este captulo explica cmo configurar el protocolo de descubrimiento de Cisco

(CDP) en su punto de acceso. Si no va a utilizar el CDP, le recomendamos que
desactive esta opcin.
IMPORTANTE Si desea informacin completa sobre la sintaxis y el uso de los comandos

utilizados en este captulo, consulte estas publicaciones:
Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges
(referencia de los comandos Cisco IOS para los puentes y puntos de acceso
Cisco Aironet)
Cisco IOS Configuration Fundamentals Command Reference for Release
12.2 (referencia de los comandos bsicos de configuracin de Cisco IOS
para la versin 12.2)
Si desea obtener informacin sobre cmo configurar el CDP en Device Manager,

consulte Pgina CDP en la pgina 136.
Tema Pgina
CDP 455
Configuracin del CDP 456
Supervisin y mantenimiento del CDP 459
Configuracin predeterminada del CDP 456
Configuracin de las caractersticas del CDP 456
Inhabilitacin y habilitacin del CDP 457
Inhabilitacin y habilitacin del CDP en una interface 458
CDP El protocolo de descubrimiento de Cisco (CDP) es un protocolo de deteccin de

dispositivos que se ejecuta en todos los equipos de la red Cisco. Cada dispositivo
enva mensajes de identificacin a una direccin multidifusin y cada dispositivo
supervisa los mensajes enviados por los otros dispositivos. La informacin de los
paquetes CDP se utiliza en el software de gestin de la red.
El CDP est habilitado en el puerto Ethernet del punto de acceso de manera

predeterminada. No obstante, el CDP nicamente se habilita en el puerto de la
radio del punto de acceso cuando esta est asociada a otro dispositivo de la
infraestructura inalmbrica, como un punto de acceso o un puente. El CDP se
enva en el nmero de VLAN ms bajo configurado en el punto de acceso. Si
utiliza ms de una VLAN en una red inalmbrica, le recomendamos utilizar el
nmero de VLAN ms bajo configurado como VLAN nativa.
IMPORTANTE Para obtener el mejor rendimiento posible en su LAN inalmbrica, inhabilite

el CDP en todas las interfaces de radio y en las subinterfaces si las VLAN estn
habilitadas en el punto de acceso.

Captulo 19 Configuracin del CDP
Configuracin del CDP Esta seccin explica la informacin y los procedimientos de configuracin del
CDP:
Configuracin predeterminada del CDP
Esta tabla enumera los ajustes predeterminados del CDP.

Tabla 109 Configuracin del CDP predeterminada
Estado global del CDP Enabled
Estado de la interface del CDP Enabled
Tiempo de retencin del CDP 180
(tiempo de retencin del paquete en segundos)
Temporizador del CDP 60
(paquetes enviados cada x segundos)
Configuracin de las caractersticas del CDP
Puede configurar el tiempo de retencin del CDP (nmero de segundos que

transcurrirn antes de que el punto de acceso descarte los paquetes CDP) y el
temporizador CDP (nmero de segundos que transcurrirn entre el envo de cada
paquete CDP por parte del punto de acceso).
En el modo EXEC con privilegios, siga estos pasos para configurar el tiempo de
retencin y el temporizador del CDP.

configure terminal
2. (Opcional) Especifique el tiempo que quiera que conserve un receptor la
informacin enviada por el dispositivo antes de descartarla.
El intervalo admitido comprende entre 10 y 255 s; el valor predeterminado
es 180 s.
cdp holdtime seconds
3. (Opcional) Configure la frecuencia de transmisin de las actualizaciones
del CDP en segundos.
El intervalo admitido comprende entre 5 y 254 s; el valor predeterminado
es 60 s.
cdp timer seconds
end
Utilice la forma no de los comandos CDP para volver a los ajustes

predeterminados.

Configuracin del CDP Captulo 19
Este ejemplo muestra cmo configurar y verificar las caractersticas del CDP:
AP(config)# cdp holdtime 120
AP(config)# cdp timer 50
AP(config)# end
AP# show cdp
Global CDP information:

Sending a holdtime value of 120 seconds
Sending CDP packets every 50 seconds
Si desea conocer ms comandos show del CDP, consulte Supervisin y

mantenimiento del CDP en la pgina 459.
Inhabilitacin y habilitacin del CDP

El CDP est habilitado de manera predeterminada. En el modo EXEC con
privilegios, siga estos pasos para inhabilitar la funcin de deteccin de
dispositivos del CDP.

configure terminal
2. Inhabilite el CDP.
no cdp run
end
Desde el modo EXEC con privilegios, siga estos pasos para habilitar el CDP:

configure terminal
2. Obtenga acceso al CDP tras inhabilitarlo.
cdp run
end
Este ejemplo muestra cmo inhabilitar el CDP.
AP(config)# cdp run
AP(config)# end

Inhabilitacin y habilitacin del CDP en una interface
El CDP est habilitado de manera predeterminada en todas las interfaces

compatibles para el envo y recepcin de informacin CDP.
En el modo EXEC con privilegios, siga estos pasos para inhabilitar el CDP en
una interface.

configure terminal
2. Obtenga acceso al modo de configuracin de interface y vaya a la interface
en la que est inhabilitando el CDP.
3. Inhabilitacin del CDP en una interface.
no cdp enable
end
En el modo EXEC con privilegios, siga estos pasos para habilitar el CDP en una
interface:

configure terminal
2. Obtenga acceso al modo de configuracin de interface y vaya a la interface
en la que est habilitando el CDP.
3. Habilite el CDP en una interface despus de haberlo inhabilitado.
cdp enable
end
Este ejemplo muestra cmo habilitar el CDP en una interface.

AP(config)# interface x
AP(config-if)# cdp enable
AP(config-if)# end

Configuracin del CDP Captulo 19
Supervisin y Para supervisar y mantener el CDP en su dispositivo, lleve a cabo una o varias de
estas tareas desde el modo EXEC con privilegios.
mantenimiento del CDP
Comando Descripcin
clear cdp counters Pone los contadores de trfico a cero.
clear cdp table Elimina la tabla de informacin sobre los vecinos del CDP.
show cdp Muestra informacin global, como la frecuencia de las transmisiones y el tiempo de retencin de
los paquetes enviados.
show cdp entry entry-name Muestra informacin sobre un vecino concreto.
[protocol | version] Puede introducir un asterisco (*) para ver todos los vecinos CDP o puede introducir el nombre del
vecino para obtener la informacin.
Tambin puede limitar la visualizacin a la informacin sobre los protocolos habilitados en el
vecino especificado o informacin sobre la versin del software que se est ejecutando en el
dispositivo.
show cdp interface [type number] Muestra informacin sobre las interfaces en las que el CDP est habilitado.
Puede limitar la visualizacin al tipo de interface o al nmero de la interface para obtener la
informacin; por ejemplo, si introduce gigabitethernet 0/1, nicamente
aparecer la informacin sobre el puerto Gigabit Ethernet 1.
show cdp neighbors [type number] [detail] Muestra informacin sobre los vecinos, incluido el tipo de dispositivo, el nmero y tipo de
interface, los ajustes del tiempo de retencin, las funciones, la plataforma y el identificador del
puerto.
Puede limitar la visualizacin a los vecinos en un tipo o nmero de interface especfico o ampliar
la visualizacin para proporcionar informacin ms detallada.
show cdp traffic Muestra los contadores CDP, incluido el nmero de paquetes enviados y recibidos y los errores de
suma de comprobacin.

Notas:

Captulo 20
Configuracin de SNMP
Este captulo describe cmo configurar el protocolo simple de administracin de

redes (Simple Network Management Protocol o SNMP) en el punto de acceso.
Si desea informacin completa sobre la sintaxis y el uso de los comandos

utilizados en este captulo, consulte estas publicaciones:
Cisco IOS Command Reference for Cisco Aironet Access Points and
Bridges (documento de referencia de los comandos Cisco IOS para los
puentes y puntos de acceso Cisco Aironet)
Cisco IOS Configuration Fundamentals Command Reference for Release
12.3 (documento de referencia de los comandos bsicos de configuracin
de Cisco IOS para la versin 12.2).
Tema Pgina
SNMP 461
Configuracin de SNMP 465
Visualizacin del estado SNMP 473
SNMP SNMP es un protocolo de capa de aplicaciones que proporciona un formato de

mensaje para la comunicacin entre los administradores y agentes SNMP. El
administrador SNMP puede formar parte de un sistema de administracin de red
(NMS). El agente y la base de informacin de administracin (MIB) residen en el
punto de acceso. Para configurar el SNMP en el punto de acceso, debe definir la
relacin entre el administrador y el agente.
El agente SNMP contiene variables MIB cuyos valores puede solicitar o

modificar el administrador SNMP. Un administrador puede obtener un valor de
un agente o almacenarlo en este. El agente recopila datos de la MIB, el repositorio
de informacin sobre los datos de red y los parmetros del dispositivo. El agente
tambin puede responder a las solicitudes de un administrador para obtener o
configurar datos.
Un agente puede enviar interrupciones no solicitadas al administrador. Las

interrupciones son mensajes que alertan al administrador SNMP de una
situacin en la red. Las interrupciones pueden indicar una autenticacin del
usuario inadecuada, reinicios, estado de la conexin (activa o inactiva),
seguimiento de una direccin MAC, cierre de una conexin TCP, prdida de
la conexin con un vecino u otros eventos importantes.

Captulo 20 Configuracin de SNMP
Versiones SNMP
Esta versin de software admite estas versiones SNMP:
SNMPv1: el protocolo simple de administracin de redes, un estndar de

internet completo, segn la definicin del RFC 1157.
SNMPv2C cuenta con estas caractersticas:
SNMPv2: versin 2 del protocolo simple de administracin de redes,

un borrador de estndar de internet, segn la definicin de los RFC
1902 a 1907.
SNMPv2C: marco administrativo basado en la comunidad para
SNMPv2, un protocolo de internet experimental segn la definicin
del RFC 1901.
SNMPv3 cuenta con estas caractersticas:
Compatibilidad con los protocolos de autenticacin SHA y MD5 y

cifrado DES56.
Tres niveles de seguridad: sin autenticacin y sin privacidad
(NoAuthNoPriv), autenticacin y sin privacidad (AuthNoPriv), y
autenticacin y privacidad (AuthPriv).
SNMPv3 es compatible con los ms altos niveles de seguridad de la comunicacin

SNMP. Las cadenas de comunidad para SNMPv1 y SNMPv2 se almacenan y
transfieren como texto claro sin cifrado. En el modelo de seguridad SNMPv3, los
usuarios SNMP se autentican y se unen a un grupo de usuarios. El acceso a los
datos del sistema se restringe en funcin del grupo.
Deber configurar el agente SNMP para que utilice la versin de SNMP

compatible con la estacin de administracin. Un agente puede comunicarse
con mltiples administradores; por lo tanto, puede configurar el software para
que admita la comunicacin con una estacin de administracin a travs del
protocolo SNMPv3 y con otra a travs del protocolo SNMPv2 o SNMPv1.
Esta tabla enumera las versiones SNMP y niveles de seguridad compatibles con el
punto de acceso:
Tabla 110 Versiones SNMP y niveles de seguridad
Versin SNMP Nivel de seguridad Autenticacin Encryption
v1 NoAuthNoPriv Coincidencia cadena de comunidad Ninguna
v2C NoAuthNoPriv Coincidencia cadena de comunidad Ninguna
v3 NoAuthNoPriv Coincidencia nombre de usuario Ninguna
v3 AuthNoPriv Algoritmos HMAC-MD5 o HMAC-SHA Ninguna
v3 AuthPriv Algoritmos HMAC-MD5 o HMAC-SHA Cifrado de 56 bits DES
Si desea informacin detallada sobre SNMPv3, consulte la publicacin

Configuring Simple Network Management Protocol (configuracin del
protocolo simple de administracin de redes).

Configuracin de SNMP Captulo 20
Funciones de administrador SNMP
El administrador SNMP utiliza informacin de la MIB para llevar a cabo las

operaciones que se describen en esta tabla.
Tabla 111 Operaciones SNMP
Operacin Descripcin
get-request Recupera un valor de una variable concreta.
get-next-request
Recupera un valor de una variable dentro de una tabla.(2)
get-bulk-request(1) Recupera grandes bloques de datos en casos en los que, de lo contrario, necesitara la
transmisin de muchos bloques de datos pequeos, como mltiples filas en una tabla.
get-response Responde a una operacin get-request, get-next-request y set-request enviada por un
NMS.
set-request Almacena un valor en una variable concreta.
trap Mensaje no solicitado enviado por un agente SNMP a un administrador SNMP cuando
se ha producido algn evento.
(1) El comando get-bulk funciona nicamente con SNMPv2.
(2) Con esta operacin, un administrador SNMP no necesita conocer el nombre exacto de la variable. Se lleva a cabo una bsqueda
secuencial para encontrar la variable necesaria dentro de una tabla.
Funciones de agente SNMP
El agente SNMP responde a las solicitudes del administrador SNMP de este

modo:
Obtener una variable MIB: el agente SNMP inicia esta funcin como
respuesta a una solicitud del NMS. El agente recupera el valor de la variable
MIB solicitada y responde al NMS con dicho valor.
Configurar una variable MIB: el agente SNMP inicia esta funcin como
respuesta a un mensaje del NMS. El agente SNMP cambia el valor de la
variable MIB por el valor solicitado por el NMS.
El agente SNMP tambin enva mensajes de interrupcin no solicitados para

notificar a un NMS que se ha producido un evento importante en el agente.
Los ejemplos de situaciones de interrupcin incluyen, entre otros, el hecho de que
un puerto o mdulo se active o desactive, cambios en la topologa del rbol de
expansin y fallos de autenticacin.

Cadenas de comunidad SNMP
Las cadenas de comunidad SNMP autentican el acceso a los objetos MIB y

funcionan como contraseas integradas. Para que el NMS pueda obtener acceso
al punto de acceso, las definiciones de cadena de comunidad en el NMS deben
coincidir con al menos una de las tres definiciones de cadena de comunidad del
punto de acceso.
Una cadena de comunidad puede tener uno de estos atributos:
Solo lectura: proporciona a las estaciones de administracin autorizadas

acceso para lectura a todos los objetos de la MIB, excepto las cadenas de
comunidad, aunque no permite la escritura
Lectura/escritura: proporciona a las estaciones de administracin

autorizadas acceso para lectura y escritura a todos los objetos de la MIB,
excepto las cadenas de comunidad
Acceso a las variables MIB mediante el uso de SNMP
Un software de administracin de red (Network Management Software o NMS)

utiliza la variables MIB del punto de acceso para configurar variables del disposi-
tivo y sondear los dispositivos de la red en busca de informacin especfica. Los
resultados de un sondeo se pueden ver en forma de grfico y analizarse con el fin
de resolver problemas de funcionamiento de internet, aumentar el rendimiento
de la red, comprobar la configuracin de los dispositivos, supervisar las cargas de
trfico, etc.
Como se muestra a continuacin, el agente SNMP recopila datos de la MIB. El

agente puede enviar interrupciones (notificacin de determinados eventos) al
administrador SNMP, quien recibir y procesar las interrupciones. Las interrup-
ciones son mensajes que alertan al administrador SNMP de una situacin en la
red, como una autenticacin de usuario indebida, reinicios, estado de conexin
(activa o inactiva), seguimiento de una direccin MAC, etc. El agente SNMP
tambin responde a las consultas relativas a la MIB que enva el administrador
SNMP con formato get-request, get-next-request y set-request.
Figura 124 Red SNMP
NMS get-request, get-next-request, Network device

get-bulk, set-request
81949
get-response, traps MIB

SNMP manager SNMP agent
Si desea informacin sobre las MIB compatibles y el modo de obtener acceso a

ellas, consulte MIB compatibles en la pgina 531.

Configuracin de SNMP Esta seccin describe cmo configurar SNMP en su punto de acceso.
Configuracin SNMP predeterminada
Esta tabla muestra la configuracin SNMP predeterminada.

Agente SNMP Inhabilitado
Cadenas de comunidad SNMP No hay ninguna cadena configurada de manera predeterminada. No
obstante, cuando se habilita SNMP a travs de la interface del navegador
web, el punto de acceso crea automticamente la comunidad public con
acceso de solo lectura a la MIB IEEE802dot11.
Receptor de interrupciones SNMP None configured
Interrupciones SNMP Ninguno habilitado
Habilitacin del agente SNMP
No existe ningn comando CLI especfico para habilitar SNMP. El primer

comando de configuracin global snmp-server que introduzca habilitar las
versiones de SNMP compatibles.
Tambin puede habilitar SNMP en la pgina SNMP Properties de la interface del

navegador web. Cuando se habilita SNMP a travs de la interface del navegador
web, el punto de acceso crea automticamente una cadena de comunidad
denominada public con acceso de solo lectura a la MIB IEEE802dot11.
Configuracin de las cadenas de comunidad
Deber utilizar la cadena de comunidad SNMP para definir la relacin entre el

administrador y el agente SNMP. La cadena de comunidad acta como una
contrasea que permite acceso al agente en el punto de acceso.
De manera opcional, puede especificar una o varias de estas caractersticas

asociadas a la cadena:
Una lista de acceso de direcciones IP de los administradores SNMP que

pueden utilizar la cadena de comunidad para obtener acceso al agente
Una vista MIB, que define el subconjunto de todos los objetos MIB
accesibles para esa comunidad determinada

Permiso de lectura y escritura o solo lectura para los objetos MIB accesibles
para la comunidad
SUGERENCIA En la implementacin de agente MIB Cisco IOS actual, la cadena de

comunidad predeterminada es para el subrbol del objeto MIB internet.
Dado que IEEE802dot11 se encuentra en otra rama del rbol del objeto MIB,
deber habilitar una cadena de comunidad y vista en la MIB IEEE802dot11
independientes o una vista y cadena de comunidad comunes en el objeto
ISO del rbol del objeto MIB.
ISO es el nodo principal comn de IEEE (IEEE802dot11) e internet. El
comportamiento de este agente MIB difiere del comportamiento del agente
MIB en los puntos de acceso que no ejecutan el software Cisco IOS.
En el modo EXEC con privilegios, siga estos pasos para configurar una cadena de
comunidad en el punto de acceso.

configure terminal
2. Configuracin de la cadena de comunidad.
Para string, especifique una cadena que acte como una contrasea y
permita acceso al protocolo SNMP. Puede configurar una o varias
cadenas de comunidad de cualquier longitud.
(Opcional) Para access-list-number, introduzca una lista de direcciones
IP estndar numeradas del 1 al 99 y del 1300 al 1999.
(Opcional) Para view mib-view, especifique una vista de la MIB a la que
la comunidad tenga acceso, como por ejemplo ieee802dot11.
Consulte Comando snmp-server view en la pgina 470 si desea obtener

instrucciones sobre el uso del comando snmp-server view para obtener
acceso a los objetos MIB de la norma IEEE 802.11 a travs de la vista
IEEE.
(Opcional) Especifique solo lectura (ro) si quiere que las estaciones de
administracin autorizadas recuperen objetos MIB o lectura/escritura
(rw) si quiere que las estaciones de administracin autorizadas
recuperen y modifiquen objetos MIB. De manera predeterminada, la
cadena de comunidad permite acceso de solo lectura a todos los objetos.
SUGERENCIA Para obtener acceso a la MIB IEEE802dot11, deber habilitar una cadena de
comunidad y vista en la MIB IEEE802dot11 independientes o una vista y
cadena de comunidad comunes en el objeto ISO del rbol del objeto MIB.
snmp-server community string

[ access-list-number ]
[ view mib-view ]
[ro | rw]
3. (Opcional) Si ha especificado un nmero de lista de acceso estndar IP en
el paso 2, cree la lista, repitiendo el comando tantas veces como sea
necesario.
Para access-list-number, introduzca el nmero de lista de acceso
especificado en el paso 2.
La palabra clave deny deniega el acceso si se dan las condiciones. La
palabra clave permit permite el acceso si se dan las condiciones.

Para source, introduzca la direccin IP de los administradores SNMP

que pueden utilizar la cadena de comunidad para obtener acceso al
agente.
(Opcional) Para source-wildcard, introduzca los bits de comodn en
formato decimal punteado que se deban aplicar a la fuente. Coloque
unos en las posiciones de bit que quiera pasar por alto.
4. Recuerde que la lista de acceso siempre termina con una declaracin de
denegacin implcita para todo.
access-list access-list-number {deny | permit}
source [source-wildcard]
end
show running-config
Para inhabilitar el acceso para una comunidad SNMP, configure la cadena para
dicha comunidad como nula (no introduzca ningn valor para la cadena de
comunidad). Para eliminar una cadena de comunidad especfica, utilice el
comando de configuracin global no snmp-server community string.
Este ejemplo muestra cmo asignar las cadenas open e ieee al SNMP, permitir
acceso de lectura/escritura para ambas y especificar que open es la cadena de
comunidad para las consultas sobre los objetos non-IEEE802dot11-MIB y que
ieee es la cadena de comunidad para consultas sobre los objetos IEEE802dot11-
mib:
ap(config)# snmp-server view dot11view ieee802dot11
included
ap(config)# snmp-server community open rw
ap(config)# snmp-server community ieee view

ieee802dot11 rw
Especificacin del nombre de los grupos de servidor SNMP

Para configurar un nuevo grupo SNMP o una tabla que asigne usuarios SNMP a
vistas SNMP, utilice este comando en el modo de configuracin global:
Configura un nuevo grupo SNMP o una tabla que asigna usuarios SNMP a vistas
SNMP.
snmp-server group [groupname {v1 | v2c | v3 [auth |
noauth | priv]}][read readview] [write writeview]
[notify notifyview] [access access-list]

Configuracin de anfitriones de servidor SNMP
Para configurar el destinatario de una operacin de interrupcin SNMP, utilice

este comando en el modo de configuracin global:
snmp-server host host [traps | informs][version {1
| 2c | 3 [auth | noauth | priv]} ] community-string
[udp-port port] [notification-type]
Configuracin de usuarios del servidor SNMP
Para configurar un nuevo usuario de un grupo SNMP, utilice este comando en el

modo de configuracin global:
snmp-server user username [groupname remote ip-
address
[udp-port port] {v1 | v2c | v3 [encrypted] [auth
{md5 | sha} auth-password [priv des56 priv
password]] [access access-list]
Configuracin de administradores de interrupcin y habilitacin de

interrupciones
Un administrador de interrupciones es una estacin de administracin que recibe
y procesa interrupciones. Las interrupciones son alertas del sistema que genera
el punto de acceso cuando se producen determinados eventos. De manera
predeterminada, no hay ningn administrador de interrupciones definido y no
se emite ninguna interrupcin.
Los puntos de acceso con esta versin de Cisco IOS pueden tener un nmero
ilimitado de administradores de interrupciones. Las cadenas de comunidad
pueden poseer cualquier longitud.
Esta tabla describe las interrupciones del punto de acceso compatibles (tipos de
notificacin). Puede habilitar cualquiera o todas estas interrupciones y configurar
un administrador de interrupciones para que las reciba.
Tabla 112 Interrupciones de punto de acceso compatibles
Tipo de notificacin Descripcin
authenticate-fail Habilita interrupciones para fallos de autenticacin.
config Habilita interrupciones para cambios en la configuracin SNMP.
deauthenticate Habilita interrupciones para desautenticaciones de dispositivos cliente.
disassociate Habilita interrupciones para desasociaciones de dispositivos cliente.
dot11-qos Habilita interrupciones para cambios QoS.
entity Habilita interrupciones para cambios de entidad SNMP.
rogue-ap Habilita interrupciones para detecciones de puntos de acceso maliciosos.
SNMP Habilita interrupciones para eventos SNMP.
switch-over Habilita interrupciones para conmutaciones.
syslog Habilita interrupciones syslog.
wlan-wep Habilita interrupciones WEP.

Algunos tipos de notificacin no se pueden controlar con el comando de

configuracin global snmp-server enable, como por ejemplo udp-port.
Estos tipos de notificacin siempre estn habilitados. Puede utilizar el comando
de configuracin global snmp-server host de modo que un anfitrin concreto
reciba los tipos de notificacin enumerados en Tabla 112 en la pgina 468.
En el modo EXEC con privilegios, siga estos pasos para configurar el punto de
acceso de modo que enve interrupciones a un anfitrin.

configure terminal
2. Especifique el destinatario del mensaje de interrupcin.
Para host-addr, especifique el nombre o direccin del anfitrin (el

destinatario objetivo).
Especifique traps (valor predeterminado) para enviar interrupciones

SNMP al anfitrin. Especifique informs para enviar informes SNMP al
anfitrin.
Especifique la versin SNMP que quiera que sea compatible. La versin 1,

el valor predeterminado, no se encuentra disponible con informes. La
versin 3 tiene tres niveles de seguridad:
auth : especifica la autenticacin de paquetes sin cifrado

noauth : especifica la no autenticacin y no cifrado de los paquetes
priv : especifica la autenticacin y el cifrado de los paquetes
Para community-string, especifique la cadena que quiera enviar con la

operacin de notificacin. A pesar de que puede configurar esta cadena
mediante el comando snmp-server host, le recomendamos que la defina
con el comando snmp-server community antes de utilizar el comando
snmp-server host.
Para notification-type, utilice las palabras clave que se indican en

Tabla 112 en la pgina 468.
snmp-server host host-addr {traps | informs}

{version {1 | 2c | 3 {auth | noauth | priv}}}
community-string [udp-port port]
notification-type
3. Habilite el envo de interrupciones especficas por parte del punto de
acceso.
Si desea obtener una lista de interrupciones, consulte Tabla 112 en la
pgina 468.
Para habilitar varios tipos de interrupcin, deber emitir un comando
snmp-server enable traps distinto para cada tipo de interrupcin.
snmp-server enable traps notification-types

end


show running-config
Para evitar que el anfitrin especificado reciba interrupciones, utilice el

comando de configuracin global no snmp-server host host. Para
inhabilitar un tipo de interrupcin concreto, utilice el comando de
configuracin global no snmp-server enable traps notification-
types.
Configuracin de la informacin de ubicacin y contacto del agente
En el modo EXEC con privilegios, siga estos pasos para configurar la ubicacin y
el contacto del sistema del agente SNMP de modo que se pueda obtener acceso a
estas descripciones a travs del archivo de configuracin.

configure terminal
2. Configure la cadena de contacto del sistema.
Por ejemplo:
snmp-server contact Dial System Operator at beeper
21555.
3. Configure la cadena de ubicacin del sistema.
Por ejemplo:
snmp-server location Building 3/Room 222
end
show running-config
Comando snmp-server view

En el modo de configuracin global, utilice el comando snmp-server view
para obtener acceso a los objetos Standard IEEE 802.11 MIB a travs de la vista
IEEE y la cadena de comunidad de lectura/escritura dot11.
Este ejemplo muestra cmo habilitar la vista IEEE y la cadena de comunidad de

lectura/escritura dot11:
AP(config)# snmp-server view ieee ieee802dot11
included
AP(config)# snmp-server community dot11 view ieee
RW

Ejemplos SNMP
Este ejemplo muestra cmo habilitar SNMPv1, SNMPv2C y SNMPv3. La

configuracin permite a cualquier administrador SNMP obtener acceso a todos
los objetos con permisos de solo lectura mediante la cadena de comunidad public.
Esta configuracin no hace que el punto de acceso enve interrupciones.
AP(config)# snmp-server community public
Este ejemplo muestra cmo asignar las cadenas open e ieee al SNMP, permitir
acceso de lectura/escritura para ambas y especificar que open es la cadena
de comunidad para las consultas sobre los objetos non-IEEE802dot11-MIB
y que ieee es la cadena de comunidad para consultas sobre los objetos
IEEE802dot11-mib:
bridge(config)# snmp-server view dot11view
ieee802dot11 included
bridge(config)# snmp-server community open rw
bridge(config)# snmp-server community ieee view
ieee802dot11 rw
Este ejemplo muestra cmo permitir a cualquier administrador SNMP obtener

acceso a todos los objetos con permisos de solo lectura mediante la cadena de
comunidad public. El punto de acceso tambin enva interrupciones de configu-
racin a los anfitriones 192.180.1.111 y 192.180.1.33 a travs de SNMPv1 y al
anfitrin 192.180.1.27 a travs de SNMPv2C. La cadena de comunidad public se
enva con las interrupciones.
AP(config)# snmp-server community public
AP(config)# snmp-server enable traps config
AP(config)# snmp-server host 192.180.1.27 version
2c public
AP(config)# snmp-server host 192.180.1.111 version
1 public
AP(config)# snmp-server host 192.180.1.33 public
Este ejemplo muestra cmo permitir acceso de solo lectura a todos los objetos a
los miembros de la lista de acceso 4 que utilizan la cadena de comunidad
comaccess. Ningn otro administrador SNMP dispondr de acceso a ningn
objeto. SNMPv2C enva las interrupciones de fallo de autenticacin SNMP al
anfitrin cisco.com mediante la cadena de comunidad public.
AP(config)# snmp-server community comaccess ro 4
AP(config)# snmp-server enable traps snmp
authentication
AP(config)# snmp-server host cisco.com version 2c
public

Este ejemplo muestra cmo enviar interrupciones de la MIB Entity al anfitrin

cisco.com. La cadena de comunidad est limitada. La primera lnea habilita el
envo por parte del punto de acceso de interrupciones de la MIB Entity adems de
cualquier otra interrupcin previamente habilitada. La segunda lnea especifica el
destino de estas interrupciones y sobrescribe cualquier comando snmp-server
host anterior para el anfitrin cisco.com.
AP(config)# snmp-server enable traps entity

AP(config)# snmp-server host cisco.com restricted
entity
Este ejemplo muestra cmo habilitar el envo por parte del punto de acceso de
todas las interrupciones al anfitrin myhost.cisco.com utilizando la cadena de
comunidad public:
AP(config)# snmp-server enable traps
AP(config)# snmp-server host myhost.cisco.com
public
Este ejemplo muestra cmo configurar estos ajustes SNMPv3:
un nombre de vista (iso)
un identificador de motor SNMP (1234567890) que este agente utilizar

para identificarse en el anfitrin remoto en la direccin IP 1.4.74.10
un grupo SNMPv3 (admin) que admite cifrado de privacidad y la

totalidad de cuyos usuarios dispone de acceso de lectura/escritura a todos
los objetos definidos en la vista iso
un usuario SNMP (joe) que pertenece al grupo admin, emplea autentica-

cin MD5 para consultas, utiliza xyz123 como contrasea para MD5, usa
cifrado de consulta de datos DES56 y key007 como clave de cifrado
un usuario SNMP (fred) que pertenece al grupo admin, emplea autentica-

cin MD5 para consultas, utiliza abc789 como contrasea cifrada para
MD5, usa cifrado de consulta de datos DES56 y key99 como clave de
cifrado
AP(config)# snmp-server view iso iso included

AP(config)# snmp-server engineID remote 1.4.74.10
1234567890
AP(config)# snmp-server group admin v3 priv
AP(config)# snmp-server group admin v3 priv read iso
write iso
AP(config)# snmp-server user joe admin v3 auth md5
xyz123 priv des56 key007
AP(config)# snmp-server user fred admin v3 encrypted
auth md5 abc789 priv des56 key99

SUGERENCIA Una vez que haya introducido el ltimo comando de este ejemplo, los
comandos show running-config y show startup-config mostrarn nicamente
una configuracin SNMP parcial.
Visualizacin del estado Para ver las estadsticas de entrada y salida SNMP, incluido el nmero de entradas
de cadena de comunidad ilegales, errores y variables solicitadas, utilice el comando
SNMP EXEC con privilegios show snmp.
Si desea informacin sobre los campos de esta pantalla, consulte Cisco IOS
Configuration Fundamentals Command Reference (documento de referencia de
los comandos bsicos de configuracin de Cisco IOS para la versin 12.2).

Notas:

Captulo 21
Configuracin de los modos de puente de grupo

de trabajo y repetidor y de los puntos de acceso
de reserva
Este captulo le explica cmo configurar su punto de acceso como puente de

grupo de trabajo, repetidor o unidad de reserva.
Tema Pgina
Modo de puente de grupo de trabajo 475
Configuracin del modo de puente de grupo de trabajo 480
Uso de los puentes de grupo de trabajo en un entorno ligero 482
Puntos de acceso en modo repetidor 486
Configuracin de un punto de acceso en modo repetidor 488
Modo de reserva 492
Configuracin de un punto de acceso de reserva mediante la CLI 494
Modo de puente de grupo de Puede configurar el punto de acceso Stratix 5100 como puente de grupo de
trabajo. En el modo de puente de grupo de trabajo, la unidad se asocia a otro
trabajo punto de acceso como cliente y proporciona conexin de red para los dispositivos
conectados a su puerto Ethernet.
Por ejemplo, si necesita proporcionar conectividad inalmbrica a un grupo de

impresoras en red, puede conectarlas a un concentrador o a un switch, conectar
este al puerto Ethernet del punto de acceso y configurar este como puente de
grupo de trabajo. El puente de grupo de trabajo se asociar a un punto de acceso
en su red.
Si su punto de acceso cuenta con dos radios, tanto la radio de 2.4 GHz como la de
5 GHz pueden funcionar en el modo de puente de grupo de trabajo. Cuando se
configura una interface de radio como un puente de grupo de trabajo, la otra se
mantiene activa.
IMPORTANTE Los puntos de acceso en el modo de puente de grupo de trabajo pueden

introducir un bucle de puente si conectan su puerto Ethernet con la red LAN
por cable. Para evitar bucles de puente en su red, desconecte la unidad de su
red LAN por cable antes o poco despus de configurarla como puente de grupo
de trabajo.

Captulo 21 Configuracin de los modos de puente de grupo de trabajo y repetidor y de los puntos de acceso de reserva
Si configura BSSID mltiples en un punto de acceso raz designado como equipo

principal de un puente de grupo de trabajo, la direccin MAC de este puede
cambiar si se le aaden o eliminan BSSID. Si utiliza BSSID mltiples en su red
LAN inalmbrica y se ha configurado un puente de grupo de trabajo en ella para
asociarse a un equipo principal especfico, compruebe el estado de asociacin del
puente de grupo de trabajo cuando aada o elimine BSSID en el punto de acceso
principal. En caso necesario, vuelva a configurar el puente de grupo de trabajo
para utilizar la nueva direccin MAC del BSSID.
A pesar de que funciona como puente, un punto de acceso en el modo de puente

de grupo de trabajo posee un alcance de radio limitado. Los puentes de grupo
de trabajo no admiten el ajuste de distancia, que permite configurar puentes
inalmbricos que se comunican a lo largo de varios kilmetros.
Esta figura muestra un punto de acceso en modo de puente de grupo de trabajo.
Figura 125 Punto de acceso en modo de puente de grupo de trabajo

Configuracin de los modos de puente de grupo de trabajo y repetidor y de los puntos de acceso de reserva Captulo 21
Tratamiento de los puentes El punto de acceso al que se asocie un puente de grupo de trabajo podr tratar a
este como un dispositivo de infraestructura o simplemente como un dispositivo
de grupo de trabajo como cliente. De manera predeterminada, los puntos de acceso y puentes tratan los
dispositivo de puentes de grupo de trabajo como dispositivos cliente.
infraestructura o como
Para disfrutar de una mayor confiabilidad, puede configurar los puntos de acceso
dispositivos cliente y puentes de modo que no traten los puentes de grupo de trabajo como
dispositivos cliente, sino como dispositivos de infraestructura, como puntos de
acceso o puentes. Cuando se trata un puente de grupo de trabajo como un
dispositivo de infraestructura, el punto de acceso entrega de forma confiable los
paquetes multidifusin, incluidos los paquetes del protocolo de resolucin
de direcciones (ARP), al puente del grupo de trabajo. Utilice el comando
infrastructure-client configuration interface para configurar puntos de acceso
y puentes de modo que traten los puentes de grupo de trabajo como dispositivos
de infraestructura.
Si configura puntos de acceso y puentes para que traten un puente de grupo de

trabajo como dispositivo cliente, permitir que un nmero de puentes de grupo
de trabajo mayor se asocie al mismo punto de acceso o se asocie mediante un
SSID que no es de infraestructura. El costo en rendimiento de la entrega multidi-
fusin confiable (duplicado de cada paquete multidifusin enviado a cada puente
de grupo de trabajo) limita el nmero de dispositivos de infraestructura, incluidos
los puentes de grupo de trabajo, que se pueden asociar a un punto de acceso o
puente.
Para incrementar en ms de 20 el nmero de puentes de grupo de trabajo que se

pueden asociar al punto de acceso, este deber reducir la confiabilidad de la
entrega de los paquetes multidifusin a puentes de grupo de trabajo. Con una
menor confiabilidad, el punto de acceso no podr confirmar si los paquetes
multidifusin llegan al puente de grupo de trabajo previsto, de modo que puede
que los puentes de grupo de trabajo en el extremo de la zona de cobertura del
punto de acceso pierdan la conectividad IP.
Cuando se trata a los puentes de grupo de trabajo como dispositivos cliente, se

incrementa el rendimiento, pero se reduce la confiabilidad. Utilice el comando no
infrastructure client configuration interface para configurar puntos de acceso y
puentes de modo que traten los puentes de grupo de trabajo simplemente como
dispositivos cliente. Este es el ajuste predeterminado.
Utilice un puente de grupo de trabajo como dispositivo de infraestructura si los

dispositivos conectados a l requieren una confiabilidad de red equivalente a la de
un punto de acceso o un puente. Utilice un puente de grupo de trabajo como
dispositivo cliente si se dan estas condiciones:
Ms de 20 puentes de grupo de trabajo se asocian al mismo punto de acceso
o puente
El puente de grupo de trabajo se asocia mediante un SSID que no es un
SSID de infraestructura
El puente de grupo de trabajo es mvil, por ejemplo, no est en una
posicin fija y puede itinerar entre los puntos de acceso

Configuracin de un puente Si su puente de grupo de trabajo es mvil, puede configurarlo para que busque
una conexin de radio mejor con un punto de acceso principal o puente. Utilice
de grupo de trabajo para la este comando para configurar el puente de grupo de trabajo como estacin mvil:
itinerancia ap(config)# mobile station
Cuando habilite este ajuste, el puente de grupo de trabajo buscar una nueva
asociacin con un equipo principal cuando detecte un indicador de la fuerza de la
seal recibida (RSSI) deficiente, interferencias de radio excesivas o un porcentaje
de prdida de tramas elevado. Aplicando estos criterios, un puente de grupo de
trabajo configurado como estacin mvil buscar una nueva asociacin a una
unidad principal e itinerar a ella antes de perder la asociacin actual. Cuando el
ajuste de estacin mvil est inhabilitado (valor predeterminado), el puente de
grupo de trabajo no busca una nueva asociacin hasta que pierde la asociacin
actual.
Configuracin de un puente En entornos mviles, como los ferroviarios, un puente de grupo de trabajo, en
lugar de examinar todos los canales, se limitar a explorar nicamente un
de grupo de trabajo para una conjunto de canales restringido con el fin de reducir el retraso en la transferencia
bsqueda de canales cuando itinere de un punto de acceso a otro. Limitando el nmero de canales que
limitada examinar a los necesarios, el puente de grupo de trabajo mvil lograr mantener
una conexin con la LAN inalmbrica continua con una itinerancia rpida y
fluida.
Configuracin del conjunto de canales restringido
Este conjunto de canales restringido se configura mediante el comando <set

of channels> de exploracin de estaciones mviles para activar el examen de
todos los canales o de aquellos especificados. No existen limitaciones para el
nmero mximo de canales que se pueden configurar. El nmero mximo de
canales que se pueden configurar se ve limitado nicamente por el nmero de
canales compatibles con una radio. Cuando se ejecuta, el puente de grupo de
trabajo busca nicamente este conjunto de canales restringido. Esta funcin de
limitacin de los canales tambin afecta a la lista de canales conocidos que el
puente de grupo de trabajo recibe del punto de acceso asociado. Los canales se
aaden nicamente a la lista de canales conocidos si tambin forman parte del
conjunto de canales restringido.
El ejemplo a continuacin ilustra el uso del comando. En el ejemplo se especifica

la bsqueda de los canales 1, 6 y 11:
ap#
ap#confure terminal
Enter configuration commands, one per line.End with
CNTL/Z.
ap(config)#int d0
ap(config-if)#ssid limited_scan
ap(config-if)#station-role workgroup-bridge
ap(config-if)#mobile station
ap(config-if)#mobile station scan 1 6 11

ap(config-if)#end
ap#
Utilice el comando no mobile station scan para restablecer la

exploracin de todos los canales.
Cmo pasar por alto la lista de vecinos CCX
Adems, el puente de grupo de trabajo actualiza su lista de canales conocidos

mediante informes CCX, como el informe AP Adjacent o el informe Enhanced
Neighbor List. No obstante, cuando un puente de grupo de trabajo se configura
para una bsqueda de canales restringida, no necesita procesar los informes CCX
para actualizar su lista de canales conocidos.
Utilice el comando mobile station ignore neighbor-list para inhabilitar el

procesamiento de los informes de la lista de vecinos CCX. Este comando se hace
efectivo cuando el puente de grupo de trabajo est configurado nicamente para
la bsqueda de canales restringida. El ejemplo a continuacin ilustra el uso de este
comando.
ap#
ap#confure terminal
with CNTL/Z.
ap(config)#int d0
ap(config-if)#mobile station ignore neighbor-list
ap(config-if)#end

Etiquetado VLAN del puente La funcin de etiquetado VLAN del puente de grupo de trabajo (WGB) permite
segregar el trfico VLAN en funcin de los nmeros VLAN para la solucin
de grupo de trabajo Unified WGB.
Cuando esta funcin est habilitada, el WGB elimina el encabezado 802.1q al

enviar el paquete desde un cliente VLAN al controlador de la LAN inalmbrica
(WLC). El WGB entrega el paquete a un cliente VLAN sin encabezado 802.1q y
hay que modificar el cdigo WGB para aadir el encabezado 802.1q al enviar la
trama al switch detrs del WGB.
El WGB actualiza el WLC con la informacin de la red VLAN de cliente por

cable en el mensaje de asociacin del protocolo de punto de acceso de internet
(IAPP). El WLC trata el WGB cliente como un cliente VLAN y enva el paquete
en la interface VLAN adecuada en funcin de la direccin MAC de origen.
En sentido aguas arriba, el WGB elimina el encabezado 802.1q del paquete

cuando se lo enva al WLC. En sentido aguas abajo, al enviar el paquete al switch
que conecta con el cliente por cable, el WLC enva el paquete al WGB sin la
etiqueta 802.1q y el WGB aade un encabezado 802.1q de 4 bytes en funcin de
la direccin MAC de destino.
Para obtener ms informacin sobre las redes VLAN, consulte Configuracin de

redes VLAN en la pgina 411.
WGB(config)#workgroup-bridge unified-vlan-client
Configuracin del modo de En el modo EXEC con privilegios, siga estos pasos para configurar un punto de
acceso como puente de grupo de trabajo.
puente de grupo de trabajo
configure terminal
3. Configure la funcin de la radio como puente de grupo de trabajo. Si su
punto de acceso dispone de dos radios, aquella que no est configurada en
el modo de puente de grupo de trabajo se inhabilitar de forma automtica.
station-role workgroup-bridge
4. Cree el SSID que utilizar el puente de grupo de trabajo para asociarse a un
punto de acceso o puente principal.
ssid ssid-string
5. (Opcional) Si el punto de acceso principal se configura de modo que
necesite autenticacin EAP, configure el perfil de credenciales que utilizar
el puente de grupo de trabajo cuando lleve a cabo la autenticacin EAP.
El nombre de usuario y contrasea del perfil de credenciales deben
coincidir con el nombre de usuario y contrasea configurados para el
puente de grupo de trabajo en el servidor de autenticacin.
dot1x credentials profile-name

6. Salga del modo de configuracin de SSID y vuelva al modo de configura-

cin de la interface de radio.
exit
7. (Opcional) Introduzca la direccin MAC del punto de acceso que deba
asociarse al puente de grupo de trabajo.
(Opcional) Puede introducir las direcciones MAC de hasta cuatro
puntos de acceso principales. El puente de grupo de trabajo intentar
asociarse a la direccin MAC 1 en primer lugar; si el punto de acceso no
responde, el puente de grupo de trabajo probar con el siguiente punto
de acceso en su lista de unidades principales. Si se han configurado
BSSID mltiples en el punto de acceso principal, puede que la direccin
MAC de la unidad principal cambie si se aaden o eliminan BSSID en
ella.
(Opcional) Tambin puede introducir un valor de tiempo de espera en
segundos que determine la duracin de los intentos del puente de grupo
de trabajo de asociarse a un punto de acceso principal antes de probar
con la siguiente unidad principal de la lista. Introduzca un valor de
tiempo de espera entre 0 y 65535 segundos.
parent {1-4} mac-address [timeout]
8. Salga del modo de configuracin de la radio y vuelva al modo de
configuracin global.
exit
9. (Opcional) Configure el puente de grupo de trabajo como una estacin
mvil. Cuando habilite este ajuste, el puente de grupo de trabajo buscar
una nueva asociacin con un equipo principal cuando detecte un indicador
de la fuerza de la seal recibida (RSSI) deficiente, interferencias de radio
excesivas o un porcentaje de prdida de tramas elevado. Cuando este ajuste
est inhabilitado (valor predeterminado), el puente de grupo de trabajo no
busca una nueva asociacin hasta que pierde la asociacin actual.
mobile station
end

Este ejemplo muestra cmo configurar el punto de acceso como puente de grupo
de trabajo. En este ejemplo, el puente de grupo de trabajo utiliza el perfil de
credenciales EAP-profile configurado para llevar a cabo la autenticacin EAP.
AP(config-if)# station-role workgroup-bridge
AP(config-if)# ssid infra
AP(config-if)# exit
AP(config)# dot11 ssid infra
AP(config-ssid)# dot1x credentials EAP-profile
AP(config-if)# exit
AP(config)# end
Uso de los puentes de grupo Puede configurar un punto de acceso para que funcione como un puente de
grupo de trabajo, de modo que pueda proporcionar conectividad inalmbrica a
de trabajo en un entorno un punto de acceso ligero en nombre de clientes conectados a travs de Ethernet
ligero al punto de acceso del puente de grupo de trabajo. Un puente de grupo de trabajo
se conecta a una red por cable en un nico segmento inalmbrico mediante el
aprendizaje de la direccin MAC de sus clientes por cable en la interface Ethernet
y su presentacin al punto de acceso ligero mediante mensajes del protocolo de
punto de acceso de internet (IAPP).
El puente de grupo de trabajo proporciona conectividad de acceso inalmbrica a

los clientes por cable estableciendo una nica conexin con el punto de acceso
ligero. El punto de acceso ligero trata el puente de grupo de trabajo como un
cliente inalmbrico.
Figura 126 Puente de grupo de trabajo en un entorno ligero
Si falla el punto de acceso ligero, el puente de grupo de trabajo intentar asociarse

a otro punto de acceso.

Directrices para el uso de Siga estas directrices sobre el uso de puentes de grupo de trabajo en su red ligera.
puentes de grupo de trabajo El puente de grupo de trabajo puede ser cualquier punto de acceso
en un entorno ligero autnomo compatible con el modo de puente de grupo de trabajo que
ejecute Cisco IOS versin JA o superior (en puntos de acceso de 32 MB).
SUGERENCIA Si su punto de acceso dispone de dos radios, solo podr configurar una para el
modo de puente de grupo de trabajo. Esta radio se utilizar para conectar con
el punto de acceso ligero. Le recomendamos que inhabilite la segunda radio.
Lleve a cabo una de estas acciones para habilitar el modo de puente de grupo de
trabajo en el puente de grupo de trabajo:
En la GUI del punto de acceso puente de grupo de trabajo, elija la opcin

Workgroup Bridge como funcin en la red de radio en Settings > Network
Interfaces.
En la CLI del punto de acceso puente de grupo de trabajo, introduzca este

comando: station-role workgroup-bridge
Tan solo se admiten los puentes de grupo de trabajo en modo cliente (valor
predeterminado). Aquellos en modo de infraestructura no son
compatibles. Lleve a cabo una de estas acciones para habilitar el modo
cliente en el puente de grupo de trabajo:
En la GUI del punto de acceso puente de grupo de trabajo, elija la opcin

Disabled para el parmetro Reliable Multicast to workgroup bridge.
En la CLI del punto de acceso del puente de grupo de trabajo, introduzca

este comando: no infrastructure client.
SUGERENCIA El uso de los puentes de grupo de trabajo no es compatible con la existencia de

mltiples VLAN y enlaces troncales.
Estas funciones ligeras se pueden utilizar con un puente de grupo de

trabajo:
Redundancia N+1 husped
EAP local
Estas funciones ligeras no se pueden utilizar con un puente de grupo de
trabajo:
Idle Timeout
Autenticacin web
SUGERENCIA Si un puente de grupo de trabajo se asocia a una WLAN de autenticacin web,

este se aadir a la lista de exclusin y todos sus clientes por cable se
eliminarn.
En una red en malla, un puente de grupo de trabajo puede asociarse a

cualquier punto de acceso en malla ligero, con independencia de si acta
como punto de acceso raz o punto de acceso en malla.

Los clientes conectados por cable al puente de grupo de trabajo no se

autentican por razones de seguridad. En su lugar, el puente de grupo de
trabajo se autentica en el punto de acceso al que se asocia. Por lo tanto, le
recomendamos que dote de medios de seguridad fsica el cableado del
puente de grupo de trabajo.
Con la itinerancia de capa 3, si conecta un cliente por cable a la red del

puente de grupo de trabajo una vez que este ha itinerado a otro controlador
(por ejemplo, un controlador externo), la direccin IP del cliente por cable
nicamente aparecer en el controlador ancla, no en el controlador
externo.
Cuando elimine un registro de puente de grupo de trabajo del controlador,

tambin se borrarn todos los registros de los clientes por cable del puente
de grupo de trabajo.
Los clientes por cable conectados a un puente de grupo de trabajo heredan

los atributos de anulacin AAA y QoS del segundo.
Estas funciones no se pueden utilizar con clientes por cable conectados a

un puente de grupo de trabajo:
Filtrado MAC
Pruebas de conexin
Idle Timeout
No necesita configurar nada en el controlador para habilitar la

comunicacin del puente de grupo de trabajo con el punto de acceso ligero.
No obstante, para garantizar una comunicacin adecuada, cree una
WLAN en el controlador que coincida con el SSID y el mtodo de
seguridad configurados en el puente de grupo de trabajo.

Ejemplo de configuracin de A continuacin se incluye un ejemplo de configuracin de un punto de acceso

puente de grupo de trabajo mediante WPA2-PSK con clave previamente
puente de grupo de trabajo compartida.
ap#confure terminal
with CNTL/Z.
ap(config) #dot11 ssid WGB-PSK
ap(config-ssid) #authentication open
ap(config-ssid) #authentication key-management wpa
version 2
ap(config-ssid) #wpa-psk ascii presharedkey
ap(config-ssid) #exit
ap(config) #interface dot11Radio 1
ap(config-if) #encryption mode ciphers aes-ccm
ap(config-if) #ssid WGB-PSK
ap(config-if) #station-role workgroup-bridge
ap(config-if) #end
Para comprobar que el puente de grupo de trabajo est asociado a un punto de

acceso, introduzca este comando en el primero:
show dot11 association
Si un cliente por cable no enva trfico durante un periodo de tiempo prolongado,

el puente de grupo de trabajo eliminar al cliente de su tabla de puentes, aunque
se est enviando trfico de forma continua al cliente por cable. El consecuencia,
el flujo de trfico que vaya hacia el cliente por cable fallar. Para evitar prdidas
de trfico, impida la eliminacin del cliente por cable de la tabla del puente
configurando el temporizador de obsolescencia en el puente de grupo de trabajo
con un valor mayor. Para ello, utilice estos comandos IOS en el puente de grupo
de trabajo:
configure terminal
bridge bridge-group-number aging-time seconds
exit
end
Siendo bridge-group-number un valor entre 1 y 255, y seconds un valor entre 10 y

1,000,000 segundos. Le recomendamos que configure el parmetro seconds con
un valor superior al del periodo de inactividad del cliente por cable.

Puntos de acceso en modo Un punto de acceso repetidor no se conecta a la red LAN por cable; se ubica
dentro del alcance de la radio de un punto de acceso conectado a una red LAN
repetidor por cable para ampliar el alcance de la infraestructura o superar un obstculo que
bloquea la comunicacin por radio. Puede configurar la radio de 2.4 GHz o la
radio de 5 GHz como repetidor. En los puntos de acceso con dos radios, tan solo
una de ellas puede actuar como repetidor; la otra deber configurarse como radio
raz.
El repetidor dirige el trfico entre los usuarios inalmbricos y la LAN por cable
porque enva paquetes bien a otro repetidor, bien a un punto de acceso conectado
a la LAN por cable. Los datos se envan por la ruta que ofrece mayor rendimiento
para el cliente. Cuando configure un punto de acceso como repetidor, el puerto
Ethernet de este no enviar trfico.
Puede configurar una cadena con varios puntos de acceso en modo repetidor,
pero el rendimiento efectivo para los dispositivos cliente al final de la cadena de
repetidores ser bajo. Dado que cada repetidor debe recibir y despus retransmitir
cada paquete en el mismo canal, el rendimiento efectivo se reducir a la mitad
para cada repetidor que aada a la cadena.
Los puntos de acceso en modo repetidor se asocian a los puntos de acceso con la
mejor conectividad. No obstante, puede especificar el punto de acceso al que
quiera que se asocie el repetidor. Si configura una asociacin esttica especfica
entre un repetidor y un punto de acceso raz mejorar el rendimiento del
repetidor.
Para configurar repetidores, deber habilitar las extensiones Aironet tanto en el

punto de acceso principal (raz) como en los puntos de accesos en modo
repetidor. Las extensiones Aironet estn habilitadas de manera predeterminada.
Esto mejorar la capacidad del punto de acceso para entender las funciones de los
dispositivos cliente Cisco Aironet asociados al punto de acceso. El hecho de
inhabilitar las extensiones Aironet a veces mejora la interoperacin entre el punto
de acceso y los dispositivos cliente distintos de Cisco. Los dispositivos cliente
distintos de Cisco pueden experimentar dificultades para comunicarse con los
puntos de acceso en modo repetidor y el punto de acceso raz al que se asocian los
repetidores.

El SSID de infraestructura debe asignarse a la red VLAN nativa. Si se crean varias

redes VLAN en un punto de acceso o puente inalmbrico, no se podr asignar un
SSID de infraestructura a una VLAN no nativa. Cuando configure el SSID de
infraestructura en una VLAN no nativa aparecer este mensaje:
SSID [xxx] must be configured as native-vlan before enabling infrastructure-ssid
SUGERENCIA Dado que los puntos de acceso crean una interface virtual para cada interface
de radio, los puntos de acceso repetidor se asocian al punto de acceso raz dos
veces: una para la interface real y otra para la interface virtual.
No se pueden configurar mltiples VLAN en los puntos de acceso en modo
repetidor. Los puntos de acceso en modo repetidor nicamente admiten la
VLAN nativa.
Esta figura muestra un punto de acceso que acta como un repetidor.
Figura 127 Punto de acceso que acta como repetidor

Configuracin de un punto Esta seccin contiene instrucciones para la configuracin de un punto de acceso
como repetidor.
de acceso en modo repetidor
Configuracin predeterminada
Los punto de acceso estn configurados como unidades raz de manera

predeterminada. Esta tabla muestra los valores predeterminados de los ajustes
que controlan la funcin del punto de acceso en la red LAN inalmbrica.
Station role Root
Parent ninguno
Extensions Aironet
Directrices para repetidores
Siga estas directrices cuando configure puntos de acceso en modo repetidor:
Utilice repetidores para prestar servicio a dispositivos cliente que no

requieren un rendimiento efectivo elevado. Los repetidores ampliarn la
zona de cobertura de su red LAN inalmbrica, pero reducirn
drsticamente el rendimiento efectivo.
Utilice repetidores cuando la mayora de los dispositivos cliente, si no

todos, que se asocien a los repetidores sean clientes Cisco Aironet. Los
dispositivos cliente distintos de Cisco en ocasiones experimentan
dificultades para comunicarse con los puntos de acceso en modo repetidor.
Compruebe que las velocidades de datos configuradas en el punto de

acceso en modo repetidor coincidan con aquellas del punto de acceso
principal. Si desea obtener instrucciones sobre cmo configurar las
velocidades de datos, consulte Configuracin de las velocidades de datos
de la radio en la pgina 261.
Los puntos de acceso en modo repetidor nicamente son compatibles con

la red VLAN nativa. No es posible configurar mltiples redes VLAN en un
punto de acceso en modo repetidor.
SUGERENCIA Los puntos de acceso repetidor con el software Cisco IOS no pueden asociarse a
los puntos de acceso principales que no ejecutan el software Cisco IOS.
Los puntos de acceso repetidor no admiten servicios de dominio inalmbrico
(WDS). No configure los puntos de acceso repetidor como candidatos WDS y no
configure los puntos de acceso WDS para que pasen al modo de repetidor en
caso de fallo Ethernet.
Si configura BSSID mltiples en un punto de acceso raz designado como equipo
principal de un repetidor, la direccin MAC de este puede cambiar si se le aa-
den o eliminan BSSID. Si utiliza BSSID mltiples en su red LAN inalmbrica y se
ha configurado un repetidor en ella para asociarse a un equipo principal espec-
fico, compruebe el estado de asociacin del repetidor cuando aada o elimine
BSSID en el punto de acceso principal. En caso necesario, vuelva a configurar el
dispositivo desasociado para utilizar la nueva direccin MAC del BSSID.

Configuracin de un En el modo EXEC con privilegios, siga estos pasos para configurar un punto de
acceso como repetidor.
repetidor
configure terminal
3. Cree el SSID que utilizar el repetidor para asociarse a un punto de acceso
raz; en el siguiente paso, configure este SSID como SSID de infraestruc-
tura. Si ha creado un SSID de infraestructura en el punto de acceso raz,
cree el mismo SSID tambin en el repetidor.
ssid ssid-string
4. Configure el SSID como SSID de infraestructura. El repetidor utilizar
este SSID para asociarse al punto de acceso raz. Los dispositivos de
infraestructura debern asociarse al punto de acceso en modo repetidor
mediante este SSID salvo que tambin introduzca la clave opcional.
El SSID de infraestructura debe asignarse a la red VLAN nativa. Si se crean
varias redes VLAN en un punto de acceso o puente inalmbrico, no se
podr asignar un SSID de infraestructura a una VLAN no nativa. Cuando
configure el SSID de infraestructura en una VLAN no nativa aparecer
este mensaje:
SSID [xxx] must be configured as native-vlan before enabling
infrastructure-ssid
5. Salga del modo de configuracin de SSID y vuelva al modo de configura-
cin de la interface de radio.
exit
6. Configure la funcin del punto de acceso en la red LAN inalmbrica como
repetidor.
station-role repeater
7. Si las extensiones Aironet estn inhabilitadas, habiltelas.
dot11 extensions aironet
8. (Opcional) Introduzca la direccin MAC del punto de acceso al que deba
asociarse el repetidor.
Puede introducir las direcciones MAC de hasta cuatro puntos de acceso
principales. El repetidor intentar asociarse a la direccin MAC 1 en
primer lugar; si el punto de acceso no responde, el repetidor probar con el
siguiente punto de acceso en su lista de unidades principales.
Si se han configurado BSSID mltiples en el punto de acceso principal,
puede que la direccin MAC de la unidad principal cambie si se aaden o
eliminan BSSID en ella.

(Opcional) Tambin puede introducir un valor de tiempo de espera en

segundos que determine la duracin de los intentos del repetidor de
asociarse a un punto de acceso principal antes de probar con la siguiente
unidad principal de la lista. Introduzca un valor de tiempo de espera entre
0 y 65535 segundos.
parent {1-4} mac-address [timeout]
end
Este ejemplo muestra cmo configurar un punto de acceso en modo repetidor

con tres unidades principales potenciales:
AP(config-if)# ssid chicago
AP(config-ssid)# infrastructure-ssid
AP(config-if)# station-role repeater
AP(config-if)# dot11 extensions aironet
AP(config-if)# parent 1 0987.1234.h345 900
AP(config-if)# parent 2 7809.b123.c345 900
AP(config-if)# parent 3 6543.a456.7421 900
AP(config-if)# end
Alineacin de las antenas Cuando se configura un punto de acceso como repetidor, es posible alinear su
antena con otra antena remota mediante el comando dot11 antenna-
alignment.
Este comando activa una prueba de alineacin. La radio se desasociar de su

unidad principal, sondear los dispositivos inalmbricos adyacentes y registrar
las direcciones MAC y la fuerza de la seal de las respuestas que reciba. Una vez
transcurrido el tiempo de espera, la radio se reasociar a su unidad principal.
Siga estos pasos para llevar a cabo una prueba de alineacin de la antena:
1. Obtenga acceso al modo EXEC con privilegios.

enable
dot11 dot11radio { 0 | 1 }

3. Determine el tiempo en segundos que durar la prueba de alineacin de la

antena antes de sobrepasar el tiempo de espera. El valor predeterminado es
5 segundos).
antenna-alignment timeout
Utilice el comando show dot11 antenna-alignment para ver las

direcciones MAC y el nivel de seal de los ltimos 10 dispositivos que
respondieron al sondeo.
Verificacin del Una vez que haya configurado el repetidor, compruebe los indicadores de estado
en la parte superior del punto de acceso en modo repetidor. Si su repetidor est
funcionamiento del funcionando correctamente, los indicadores de estado de este y el punto de acceso
repetidor raz permanecern iluminados en azul.
El punto de acceso en modo repetidor aparecer como asociado al punto de

acceso raz en la tabla de asociacin de este.
Configuracin de un La gestin de claves WPA emplea una combinacin de mtodos de cifrado para
proteger la comunicacin entre los dispositivos cliente y el punto de acceso. Puede
repetidor como un cliente configurar un punto de acceso en modo repetidor para que se autentique en su
WPA red como otros dispositivos cliente con tecnologa WPA.
En el modo EXEC con privilegios, siga estos pasos para configurar el repetidor
como un cliente WPA.

configure terminal
El SSID puede contener hasta 32 caracteres alfanumricos, pero sin
espacios. Los SSID son sensibles a las maysculas y minsculas.
ssid ssid-string
4. Habilite la autenticacin abierta para el SSID.
authentication open
5. Habilite la gestin de claves autenticadas del WPA para el SSID.
authentication key-management wpa
6. Configure el SSID como aquel que el repetidor utilizar para asociarse a
otros puntos de acceso.
infrastructure ssid

7. Introduzca una clave previamente compartida para el repetidor.

Introduzca la clave utilizando caracteres hexadecimales o ASCII. Si utiliza
caracteres hexadecimales, deber introducir 64 caracteres hexadecimales
para completar la clave de 256 bits. Si utiliza caracteres ASCII, deber
introducir entre 8 y 63 caracteres y el punto de acceso ampliar la clave por
usted.
wpa-psk { hex | ascii } [ 0 | 7 ] encryption-key
end
Modo de reserva El modo de reserva designa un punto de acceso como unidad de respaldo de otro
punto de acceso. El punto de acceso de reserva estar situado cerca del punto de
acceso al que supervise y poseer exactamente la misma configuracin que l.
El punto de acceso de reserva se asociar al punto de acceso supervisado como
cliente y enviar consultas IAPP al segundo a travs de los puertos Ethernet y de
radio. Si el punto de acceso supervisado no responde, el punto de acceso de
reserva se conectar y ocupar el puesto del dispositivo supervisado en la red.
Excepto en el caso de la direccin IP, los ajustes del punto de acceso de reserva
pueden ser idnticos a los del punto de acceso supervisado. Si el punto de acceso
supervisado pierde la conexin y el punto de acceso de reserva ocupa su lugar en la
red, el hecho de que posean los mismos ajustes garantizar que los dispositivos
cliente puedan cambiar fcilmente al segundo.
El punto de acceso de reserva supervisa otro punto de acceso en una relacin de

dispositivo a dispositivo, no en una relacin de interface a interface. Por ejemplo,
no se puede configurar la radio de 5 GHz del punto de acceso de reserva para que
supervise la radio de 5 GHz del punto de acceso alpha y la radio de 2.4 GHz del
punto de acceso de reserva para que supervise la radio de 2.4 GHz del punto de
acceso bravo. En un punto de acceso de doble radio tampoco se puede configurar
una radio como radio de reserva y la otra para que preste servicio a dispositivos
cliente.
SUGERENCIA El modo de reserva est inhabilitado de manera predeterminada.
Si el punto de acceso supervisado no funciona correctamente y el punto de acceso

de reserva ocupa su puesto, repita la configuracin del modo de reserva en este
ltimo cuando repare o sustituya el punto de acceso supervisado. El punto de
acceso de reserva no volver al modo de reserva automticamente.
La direccin MAC del punto de acceso supervisado puede cambiar si se aade o

elimina un BSSID en la unidad supervisada. Si utiliza BSSID mltiples en su red
LAN inalmbrica, compruebe el estado de la unidad de reserva cuando aada o
elimine BSSID en el punto de acceso supervisado. En caso necesario, vuelva a
configurar la unidad de reserva para utilizar la nueva direccin MAC del BSSID.

Configuracin del modo de Cuando configure el punto de acceso de reserva, deber introducir la direccin
MAC del punto de acceso que supervise la unidad de reserva. Registre la
reserva direccin MAC del punto de acceso supervisado antes de configurar el punto de
acceso de reserva.
El punto de acceso de reserva deber duplicar varios ajustes clave en el punto de

acceso supervisado. Estos ajustes son:
Primary SSID (as como los SSID adicionales configurados en el punto de
acceso supervisado)
Default IP Subnet Mask
Default Gateway
Velocidades de datos
Ajustes de cifrado
Tipos y servidores de autenticacin
Si el punto de acceso supervisado pierde la conexin y el punto de acceso de

reserva ocupa su lugar en la red, el hecho de que posean los mismos ajustes
garantizar que los dispositivos cliente puedan cambiar fcilmente al segundo.
Compruebe el punto de acceso supervisado y registre estos ajustes antes de
configurar el punto de acceso de reserva.
SUGERENCIA Los dispositivos cliente inalmbricos asociados al punto de acceso de reserva

perdern la conexin durante el proceso de configuracin del modo de reserva.

Configuracin de un punto Cuando configure el punto de acceso de reserva, deber introducir la direccin
MAC del punto de acceso que supervise la unidad de reserva. Registre la
de acceso de reserva direccin MAC del punto de acceso supervisado antes de configurar el punto de
mediante la CLI acceso de reserva.
El punto de acceso de reserva tambin deber duplicar varios ajustes clave en el

punto de acceso supervisado. Estos ajustes son:
Primary SSID (as como los SSID adicionales configurados en el punto de
acceso supervisado)
Default IP Subnet Mask
Default Gateway
Velocidades de datos
Ajustes WEP
Tipos y servidores de autenticacin
Compruebe el punto de acceso supervisado y registre estos ajustes antes de

configurar el punto de acceso de reserva.
IMPORTANTE Los dispositivos cliente inalmbricos asociados al punto de acceso de reserva

perdern la conexin durante el proceso de configuracin del modo de reserva.
SUGERENCIA Para duplicar rpidamente los ajustes del punto de acceso supervisado en el
punto de acceso de reserva, guarde la configuracin del punto de acceso
supervisado y crguela en el punto de acceso de reserva.
En el modo EXEC con privilegios, siga estos pasos para habilitar el modo de
reserva del punto de acceso.

configure terminal
2. Configura el punto de acceso en el modo de reserva y especifica la
direccin MAC de la radio en el punto de acceso supervisado.
Cuando configure un punto de acceso con dos radios para que supervise
otro punto de acceso con dos radios, deber introducir las direcciones
MAC de las dos radios de 2.4 GHz y 5 GHz supervisadas. Introduzca la
direccin MAC de la radio de 2.4 GHz en primer lugar, seguida de la
direccin MAC de la radio de 5 GHz.
La direccin MAC del punto de acceso supervisado puede cambiar si se
aade o elimina un BSSID en la unidad supervisada. Si utiliza BSSID
mltiples en su red LAN inalmbrica, compruebe el estado de la unidad de
reserva cuando aada o elimine BSSID en el punto de acceso supervisado.
En caso necesario, vuelva a configurar la unidad de reserva para utilizar la
nueva direccin MAC del BSSID.
iapp standby mac-address

4. Cree el SSID que utilizar el punto de acceso de reserva para asociarse a un

punto de acceso supervisado; en el siguiente paso, configure este SSID
como SSID de infraestructura. Si ha creado un SSID de infraestructura en
el punto de acceso supervisado, cree el mismo SSID tambin en el punto de
acceso de reserva.
ssid ssid-string
5. Configure el SSID como SSID de infraestructura. La unidad de reserva
utilizar este SSID para asociarse al punto de acceso supervisado. Si el
punto de acceso de reserva ocupa el puesto del punto de acceso
supervisado, los dispositivos de infraestructura debern asociarse al punto
de acceso de reserva mediante este SSID, salvo que tambin introduzca la
clave opcional.
6. Si el punto de acceso supervisado se configura de modo que requiera
autenticacin LEAP, configure el nombre de usuario y la contrasea que el
punto de acceso de reserva utilizar cuando lleve a cabo la autenticacin
LEAP. Este nombre de usuario y contrasea debern coincidir con los que
haya configurado para el punto de acceso de reserva en el servidor de
autenticacin.
authentication client username username
password password
7. Salga del modo de configuracin de SSID y vuelva al modo de
configuracin de la interface de radio.
exit
8. Configura los segundos transcurridos entre las consultas que enva el punto
de acceso de reserva a los puertos de radio y Ethernet del punto de acceso
supervisado. La frecuencia de sondeo predeterminada es 2 segundos.
iapp standby poll-frequency seconds
9. Configura el tiempo en segundos durante el que el punto de acceso de
reserva debe esperar una respuesta del punto de acceso supervisado antes
de dar por hecho que este presenta un fallo. El tiempo de espera
predeterminado es 20 segundos.
Incremente el ajuste del tiempo de espera de la unidad de reserva si la ruta
puenteada entre el punto de acceso de reserva y el punto de acceso
supervisado se puede perder durante periodos de ms de 20 segundos
(durante el reclculo del rbol de expansin, por ejemplo).
Si el punto de acceso supervisado se ha configurado de modo que
seleccione el canal de radio menos congestionado, puede incrementar el
valor del ajuste de tiempo de espera de la unidad de reserva. La unidad
supervisada puede tardar hasta 40 segundos en seleccionar el canal menos
congestionado.
iapp standby timeout seconds

10. (Opcional) Configura el punto de acceso de reserva de modo que enve

un mensaje de protocolo de dispositivo no inteligente (Dumb Device
Protocol o DDP) al punto de acceso supervisado para inhabilitar las radios
del punto de acceso supervisado cuando la unidad de reserva se vuelva
activa. Esta funcin impedir que los dispositivos cliente asociados al
punto de acceso supervisado sigan asociados a una unidad que funciona
incorrectamente.
iapp standby primary-shutdown
Si el punto de acceso se encuentra en el modo de reserva, aparecern los
parmetros de reserva, incluida la direccin MAC del punto de acceso
supervisado, la frecuencia de sondeo y los valores de tiempo de espera.
Si el punto de acceso no se encuentra en el modo de reserva, aparecer el
mensaje no iapp standby mac-address.
show iapp standby-parms
end
Una vez que haya habilitado el modo de reserva, configure los ajustes registrados
del punto de acceso supervisado para que coincidan en el punto de acceso de
reserva.
Comprobacin del Utilice este comando para comprobar el estado del punto de acceso de reserva:
funcionamiento de la show iapp standby-status
unidad de reserva Este comando indica el estado del punto de acceso de reserva. Esta tabla enumera
los mensajes de estado del modo de reserva que pueden aparecer.
Tabla 113 Mensajes de estado del modo de reserva
Mensaje Descripcin
IAPP Standby is Disabled El punto de acceso no est configurado para el modo de reserva.
IAPP AP is in standby mode El punto de acceso se encuentra en el modo de reserva.
IAPP AP is operating in active mode El punto de acceso de reserva ha asumido las funciones del punto de
acceso supervisado y est actuando como punto de acceso raz.
IAPP AP is operating in repeater mode El punto de acceso de reserva ha asumido las funciones del punto de
acceso supervisado y est actuando como punto de acceso repetidor.
Standby status: Initializing El punto de acceso de reserva est inicializando pruebas de conexin con
el punto de acceso supervisado.
Standby status: Takeover El punto de acceso de reserva ha pasado al modo activo.
Standby status: Stopped Un comando de configuracin ha detenido el modo de reserva.
Standby status: Ethernet Linktest Failed Prueba de conexin Ethernet entre el punto de acceso de reserva y el
punto de acceso supervisado fallida.
Standby status: Radio Linktest Failed Prueba de conexin de radio entre el punto de acceso de reserva y el
punto de acceso supervisado fallida.
Standby status: Standby Error Se ha producido un error sin definir.
Standby State: Init El punto de acceso de reserva est inicializando pruebas de conexin con
el punto de acceso supervisado.

Tabla 113 Mensajes de estado del modo de reserva (Continuacin)

Mensaje Descripcin
Standby State: Running El punto de acceso de reserva est funcionando en el modo de espera y
est ejecutando pruebas de conexin con el punto de acceso supervisado.
Standby State: Stopped Un comando de configuracin ha detenido el modo de reserva.
Standby State: Not Running El punto de acceso no se encuentra en el modo de espera.
Utilice este comando para comprobar la configuracin del modo de reserva:

show iapp standby-parms
Este comando indica la direccin MAC del punto de acceso de reserva y los
valores de tiempo de espera de la unidad reserva y la frecuencia de sondeo. Si no se
ha configurado ningn punto de acceso de reserva, aparecer este mensaje:
no iapp standby mac-address
Si un punto de acceso de reserva asume las funciones del punto de acceso

supervisado, puede utilizar el comando show iapp statistics para determinar la
causa de este hecho.

Notas:

Captulo 22
Configuracin del registro de mensajes del

sistema
Este captulo describe cmo configurar el registro de mensajes del sistema en el

punto de acceso.
Tema Pgina
Registro de los mensajes del sistema 499
Configuracin del registro de mensajes del sistema 500
Visualizacin de la configuracin del registro 512
Configuracin predeterminada del registro de mensajes del sistema 501
Habilitacin e inhabilitacin del registro de mensajes 502
Configuracin del dispositivo de destino de la visualizacin de mensajes 503
Habilitacin e inhabilitacin de sellos de hora en los mensajes de registro 504
Habilitacin e inhabilitacin de nmeros de secuencia en los mensajes de registro 505
Definicin del nivel de gravedad de los mensajes 506
Limitacin de los mensajes syslog enviados a la tabla de historial y SNMP 508
Configuracin de un lmite de registro 509
Configuracin de los servidores syslog UNIX 510

IOS versin 12.3).
Registro de los mensajes del De manera predeterminada, los puntos de acceso envan la salida de los mensajes
del sistema y los comandos EXEC con privilegios debug a un proceso de
sistema registro. El proceso de registro controla la distribucin de los mensajes de registro
a distintos destinos, como el bfer de registro, las lneas de terminal o un servidor
syslog UNIX, en funcin de la configuracin. El proceso tambin enva mensajes
a la consola.
SUGERENCIA El formato syslog es compatible con 4.3 BSD UNIX.
Cuando el proceso de registro est inhabilitado, los mensajes solo se envan a la

consola. Los mensajes se envan a medida que se generan, por lo que la salida del
mensaje y la depuracin se entremezclan con solicitudes o la salida de otros
comandos. Los mensajes se muestran en la consola una vez que ha concluido el
proceso por el que se generan.

Captulo 22 Configuracin del registro de mensajes del sistema
Puede configurar el nivel de gravedad de los mensajes al objeto de controlar el

tipo de mensajes que aparecen en la consola y cada uno de los destinos. Puede
horofechar los mensajes de registro o configurar la direccin de origen syslog para
mejorar la administracin y la depuracin en tiempo real.
Puede obtener acceso a los mensajes del sistema registrados a travs de la interface
de lnea de comandos del punto de acceso (CLI) o guardndolos en un servidor
syslog debidamente configurado. El software del punto de acceso guarda los
mensajes syslog en un bfer interno. Puede supervisar a distancia los mensajes del
sistema mediante el acceso al punto de acceso a travs de Telnet o la visualizacin
de los registros en un servidor syslog.
Configuracin del registro de Esta seccin describe el modo de configurar el registro de mensajes del sistema.
Los mensajes de registro del sistema pueden contener hasta 80 caracteres y un
mensajes del sistema signo de porcentaje (%) despus del nmero de secuencia opcional o la
informacin de sello de hora, si est configurada. Los mensajes se muestran con
este formato:
seq no:timestamp: %facility-severity-
MNEMONIC:description
La parte del mensaje que antecede al signo de porcentaje depende del ajuste del
comando de configuracin global:
service sequence-numbers, service timestamps log
datetime, service timestamps log datetime
[localtime] [msec] [show-timezone], or service
timestamps log uptime
La tabla a continuacin describe los elementos de los mensajes syslog .

Tabla 114 Elementos de los mensajes de registro del sistema
Elemento Descripcin
seq no Sella los mensajes de registro con un nmero de secuencia nicamente cuando est configurado el
comando de configuracin global service sequence-numbers.
Para obtener ms informacin, consulte Habilitacin e inhabilitacin de nmeros de secuencia en los
mensajes de registro en la pgina 505.
timestamp formats: Fecha y hora del mensaje o evento. Esta informacin aparece nicamente cuando est configurado el
mm/dd hh:mm:ss comando de configuracin global service timestamps log
[datetime | log].
o
Si desea ms informacin, consulte Habilitacin e inhabilitacin de sellos de hora en los mensajes de
hh:mm:ss (short uptime) registro en la pgina 504.
o
d h (long uptime)
facility Componente al que hace referencia el mensaje, por ejemplo, SNMP, SYS .
Este componente puede ser un dispositivo de hardware, un protocolo o un mdulo del software del
sistema. Indica el origen o la causa del mensaje del sistema.
severity Cdigo de un nico dgito entre 0 y 7 que indica la gravedad del mensaje. Si desea obtener una
descripcin de los niveles de gravedad, consulte Tabla 116 en la pgina 507.
MNEMONIC Cadena de texto que describe de forma unvoca el mensaje.
description Cadena de texto que contiene informacin detallada sobre el evento notificado.

Configuracin del registro de mensajes del sistema Captulo 22
Este ejemplo muestra un mensaje del sistema del punto de acceso parcial:
00:00:46: %LINK-3-UPDOWN: Interface Port-channel1,
changed state to up
00:00:47: %LINK-3-UPDOWN: Interface
GigabitEthernet0/1, changed state to up
00:00:47: %LINK-3-UPDOWN: Interface
GigabitEthernet0/2, changed state to up
00:00:48: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Vlan1, changed state to down
00:00:48: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernet0/1, changed state to down
2
*Mar 1 18:46:11: %SYS-5-CONFIG_I: Configured from
console by vty2 (10.34.195.36)
18:47:02: %SYS-5-CONFIG_I: Configured from console
by vty2 (10.34.195.36)
*Mar 1 18:48:50.483 UTC: %SYS-5-CONFIG_I:
Configured from console by vty2 (10.34.195.36)
Configuracin predeterminada del registro de mensajes del sistema

Esta tabla muestra la configuracin predeterminada del registro de mensajes del
sistema.
Tabla 115 Configuracin predeterminada del registro de los mensajes del sistema
Registro de los mensajes del Enabled
sistema en la consola
Gravedad de la consola Debugging (y niveles con un nmero inferior; vase Tabla 116 en la pgina 507)
Tamao del bfer de registro 4096 bytes
Tamao del historial de registro 1 mensaje
Sellos de hora Disabled
Registro sncrono Disabled
Servidor de registro Disabled
Direccin IP del servidor syslog None configured
Componente del servidor Local7 (vase Tabla 117 en la pgina 512)
Gravedad del servidor Informational (y niveles con un nmero inferior; vase Tabla 116 en la pgina 507)

Habilitacin e inhabilitacin del registro de mensajes
El registro de mensajes est habilitado de manera predeterminada. Debe estar

habilitado para enviar mensajes a cualquier destino distinto de la consola. Cuando
est habilitado, los mensajes de registro se someten a un proceso por el que se
registran en las ubicaciones designadas de forma asncrona a los proceso por los
que se generaron los mensajes.
En el modo EXEC con privilegios, siga estos pasos para inhabilitar el registro de
mensajes.

configure terminal
2. Inhabilite el registro de mensajes.
no logging on
end
show running-config
o
show logging
La inhabilitacin del proceso de registro puede ralentizar el funcionamiento del

punto de acceso, ya que los procesos debern esperar a que los mensajes se
escriban en la consola antes de continuar. Cuando el proceso de registro est
inhabilitado, los mensajes se muestran en la consola en cuanto se generan y con
frecuencia aparecen en medio de la salida de un comando.
El comando de configuracin global logging synchronous tambin afecta

a la visualizacin de los mensajes en la consola. Cuando este comando est
habilitado, los mensajes no aparecen hasta que se presiona la tecla de retorno. Para
obtener ms informacin, consulte Habilitacin e inhabilitacin de sellos de hora
en los mensajes de registro en la pgina 504.
Para volver a habilitar el registro de mensajes despus de inhabilitarlo, utilice el

comando de configuracin global logging on .

Configuracin del dispositivo de destino de la visualizacin de

mensajes
Si el registro de mensajes est habilitado, podr enviar mensajes a ubicaciones

especficas al margen de la consola. En el modo EXEC con privilegios, utilice uno
o varios de estos comandos para especificar las ubicaciones que recibirn
mensajes.

configure terminal
Registre los mensajes en un bfer interno. El tamao predeterminado del

bfer es 4096. El intervalo comprende entre 4096 y 2147483647 bytes.
Los niveles incluyen emergencies 0, alerts 1, critical 2, errors 3, warnings 4,
notifications 5, informational 6 y debugging 7.
SUGERENCIA Evite que el bfer tenga un tamao excesivo, ya que el punto de acceso podra
quedarse sin memoria para otras tareas. Utilice el comando EXEC con
privilegios show memory para ver la memoria del procesador libre en el punto
de acceso; no obstante, este valor indica la memoria mxima disponible, no
configure el tamao del bfer con este valor.
logging buffered [size] [level]

2. Registre los mensajes en un anfitrin servidor syslog UNIX.
Para host, especifique el nombre o direccin IP del anfitrin que se
utilizar como servidor syslog.
Para crear una lista de servidores syslog que reciban mensajes de registro,
introduzca este comando ms de una vez.
Si desea conocer todos los pasos necesarios para la configuracin de un
servidor syslog, consulte Configuracin de los servidores syslog UNIX en
la pgina 510.
logging host
end
4. Registre los mensajes en un terminal distinto de la consola durante la sesin
en curso.
Los comandos de configuracin de los parmetros del terminal se ajustan a
escala local y solo se hacen efectivos una vez que ha terminado la sesin.
Deber llevar a cabo este paso en cada sesin para ver los mensajes de
depuracin.
terminal monitor
show running-config

El comando de configuracin global logging buffered copia los mensajes

de registro en un bfer interno. El bfer es circular, de modo que los mensajes ms
recientes sobrescriben los ms antiguos cuando el bfer est lleno.
Para ver los mensajes registrados en el bfer, utilice el comando EXEC con
privilegios show logging . El primer mensaje que aparece es el mensaje
ms antiguo del bfer.
Para eliminar el contenido del bfer, utilice el comando EXEC con

privilegios clear logging .
Para inhabilitar el registro en la consola, utilice el comando de

configuracin global no logging console.
Para inhabilitar el registro en un archivo, utilice el comando de

configuracin global no logging file [severity-level-
number | type].
Habilitacin e inhabilitacin de sellos de hora en los mensajes de

registro
Los mensajes de registro no se horofechan de manera predeterminada.
En el modo EXEC con privilegios, siga estos pasos para habilitar el horofechado
de los mensajes de registro.

configure terminal
2. Habilite los sellos de hora de registro.
El primer comando habilita los sellos de hora en los mensajes de registro,
indicando la hora en la que el sistema se reinici por ltima vez.
El segundo comando habilita los sellos de hora en los mensajes de registro.
En funcin de las opciones seleccionadas, el sello de hora puede incluir la
fecha, la hora en milisegundos en relacin con la zona horaria local y el
nombre de la zona horaria.
service timestamps log uptime
o
service timestamps log datetime [msec] [localtime]
[show-timezone]
end
show running-config

Para inhabilitar los sellos de hora de los mensajes de depuracin y registro,

utilice el comando de configuracin global no service
timestamps .
Este ejemplo muestra parte de una pantalla de registro con el comando de

configuracin global service timestamps log datetime
habilitado:
*Mar 1 18:46:11: %SYS-5-CONFIG_I: Configured from

console by vty2 (10.34.195.36)
Este ejemplo muestra parte de una pantalla de registro con el comando de

configuracin global service timestamps log uptime
habilitado:
00:00:46: %LINK-3-UPDOWN: Interface Port-channel1,

changed state to up
Habilitacin e inhabilitacin de nmeros de secuencia en los

mensajes de registro
Dado que existe la posibilidad de que varios mensajes de registro tengan el mismo
sello de hora, puede hacer que los mensajes se muestren con nmeros de secuencia
para poder referirse a un solo mensaje de forma unvoca. Los nmeros de
secuencia no aparecen en los mensajes de registro de manera predeterminada.
En el modo EXEC con privilegios, siga estos pasos para habilitar los nmeros de
secuencia en los mensajes de registro.

configure terminal
2. Habilite los nmeros de secuencia.
service sequence-numbers
end
show running-config
Para inhabilitar los nmeros de secuencia, utilice el comando de

configuracin global no service sequence-numbers.
Este ejemplo muestra parte de una pantalla de registro con los nmeros de
secuencia habilitados:
000019: %SYS-5-CONFIG_I: Configured from console by

vty2 (10.34.195.36)

Definicin del nivel de gravedad de los mensajes
Puede limitar los mensajes que se muestran en el dispositivo seleccionado si

especifica el nivel de gravedad de estos (estos niveles se describen en Tabla 116 en
la pgina 507). Si especifica un nivel, en el destino se mostrarn los mensajes de
dicho nivel y con niveles numricamente inferiores.
En el modo EXEC con privilegios, siga estos pasos para definir el nivel de
gravedad de los mensajes.

configure terminal
2. Limite los mensajes registrados en la consola.
De manera predeterminada, la consola recibe mensajes de depuracin y
con niveles numricamente inferiores (vase Tabla 116 en la pgina 507).
logging console level
3. Limite los mensajes registrados en las lneas de terminal.
De manera predeterminada, el terminal recibe mensajes de depuracin y
con niveles numricamente inferiores (vase Tabla 116 en la pgina 507).
logging monitor level
4. Limite los mensajes registrados en los servidores syslog.
De manera predeterminada, los servidores syslog reciben mensajes
informativos y con niveles numricamente inferiores (vase Tabla 116 en la
pgina 507).
Si desea conocer todos los pasos necesarios para la configuracin de un
servidor syslog, consulte Configuracin de los servidores syslog UNIX en
la pgina 510.
logging trap level
end
show running-config
o
show logging
Para inhabilitar el registro en la consola, utilice el comando de

configuracin global no logging console.
Para inhabilitar el registro en un terminal distinto de la consola, utilice el

comando de configuracin global no logging monitor.
Para inhabilitar el registro en los servidores syslog, utilice el comando de

configuracin global no logging trap.

Esta tabla describe las palabras clave de nivel. Tambin enumera las definiciones
syslog UNIX correspondientes desde el nivel de mayor gravedad hasta el de
menor gravedad.
Tabla 116 Palabras clave del nivel de registro de mensajes
Palabra clave de Nivel Descripcin Definicin Syslog
nivel
emergencies 0 Sistema inestable LOG_EMERG
alertas 1 Se necesita una accin inmediata LOG_ALERT
critical 2 Condiciones crticas LOG_CRIT
errores 3 Condiciones de error LOG_ERR
advertencias 4 Condiciones de aviso LOG_WARNING
notifications 5 Condicin normal, aunque LOG_NOTICE
significativa
informational 6 Solo mensajes informativos LOG_INFO
debugging 7 Mensajes de depuracin LOG_DEBUG
El software genera cuatro categoras de mensajes:
Mensajes de error sobre fallos del software o el hardware, que se muestran

en los niveles de warnings a emergencies. Este tipo de mensajes indica que
la funcionalidad del punto de acceso se ha visto afectada.
La salida de los comandos debug , que se muestra en el nivel debugging.

Los comandos de depuracin normalmente nicamente los utiliza el
centro de asistencia tcnica (TAC).
Mensajes de transiciones de ascenso o descenso de la interface y reinicio del

sistema, que se muestran en el nivel de notifications. Este mensaje tiene
fines meramente informativos; la funcionalidad del punto de acceso no se
ha visto afectada.
Mensajes de solicitudes de recarga y pila de proceso baja, que se muestran

en el nivel informational. Este mensaje tiene fines meramente
informativos; la funcionalidad del punto de acceso no se ha visto afectada.
SUGERENCIA Los mensajes de registro de las solicitudes de autenticacin no se almacenan

en un servidor syslog. Esta opcin no es compatible con los puntos de acceso
Aironet de Cisco.

Limitacin de los mensajes syslog enviados a la tabla de historial y

SNMP
Si ha habilitado el envo de interrupciones syslog a una estacin de administracin

de red SNMP mediante el comando de configuracin global snmp-server
enable trap, puede modificar el nivel de los mensajes enviados y almacenados
en la tabla de historial del punto de acceso. Tambin puede modificar el nmero
de mensajes que se almacenan en la tabla de historial.
Los mensajes se almacenan en la tabla de historial porque no hay garanta de

que las interrupciones SNMP lleguen a su destino. De manera predeterminada,
los mensajes del nivel warning y niveles numricamente inferiores
(vase Tabla 116 en la pgina 507) se almacenan en la tabla de historial aunque
las interrupciones syslog no estn habilitadas.
En el modo EXEC con privilegios, siga estos pasos para cambiar los valores
predeterminados del nivel y el tamao de la tabla de historial.

configure terminal
2. Cambie el nivel predeterminado de los mensajes syslog almacenados en
el archivo de historial y enviados al servidor SNMP.
Consulte Tabla 116 en la pgina 507 si desea ver la lista de las palabras
clave de nivel.
De manera predeterminada se envan los mensajes de warnings, errors,
critical, alerts y emergencies.
logging history level
Especifique el nmero de mensajes syslog que pueden almacenarse en

la tabla de historial. El ajuste predeterminado es el almacenamiento de un
mensaje. Puede configurar un valor en un intervalo entre 1 y 500.
logging history size number
3. Especifique el nmero de mensajes syslog que pueden almacenarse en la
tabla de historial.
El ajuste predeterminado es el almacenamiento de un mensaje. Puede
configurar un valor en un intervalo entre 1 y 500.
logging history size number
end
show running-config
Cuando la tabla de historial est llena (contiene el nmero mximo de entradas

de mensaje especificado con el comando de configuracin global logging
history size), la entrada de mensaje ms antigua se elimina de ella para
permitir almacenar una nueva entrada.

Para devolver el registro de mensajes syslog al nivel predeterminado, utilice el

comando de configuracin global no logging history. Para devolver el
nmero de mensajes de la tabla de historial a su valor predeterminado, utilice el
comando de configuracin global no logging history size.
Configuracin de un lmite de registro
Puede habilitar un lmite para el nmero de mensajes que registra el punto de

acceso por segundo. Puede habilitar el lmite para todos los mensajes o para los
mensajes enviados a la consola, y puede especificar la exencin del lmite para los
mensajes con una gravedad determinada. Para inhabilitar este lmite, utilice el
comando de configuracin global no logging rate-limit.
En el modo EXEC con privilegios, siga estos pasos para habilitar un lmite de
registro.

configure terminal
2. Habilite un lmite de registro en segundos.
(Opcional) Aplique el lmite a todo el registro o a los mensajes
registrados nicamente en la consola.
(Opcional) Configure la exencin de un nivel de gravedad concreto del
lmite.
logging rate-limit seconds
[all | console]
[except severity]
end

Configuracin de los servidores syslog UNIX
Las secciones a continuacin describen cmo configurar el centinela syslog de

servidor 4.3 BSD UNIX y definir el componente de registro del sistema UNIX.
Registro de los mensajes en un centinela syslog UNIX
Para poder enviar mensajes de registro del sistema a un servidor syslog UNIX,
deber configurar el centinela syslog en un servidor UNIX. Inicie sesin como
raz y siga estos pasos.
SUGERENCIA Algunas de las ltimas versiones de centinelas syslog de UNIX ya no aceptan

los paquetes syslog procedentes de la red de manera predeterminada. Si este
es el caso de su sistema, utilice el comando UNIX man syslogd para determinar
qu opciones deben aadirse o eliminarse de la lnea de comandos syslog para
habilitar el registro de mensajes syslog remotos.
1. Aada una lnea como esta al archivo /etc/syslog.conf:

local7.debug /usr/adm/logs/cisco.log
La palabra clave local7 especifica el componente de registro que se

utilizar; consulte Tabla 117 en la pgina 512 si desea obtener informacin
sobre los componentes. La palabra clave debug especifica el nivel syslog;
consulte Tabla 116 en la pgina 507 si desea obtener informacin sobre
los niveles de gravedad. El centinela syslog enviar mensajes en este nivel o
en niveles de gravedad superiores al archivo especificado en el siguiente
campo. El archivo ya debe existir y el centinela syslog debe tener
autorizacin para escribir en l.
2. Cree el archivo de registro introduciendo estos comandos en la solicitud
shell de UNIX:
$ touch /usr/adm/log/cisco.log
$ chmod 666 /usr/adm/log/cisco.log
3. Compruebe que el centinela syslog lea los nuevos cambios introduciendo

este comando:
$ kill -HUP `cat /etc/syslog.pid`
Si desea ms informacin, consulte los comandos man syslog.conf y man

syslogd en su sistema UNIX.

Configuracin del componente de registro del sistema UNIX
Cuando enve mensajes de registro del sistema a un dispositivo externo, puede

utilizar el punto de acceso para identificar sus mensajes como procedentes de
cualquiera de los componentes syslog UNIX.
En el modo EXEC con privilegios, siga estos pasos para configurar el

componente de registro de mensajes del sistema UNIX.

configure terminal
2. Registre los mensajes en un anfitrin servidor syslog UNIX introduciendo
su direccin IP.
Para crear una lista de servidores syslog que reciban mensajes de registro,
introduzca este comando ms de una vez.
logging host
3. Limite los mensajes registrados en los servidores syslog.
De manera predeterminada, los servidores syslog reciben mensajes con un
nivel informational e inferiores.
logging trap level
Consulte Tabla 116 en la pgina 507 para ver las palabras clave de nivel.
4. Configure el componente syslog.
El valor predeterminado es local7.
logging facility facility-type
Consulte Tabla 117 en la pgina 512 para ver las palabras clave del tipo de
componente.
end
show running-config
Para eliminar un servidor syslog, utilice el comando de configuracin

global no logging host global y especifique la direccin IP del
servidor syslog.
Para inhabilitar el registro en los servidores syslog, utilice el comando de

configuracin global no logging trap.

Esta tabla enumera los componentes del sistema 4.3 BSD UNIX compatibles
con el software Cisco IOS. Si desea ms informacin sobre estos componentes,
consulte el manual de usuario de su sistema operativo UNIX.
Tabla 117 Palabras clave de tipos de componentes del registro
Palabra clave de tipo de Descripcin
componente
auth Sistema de autorizacin
cron Componente cron
daemon Centinela del sistema
kern Kernel
local0-7 Mensajes definidos a escala local
lpr Sistema de impresora de lnea
mail Sistema de correo
news Noticias USENET
sys9 Uso del sistema
Syslog Registro del sistema
User Proceso de usuario
uucp Sistema de copia UNIX a UNIX
Visualizacin de la Para ver la configuracin actual del registro y el contenido de su bfer, utilice el
comando EXEC con privilegios show logging .
configuracin del registro
Si desea informacin sobre los campos de esta pantalla, consulte la publicacin
Cisco IOS Configuration Fundamentals Command Reference and the Cisco
IOS IP and IP Routing Command Reference (documento de referencia de los
comandos bsicos de configuracin de Cisco IOS y de los comandos de
enrutamiento IP e IP de Cisco IOS).
Para ver el archivo del historial de registro, utilice el comando EXEC con
privilegios show logging history.

Captulo 23
Resolucin de problemas
Este captulo explica procedimientos de resolucin de problemas bsicos del

punto de acceso inalmbrico/puente de grupo de trabajo.
Si desea informacin sobre la resolucin de problemas ms reciente y completa,

visite el sitio web Cisco TAC en la siguiente URL (seleccione Top Issues y
despus Wireless Technologies): http://www.cisco.com/tac
Tema Pgina
Comprobacin de los ajustes bsicos 513
SSID 513
Claves previamente compartidas 514
Ajustes de seguridad 514
Restablecimiento de la configuracin predeterminada 514
Interfaz del navegador web 515
CLI 521
Compruebe los indicadores Si su dispositivo inalmbrico no establece la comunicacin, compruebe los

indicadores de estado en la parte superior del punto de acceso inalmbrico/
de estado. puente de grupo de trabajo.
Consulte Indicadores de estado del punto de acceso en la pgina 46 si desea

obtener una descripcin detallada.
Comprobacin de los ajustes bsicos
La falta de coincidencia de los ajustes bsicos es la causa ms habitual de prdida

de la conectividad con los clientes inalmbricos. Si el dispositivo inalmbrico no
se comunica con los dispositivos cliente, compruebe los puntos que se describen
en esta seccin.
SSID
Los clientes inalmbricos que intenten asociarse al dispositivo inalmbrico

debern utilizar el mismo SSID que el dispositivo inalmbrico. Si el SSID de un
dispositivo cliente no coincide con el SSID de un dispositivo inalmbrico en el
alcance de la radio, el dispositivo cliente no se asociar.

Captulo 23 Resolucin de problemas
Claves previamente compartidas
Si configura la administracin de claves WPA2 con claves previamente

compartidas, el punto de acceso raz y un cliente (o un puente de grupo de
trabajo) tendrn que tener las claves configuradas con el mismo valor.
Consulte Configuracin de las suites de algoritmos de cifrado en la pgina 331

para obtener ms informacin.
Ajustes de seguridad
Los clientes inalmbricos que intenten autenticarse con el dispositivo inalmbrico

debern admitir las mismas opciones de seguridad configuradas en el dispositivo
inalmbrico, como EAP o LEAP, la autenticacin de direcciones MAC, la
comprobacin de la integridad de los mensajes (MIC)y las versiones de protocolo
802.1X.
Si sus clientes de radio estn empleando la autenticacin EAP-FAST, deber

configurar la autenticacin abierta con EAP. Si no configura la autenticacin
abierta con EAP, aparecer un mensaje de aviso. Si utiliza la CLI, aparecer este
mensaje de aviso:
SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-
FAST, AUTH OPEN with EAP can also be configured.
Si utiliza la GUI, aparecer este mensaje de aviso:

WARNING:
Network EAP is used only for LEAP authentication. If radio clients are
configured to authenticate by using EAP-FAST, Open Authentication
with EAP can also be configured.
Si un cliente inalmbrico no puede autenticarse con el dispositivo inalmbrico,

pngase en contacto con el administrador del sistema para averiguar cules son
los ajustes de seguridad adecuados para el adaptador del cliente y las versiones del
controlador del adaptador del cliente y el firmware que son compatibles con los
ajustes del dispositivo inalmbrico.
SUGERENCIA La direccin MAC del dispositivo inalmbrico que aparece en la pgina Status
de Aironet Client Utility (ACU) es la direccin MAC de la radio del dispositivo
inalmbrico. La direccin MAC del puerto Ethernet del punto de acceso se
encuentra impresa en la etiqueta de la parte posterior del punto de acceso.
Restablecimiento de la Si olvida la contrasea que permite configurar el dispositivo inalmbrico, tendr

que restablecer la configuracin por completo.
configuracin
predeterminada IMPORTANTE Los pasos a continuacin restablecen el valor de fbrica de todos los ajustes
de configuracin, incluidas las contraseas, ajustes de seguridad, la direccin
IP y el SSID. El nombre de usuario predeterminado es el campo en blanco y la
contrasea es wirelessap. Es sensible a las maysculas y minsculas.

Resolucin de problemas Captulo 23
Botn MODE
Siga estos pasos para eliminar la configuracin actual y restablecer los valores
predeterminados de fbrica en todos los puntos de acceso a travs del botn
MODE.
1. Desconecte la alimentacin elctrica (la toma de la alimentacin externa o

el cable Ethernet para la alimentacin en lnea) del punto de acceso.
2. Mantenga presionado el botn MODE mientras vuelve a conectar la
alimentacin del punto de acceso.
3. Mantenga el botn MODE presionado hasta que el indicador de estado se
ilumine en rojo (aproximadamente entre 20 y 30 segundos) y sultelo
entonces.
4. Una vez que se haya reiniciado el punto de acceso, podr reconfigurarlo a
travs de la interface del navegador web o la CLI.
SUGERENCIA El punto de acceso se configura con los valores predeterminados de
fbrica, incluida la direccin IP, que est configurada para recibir una
direccin IP a travs de DHCP. El nombre de usuario predeterminado es
el campo en blanco y la contrasea es wirelessap, que es sensible a las
maysculas y minsculas.
Interfaz del navegador web Siga estos pasos para eliminar la configuracin actual y restablecer todos los
valores predeterminados de fbrica del dispositivo inalmbrico mediante la
1. Abra su navegador de internet. Deber utilizar Microsoft Internet Explorer

(versin 6.x o posterior) o Netscape Navigator (versin 7.x o posterior).
2. Introduzca la direccin IP del dispositivo inalmbrico en la lnea de
direccin del navegador y presione Enter.
3. Introduzca su nombre de usuario en el campo User Name.
4. Introduzca la contrasea del dispositivo inalmbrico en el campo Password
y presione Enter.
5. Haga clic en System Software.
Aparecer la pantalla System Software.
6. Haga clic en System Configuration.
Aparecer la pantalla System Configuration.
7. Haga clic en Reset to Defaults o Reset to Defaults (Except IP).
8. Si desea mantener una direccin IP esttica, elija la opcin Reset to
Defaults (Except IP).
9. Haga clic en Restart.
El sistema se reiniciar.

10. Una vez que se haya reiniciado el dispositivo inalmbrico, deber

reconfigurar el dispositivo inalmbrico mediante la interface del navegador
web o los comandos CLI.
El nombre del usuario predeterminado est en blanco y la contrasea es
wirelessap, que es sensible a las maysculas y minsculas.
Configuracin de los valores Siga estos pasos para borrar la configuracin actual y restablecer todos los valores
predeterminados de fbrica del dispositivo inalmbrico mediante los comandos
predeterminados de fbrica CLI.
mediante la CLI
1. Abra la CLI a travs de una sesin Telnet o una conexin con el dispositivo
inalmbrico mediante el puerto de consola.
2. Reinicie el dispositivo inalmbrico desconectando la alimentacin y
volviendo a conectarla.
Deje que el dispositivo inalmbrico arranque hasta que aparezca las
solicitud de comando y el dispositivo inalmbrico empiece a descomprimir
la imagen. Puede que esto tarde un minuto.
Cuando vea estas lneas en la CLI, presione Esc.
Loading flash:/c350-k9w7-mx.v122_13_ja.20031010/
c350-k9w7-mx.v122_13_ja.20031010
...################################################
###########################
###################################################
#############################
###################################################
#############################
####################
3. En la solicitud ap:, introduzca el comando flash_init para inicializar la

memoria flash.
ap: flash_init
Initializing Flash...
flashfs[0]: 142 files, 6 directories
flashfs[0]: 0 orphaned files, 0 orphaned
directories
flashfs[0]: Total bytes: 7612416
flashfs[0]: Bytes used: 3407360
flashfs[0]: Bytes available: 4205056
flashfs[0]: flashfs fsck took 0 seconds.
...done initializing Flash.
4. Utilice el comando dir flash: para ver el contenido de la memoria

flash y buscar el archivo de configuracin config.txt.
ap: dir flash:
Directory of flash:/

3 .rwx 223 <date> env_vars

4 .rwx 2190 <date> config.txt
5 .rwx 27 <date> private.config
150 drwx 320 <date> c350.k9w7.mx.122.13.JA
4207616 bytes available (3404800 bytes used)
5. Utilice el comando rename para cambiar el nombre del archivo config.txt

por config.old.
ap: rename flash:config.txt flash:config.old
6. Utilice el comando reset para reiniciar el dispositivo inalmbrico.

ap: reset
Are you sure you want to reset the system (y/n)?y
System resetting...
using eeprom values
WRDTR,CLKTR: 0x80000800 0x80000000
RQDC,RFDC: 0x80000033 0x000001cb
ddr init done
IOS Bootloader Starting system.
Xmodem file system is available.
DDR values used from system serial eeprom.
WRDTR,CLKTR: 0x80000800, 0x80000000
RQDC, RFDC: 0x80000033, 0x000001cb
7. Una vez que el punto de acceso haya terminado de reiniciar el software,

inicie una nueva sesin Telnet con el punto de acceso.
El dispositivo inalmbrico se entrega configurado con valores
predeterminados de fbrica, incluida la direccin IP, configurada para
recibir una direccin IP mediante DHCP y el nombre de usuario (en
blanco) y contrasea (wirelessap) predeterminados.
8. Cuando se haya cargado el software IOS, podr utilizar el comando EXEC
con privilegios del para borrar el archivo config.old de la memoria flash.
ap# del flash:config.old
Delete filename [config.old]
Delete flash:config.old [confirm]
ap#

Recarga de la imagen del Si el dispositivo inalmbrico presenta un fallo de firmware, deber recargar el
archivo de imagen a travs de la interface del navegador web o manteniendo
punto de acceso presionado el botn MODE durante aproximadamente 30 segundos. Puede
utilizar la interface del navegador si el firmware del dispositivo inalmbrico sigue
estando completamente operativo y desea actualizar la imagen del firmware. No
obstante, puede utilizar el botn MODE cuando el punto de acceso tiene una
imagen de firmware corrupta. En tal caso, deber recargar el archivo de imagen
mediante la CLI a travs de una conexin Telnet o del puerto de consola.
Interfaz HTTP
Tambin puede utilizar la interface del navegador web para volver a cargar el
archivo de imagen del dispositivo inalmbrico. La interface del navegador web
admite la carga del archivo de imagen a travs de las interfaces HTTP o TFTP.
SUGERENCIA La configuracin de su dispositivo inalmbrico no cambiar cuando utilice el

explorador para volver a cargar el archivo de imagen.
La interface HTTP le permite navegar hasta el archivo de imagen dispositivo

inalmbrico en su computadora y descargar la imagen en el dispositivo
inalmbrico. Siga las instrucciones a continuacin para utilizar la interface
HTTP.

Deber utilizar Microsoft Internet Explorer (versin 6.x o posterior) o
Netscape Navigator (versin 7.x).
3. Introduzca su nombre de usuario y contrasea y presione Enter.

4. Haga clic en la pestaa System Software.

5. Haga clic en Software Upgrade.

Aparecer la pantalla HTTP Upgrade.
6. Vaya hasta el archivo de imagen en su PC.

7. Haga clic en Upload.
Interfaz TFTP
La interface TFTP permite utilizar un servidor TFTP en un dispositivo de red

para cargar el archivo de imagen del dispositivo inalmbrico. Siga las instruccio-
nes a continuacin para utilizar un servidor TFTP.

Deber utilizar Microsoft Internet Explorer (versin 6.x o posterior) o
Netscape Navigator (versin 7.x).
3. Introduzca su nombre de usuario y contrasea y presione Enter.
4. Haga clic en la pestaa System Software.
5. Haga clic en Software Upgrade.

Aparecer la pantalla HTTP Upgrade.

6. Haga clic en la pestaa TFTP Upgrade.
7. Introduzca la direccin IP del servidor TFTP en el campo TFTP Server.
8. Introduzca el nombre del archivo de imagen en el campo Upload New

System Image Tar File.
Si el archivo se encuentra en una subcarpeta del directorio raz del

servidor TFTP, incluya la ruta relativa del directorio raz del servidor
TFTP con el nombre de archivo.
Si el archivo se ubica en el directorio raz TFTP, introduzca nicamente
el nombre de archivo.
9. Haga clic en Upload.

CLI
Siga estos pasos para volver a cargar la imagen del dispositivo inalmbrico
mediante los comandos CLI. Cuando el dispositivo inalmbrico inicie el
arranque, interrumpa el proceso de arranque y utilice los comandos boot loader
para cargar una imagen procedente de un servidor TFTP que reemplace la
imagen del punto de acceso.
SUGERENCIA La configuracin del dispositivo inalmbrico no cambia cuando se utiliza la CLI

para volver a cargar el archivo de imagen.
1. Inicie la CLI mediante una conexin con el puerto de consola del

dispositivo inalmbrico.
2. Reinicie el dispositivo inalmbrico desconectando la alimentacin y
volviendo a conectarla.
3. Deje que el dispositivo inalmbrico arranque hasta que empiece a
descomprimir la imagen. Cuando vea estas lneas en la CLI, presione Esc:
Loading flash:/c350-k9w7-mx.v122_13_ja.20031010/
c350-k9w7-mx.v122_13_ja.20031010
...################################################
###########################
###################################################
#############################
###################################################
#############################
####################
4. Cuando aparezca la solicitud de comando ap:, introduzca el comando set

para asignar una direccin IP, una mscara de subred y una pasarela
predeterminada al dispositivo inalmbrico.
SUGERENCIA Deber utilizar caracteres en mayscula cuando introduzca las opciones

IP-ADDR, NETMASK y DEFAULT_ROUTER con el comando set.
Puede que sus entradas tengan este aspecto:

ap: set IP_ADDR 192.168.133.160
ap: set NETMASK 255.255.255.0
ap: set DEFAULT_ROUTER 192.168.133.1
5. Introduzca el comando tftp_init para preparar el dispositivo

inalmbrico para TFTP.
ap: tftp_init
6. Introduzca el comando tar para cargar y descomprimir la nueva imagen

procedente de su servidor TFTP.
El comando debe incluir esta informacin:
La opcin -xtract, que descomprime la imagen cuando se carga
La direccin IP de su servidor TFTP
Directorio del servidor TFTP que contiene la imagen

Nombre de la imagen
Destino de la imagen (memoria flash del dispositivo inalmbrico)
Puede que su entrada tenga este aspecto:
ap: tar -xtract tftp://192.168.130.222/images/c350-
k9w7-tar.122-13.JA1.tar flash:
Cuando la pantalla est llena, la CLI se detendr y aparecer --MORE--.

7. Presione la barra de espacio para continuar.
extracting info (229 bytes)
c350-k9w7-mx.122-13.JA1/ (directory) 0 (bytes)
c350-k9w7-mx.122-13.JA1/html/ (directory) 0 (bytes)
c350-k9w7-mx.122-13.JA1/html/level1/ (directory)
0 (bytes)
extracting c350-k9w7-mx.122-13.JA1/html/level1/
appsui.js (558 bytes)
back.htm (205 bytes)
cookies.js (5027 bytes).
forms.js (15704 bytes)...
sitewide.js (14621 bytes)...
config.js (2554 bytes)
stylesheet.css (3215 bytes)
c350-k9w7-mx.122-13.JA1/html/level1/images/
(directory) 0 (bytes)
images/ap_title_appname.gif (1422 bytes)
images/apps_button_1st.gif (1171 bytes)
images/apps_button_cbottom.gif (318 bytes)
images/apps_button_current.gif (348 bytes)
images/apps_button_last.gif (386 bytes)
images/apps_button_last_filler.gif (327 bytes)
images/apps_button_last_flat.gif (318 bytes)
images/apps_button_nth.gif (1177 bytes)

images/apps_leftnav_dkgreen.gif (869 bytes)
-- MORE --
SUGERENCIA Si no presiona la barra de espacio para continuar, el proceso

eventualmente expirar y el dispositivo inalmbrico dejar de
descomprimir la imagen.
8. Introduzca el comando set BOOT para designar la nueva imagen como

aquella que utilizar el dispositivo inalmbrico cuando se reinicie.
El dispositivo inalmbrico crear una carpeta para la imagen con el mismo
nombre que esta y deber incluir la carpeta en el comando. Puede que su
entrada tenga este aspecto:
ap: set BOOT flash:/c350-k9w7-mx.122-13.JA1/c350-
k9w7-mx.122-13.JA1
9. Introduzca el comando set para comprobar sus entradas de gestor de

arranque.
ap: set
BOOT=flash:/c350-k9w7-mx.122-13.JA1/c350-k9w7-
mx.122-13.JA1
DEFAULT_ROUTER=192.168.133.1
IP_ADDR=192.168.133.160
NETMASK=255.255.255.0
10. Introduzca el comando boot para reiniciar el dispositivo inalmbrico.

Cuando el dispositivo inalmbrico se reinicie, cargar la nueva imagen.
ap: boot
Obtencin del software del servidor TFTP
Puede descargarse el software del servidor TFTP de varios sitios web.

Le recomendamos el programa TFTP shareware disponible en
http://tftpd32.jounin.net
Siga las instrucciones del sitio web para la instalacin y uso del programa.

Notas:

Apndice A
Filtros de protocolos
Las tablas de este apndice enumeran algunos de los protocolos que se pueden
filtrar en el punto de acceso.
Tema Pgina
Protocolos Ethertype 525
Protocolos IP 526
Protocolos de puerto IP 526
Protocolos Ethertype En cada tabla, en la columna Protocolo aparece el nombre del protocolo, en la
columna Identificador adicional se indican otros nombres para el mismo
protocolo y en la columna Identificador ISO se seala el identificador numrico
de cada protocolo.
Tabla 118 Protocolos Ethertype
Protocolo Identificador adicional Identificador ISO
ARP 0x0806
RARP 0x8035
Ip 0x0800
Berkeley Trailer Negotiation 0x1000
LAN Test 0x0708
X.25 Level3 X.25 0x0805
Banyan 0x0BAD
CDP 0x2000
DEC XNS XNS 0x6000
DEC MOP Dump/Load 0x6001
DEC MOP MOP 0x6002
DEC LAT LAT 0x6004
Ethertalk 0x809B
Appletalk ARP Appletalk 0x80F3
AARP
IPX 802.2 0x00E0
IPX 802.3 0x00FF
Novell IPX (antiguo) 0x8137
Novell IPX (nuevo) IPX 0x8138
EAPOL (antiguo) 0x8180
EAPOL (nuevo) 0x888E
Telxon TXP TXP 0x8729

Apndice A Filtros de protocolos
Tabla 118 Protocolos Ethertype (Continuacin)

Aironet DDP DDP 0x872D
Enet Config Test 0x9000
NetBUI 0xF0F0
Protocolos IP Tabla 119 Protocolos IP

dummy 0
Internet Control Message Protocol ICMP 1
Internet Group Management Protocol IGMP 2
Transmission Control Protocol TCP 6
Exterior Gateway Protocol EGP 8
PUP 12
CHAOS 16
User Datagram Protocol UDP 17
XNS-IDP IDP 22
ISO-TP4 TP4 29
ISO-CNLP CNLP 80
Banyan VINES VINES 83
Encapsulation Header encap_hdr 98
Spectralink Voice Protocol SVP 119
Spectralink
raw 255
Protocolos de puerto IP Tabla 120 Protocolos de puerto IP

TCP port service multiplexer tcpmux 1
echo 7
discard (9) 9
systat (11) 11
daytime (13) 13
netstat (15) 15
Quote of the Day qotd 17
quote
Message Send Protocol msp 18
ttytst source chargen 19
FTP Data ftp-data 20
FTP Control (21) ftp 21
Secure Shell (22) ssh 22
Telnet 23
Simple Mail Transport Protocol SMTP 25
mail

Filtros de protocolos Apndice A
Tabla 120 Protocolos de puerto IP (Continuacin)

Tiempo timserver 37
Resource Location Protocol RLP 39
IEN 116 Name Server Name 42
whois nicname 43
43
Domain Name Server DNS 53
domain
MTP 57
Servidor BOOTP 67
BOOTP Client 68
TFTP 69
gopher 70
rje netrjs 77
finger 79
Hypertext Transport Protocol HTTP 80
www
ttylink link 87
Kerberos v5 Kerberos 88
krb5
supdup 95
Nombre de anfitrin hostnames 101
TSAP iso-tsap 102
CSO Name Server cso-ns 105
csnet-ns
Remote Telnet rtelnet 107
Postoffice v2 POP2 109
POP v2
Postoffice v3 POP3 110
POP v3
Sun RPC sunrpc 111
tap ident authentication auth 113
sftp 115
uucp-path 117
Network News Transfer Protocol Network News 119
readnews
nntp
USENET News Transfer Protocol Network News 119
readnews
nntp
Network Time Protocol ntp 123
NETBIOS Name Service netbios-ns 137
NETBIOS Datagram Service netbios-dgm 138
NETBIOS Session Service netbios-ssn 139
Interim Mail Access Protocol v2 Interim Mail Access Protocol 143
IMAP2
Simple Network Management Protocol SNMP 161
SNMP Traps SNMP Trap 162


ISO CMIP Management Over IP CMIP Management Over IP 163
cmip-man
CMOT
ISO CMIP Agent Over IP cmip-agent 164
X Display Manager Control Protocol xdmcp 177
NeXTStep page Server NeXTStep 178
Border Gateway Protocol BGP 179
Prospero 191
Internet Relay Chap IRC 194
SNMP Unix Multiplexer smux 199
AppleTalk Routing at-rtmp 201
AppleTalk name binding at-nbp 202
AppleTalk echo at-echo 204
AppleTalk Zone Information at-zis 206
NISO Z39.50 database z3950 210
IPX 213
Interactive Mail Access Protocol v3 imap3 220
Unix Listserv ulistserv 372
Syslog 514
Unix spooler spooler 515
talk 517
ntalk 518
route RIP 520
timeserver timed 525
newdate tempo 526
courier RPC 530
conference chat 531
netnews 532
netwall wall 533
UUCP Daemon UUCP 540
uucpd
Kerberos rlogin klogin 543
Kerberos rsh kshell 544
rfs_server remotefs 556
Kerberos kadmin kerberos-adm 749
network dictionary webster 765
SUP server supfilesrv 871
swat for SAMBA swat 901
SUP debugging supfiledbg 1127
ingreslock 1524
Prospero non-priveleged prospero-np 1525
RADIUS 1812

Filtros de protocolos Apndice A

Concurrent Versions System CVS 2401
Cisco IAPP 2887
Radio Free Ethernet RFE 5002

Notas:

Apndice B
MIB compatibles
Este apndice enumera las bases de informacin de gestin (MIB) del protocolo
simple de administracin de redes (SNMP) compatibles con el punto de acceso
para esta versin de software. El agente SNMP Cisco IOS es compatible con
SNMPv1, SNMPv2 y SNMPv3.
Tema Pgina
Lista de MIB 531
Acceso a los archivos de MIB mediante FTP 532
Lista de MIB IEEE802dot11-MIB

Q-BRIDGE-MIB
P-BRIDGE-MIB
CISCO-DOT11-LBS-MIB
CISCO-DOT11-IF-MIB
CISCO-WLAN-VLAN-MIB
CISCO-IETF-DOT11-QOS-MIB
CISCO-IETF-DOT11-QOS-EXT-MIB
CISCO-DOT11-ASSOCIATION-MIB
CISCO-L2-DEV-MONITORING-MIB
CISCO-DDP-IAPP-MIB
CISCO-IP-PROTOCOL-FILTER-MIB
CISCO-SYSLOG-EVENT-EXT-MIB
CISCO-TBRIDGE-DEV-IF-MIB
BRIDGE-MIB
CISCO-CDP-MIB
CISCO-CONFIG-COPY-MIB
CISCO-CONFIG-MAN-MIB
CISCO-FLASH-MIB
CISCO-IMAGE-MIB
CISCO-MEMORY-POOL-MIB
CISCO-PROCESS-MIB
CISCO-PRODUCTS-MIB
CISCO-SMI-MIB

Apndice B MIB compatibles
CISCO-TC-MIB
CISCO-SYSLOG-MIB
CISCO-WDS-INFO-MIB
ENTITY-MIB
IF-MIB
OLD-CISCO-CHASSIS-MIB
OLD-CISCO-SYS-MIB
OLD-CISCO-SYSTEM-MIB
OLD-CISCO-TS-MIB
RFC1213-MIB
RFC1398-MIB
SNMPv2-MIB
SNMPv2-SMI
SNMPv2-TC
Acceso a los archivos de MIB Siga estos pasos para obtener cada archivo MIB mediante FTP.
mediante FTP 1. Utilice FTP para obtener acceso al servidor ftp.cisco.com.
2. Inicie sesin con el nombre de usuario anonymous.
3. Introduzca el nombre de usuario de su correo electrnico cuando se le
solicite la contrasea.
4. En el cuadro emergente ftp>, cambie los directorios a
/pub/mibs/v1 o /pub/mibs/v2.
5. Utilice el comando get MIB_filename para obtener una copia del
archivo MIB.
SUGERENCIA Tambin puede obtener acceso a informacin sobre las MIB en el sitio web
de Cisco:
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Apndice C
Mensajes de eventos y errores
Este apndice enumera los mensajes de errores y eventos de la CLI.

Tema Pgina
Convenciones 533
Mensajes de actualizacin automtica del software 534
Mensajes de administracin de la asociacin 535
Mensajes de descompresin 535
Mensajes de registro del sistema 536
Mensajes del subsistema 802.11 536
Mensajes de protocolo entre puntos de acceso 541
Mensajes del autenticador local 541
Mensajes WDS 543
Mensajes Mini IOS 543
Mensajes del punto de acceso/puente 544
Mensajes del protocolo de descubrimiento de Cisco 544
Mensajes de error del servidor RADIUS externo 544
Mensajes del sensor 544
Mensajes de error SNMP 545
Mensajes de error SSH 546
Convenciones Los mensajes de error del sistema se muestran en el formato que se indica en esta
tabla.
Tabla 1 Convenciones sobre los mensajes de error del sistema
Componente del mensaje Descripcin EJEMPLO:
Identificador del error Una cadena que clasifica el error. STATION-ROLE
Componente del software Una cadena que identifica el componente del AUTO_INSTALL
software del error.
Severity Level Una cadena numrica que indica la gravedad del 0-LOG-EMERG: situacin de emergencia, nada funciona
error. 1-LOG-ALERT: avisa al usuario de un problema muy grave
2-LOG-CRIT: avisa de un posible error crtico grave
3-LOG-ERR: aviso de condicin de error, la mayora de las caractersticas funcionan; tenga
cuidado
4-LOG-WARNING: aviso que el usuario puede obviar si lo prefiere
5-LOG-NOTICE: aviso que puede interesar al usuario
6-LOG-INFO: informativo (no grave)
7-LOG-DEBUG: informacin de depuracin (no grave)

Apndice C Mensajes de eventos y errores
Tabla 1 Convenciones sobre los mensajes de error del sistema (Continuacin)

Componente del mensaje Descripcin EJEMPLO:
Indicadores de accin Internos del cdigo para visualizar acciones 0: ningn indicador de accin
adicionales. MSG-TRACEBACK: incluye rastreabilidad con mensaje
MSG-PROCESS: incluye informacin del proceso con mensaje
MSG-CLEAR: indica que la condicin se ha borrado
MSG-SECURITY: indica como mensaje de seguridad
MSG-NOSCAN: elimina el cribado de patrn EEM
%d Un nmero entero. 2450
%e Una direccin MAC. 000b.fcff.b04e
%s Una cadena de mensaje que ofrece ms Attempt to protect port 1640 failed.
informacin sobre el error.
x Un nmero hexadecimal. 0x001
Mensajes de actualizacin Esta tabla explica los mensajes que se muestran cuando se actualiza el software.
automtica del software
Tabla 2 Mensajes de actualizacin automtica del software
Mensaje Explicacin Accin recomendada
SW-AUTO-UPGRADE-2-FATAL_FAILURE: Attempt to Actualizacin automtica del software fallida. Copie el software antes de reiniciar la
upgrade software failed, software on flash may be Compruebe que el software se haya unidad.
deleted. Please copy software into flash. eliminado. Copie el software en la memoria
flash.
SW-AUTO-UPGRADE-7-DHCP_CLIENT_FAILURE: %s: Auto Actualizacin automtica del software fallida. Compruebe que el cliente DHCP est
upgrade of the software failed. funcionando.
SW-AUTO-UPGRADE-7-DHCP_SERVER_FAILURE: %s: Auto Actualizacin automtica del software fallida. Compruebe que el servidor DHCP se
upgrade of the software failed. haya configurado correctamente.
SW-AUTO-UPGRADE-7_BOOT_FAILURE: %s: Auto upgrade Actualizacin automtica del software fallida. Reinicie la unidad. Si el mensaje
of the software failed. aparece de nuevo, copie el mensaje de
error tal y como aparece y consulte a su
representante de asistencia tcnica.
AUTO-INSTALL-4-STATION_ROLE: %s: The radio is La radio est funcionando en el modo de Utilice el comando de la interface de
operating in automatic install mode. instalacin automtica. configuracin station-role para
configurar la radio con una funcin
distinta del modo de instalacin.
AUTO-INSTALL-4-IP_ADDRESS_DHCP: The radio is La radio est funcionando en el modo de Utilice el comando de la interface de
operating in automatic install mode and has set ip instalacin automtica y se ha configurado configuracin station-role para
address dhcp. para recibir una direccin IP a travs de DHCP. configurar la radio con una funcin
distinta del modo de instalacin.
La radio est funcionando en el modo de Utilice el comando de la interface de
instalacin automtica. configuracin station-role para
Error Message: AUTO-INSTALL-6_STATUS: configurar la radio con una funcin
%s %s. RSSI=-%d dBm.: The radio is distinta del modo de instalacin.
operating in install mode.
AVR_IMAGE_UPDATE-7-UPDATE_COMPLETE: The AVR "$d" El firmware AVR del punto de acceso se ha No se requiere ninguna accin.
firmware was successfully updated. actualizado correctamente.
AVR_IMAGE_UPDATE-2-UPDATE_FAILURE: The AVR "$d" El firmware AVR no es actual y la actualizacin Copie el mensaje de error y consulte a
firmware is not current. Update error: "$s". no se ha llevado a cabo correctamente su representante de asistencia tcnica.
AVR_IMAGE_UPDATE-4-UPDATE_SKIPPED: AVR "$d" update El procesamiento de la actualizacin AVR se ha No se requiere ninguna accin.
processing was skipped:"$s". obviado como consecuencia de un error.
AVR_IMAGE_UPDATE-4-UPDATE_START: The system is El sistema est actualizando el firmware AVR. No se requiere ninguna accin.
updating the AVR "$d" firmware. Please wait. . .

Mensajes de eventos y errores Apndice C
Mensajes de administracin En esta tabla se explican los mensajes de error relacionados con la administracin
de la asociacin.
de la asociacin
Tabla 3 Mensajes de gestin de la asociacin
DOT11-3-BADSTATE: %s %s ->%s. La gestin y asociacin 802.11 emplea una mquina El sistema puede proseguir, pero podra perder la asociacin que
de estado basada en una tabla para llevar un genera este error. Copie el mensaje tal y como aparece y consulte
seguimiento de una asociacin y hacer que pase por a su representante de asistencia tcnica.
distintos estados. Una transicin de estado se produce
cuando una asociacin recibe uno de muchos eventos
posibles. Cuando este error se produce, significa que
una asociacin ha recibido un evento que no esperaba
en el estado en cuestin.
DOT11-6-ASSOC: Interface %s, La estacin indicada asociada a un punto de acceso en Ninguna
Station %s e% %s KEY_MGMT (%s), la interface sealada.
MSGDEF_LIMIT_MEDIUM.
DOT11-6-ADD: Interface %s, La estacin indicada asociada al punto de acceso Ninguna
Station %e associated to parent principal en la interface sealada.
%e.
DOT11-6-DISASSOC: Interface %s, Estacin desasociada del punto de acceso. No se requiere ninguna accin.
Deauthenticating Station %e #s
DOT11-6-ROAMED: Station %e La estacin indicada ha itinerado al nuevo punto de Ninguna
roamed to %e. acceso sealado.
DOT11-4-ENCRYPT_MISMATCH: Puede que el ajuste de cifrado de la interface y la Compruebe la configuracin de cifrado de esta interface y la
Possible encryption key estacin indicadas no coincida. estacin que ha fallado para verificar que las configuraciones
mismatch between interface %s coincidan.
and station %e.
DOT11-4-DIVER_USED: Interface Estas velocidades requieren la habilitacin de un Copie el mensaje de error tal y como aparece en la consola o en el
$s, Mcs rates 8-15 disabled due mnimo de 2 antenas de recepcin y transmisin. registro del sistema. Investigue y trate de resolver el error
to only one transmit or recieve utilizando el Output Interpreter https://www.cisco.com/cgi-bin/
antenna enabled Support/OutputInterpreter/home.pl
Realice tambin una bsqueda del Bug Toolkit
http://www.cisco.com/cgi-bin/Support/Bugtool/home.pl.
DOT11-4-NO_HT: Interface %s, Mcs No se estaba utilizando la configuracin correcta para Copie el mensaje de error tal y como aparece en la consola o en el
rates disabled on vlan %d due to permitir el uso de las velocidades HT. registro del sistema. Investigue y trate de resolver el error
%s utilizando el Output Interpreter https://www.cisco.com/cgi-bin/
Support/OutputInterpreter/home.pl.
Realice tambin una bsqueda del Bug Toolkit
http://www.cisco.com/cgi-bin/Support/Bugtool/home.pl.
DOT11-4-NO_MBSSID_BACKUP_VLAN: Para habilitar la VLAN de seguridad, configure el Configure MBSSID en el dispositivo.
Backup VLANs cannot be modo MBSSID.
configured if MBSSID is not
enabled:"$s" not started
Mensajes de descompresin En esta tabla se explica el mensaje de error de descompresin.

Tabla 4 Mensajes de descompresin
SOAP-4-UNZIP_OVERFLOW: Failed El servidor HTTP no puede recuperar un archivo Compruebe que el archivo sea una pgina HTML vlida. Si lo es,
to unzip %s, exceeds maximum comprimido como respuesta a una solicitud HTTP GET necesitar copiar una versin sin comprimir del archivo en la
uncompressed html size. porque el archivo es demasiado grande para los memoria flash para recuperarlo mediante HTTP.
bferes utilizados en el proceso de descompresin.

Mensajes de registro del En esta tabla se explican los mensajes de registro del sistema.
sistema
Tabla 5 Mensajes de registro del sistema
%DOT11-4-LOADING_RADIO: Interface [chars], La radio se ha detenido para cargar el No se requiere ninguna accin.
loading the radio firmware ([chars]) nuevo firmware.
%LINEPROTO-5-UPDOWN: Line protocol on Interface El protocolo de lnea del nivel de No se requiere ninguna accin.
[chars], changed state to [chars] vinculacin de datos ha cambiado de
estado.
%SYS-5-RESTART: System restarted --[chars] Se ha solicitado una recarga o reinicio. Solo mensaje de notificacin. No se requiere
ninguna accin.
%SYS-5-CONFIG_I: Configured from [chars] by La configuracin del router se ha Se trata nicamente de un mensaje de
[chars] modificado. notificacin. No se requiere ninguna accin.
%LINEPROTO-5-UPDOWN: Line protocol on Interface El protocolo de lnea del nivel de No se requiere ninguna accin.
[chars], changed state to [chars] vinculacin de datos ha cambiado de
estado en la interface que se muestra.
%SNMP-5-COLDSTART: SNMP agent on host [chars] is El servidor SNMP ha completado un Solo mensaje de notificacin. No se requiere
undergoing a cold start arranque en fro. ninguna accin.
%SYS-6-CLOCKUPDATE: System clock has been updated El reloj del sistema se ha modificado. Se trata de un mensaje meramente informativo.
from [chars] to [chars], configured from [chars] No se requiere ninguna accin.
by [chars].
Mensajes del subsistema En esta tabla se explican los mensajes del subsistema.
802.11
Tabla 6 Mensajes del subsistema
DOT11-6-FREQ_USED: Interface %s, Tras buscar una frecuencia no utilizada, la interface Ninguna
frequency %d selected. indicada ha seleccionado la frecuencia que se muestra.
DOT11-4-NO-VALID_INFRA_SSID: No No se ha configurado ningn SSID de infraestructura y la Aada como mnimo un SSID de
infrastructure SSID configured. %s not interface indicada no ha arrancado. infraestructura a la configuracin de la radio.
started.
DOT11-4-VERSION_UPGRADE: Interface %d, Al arrancar la interface indicada, el punto de acceso ha Ninguna
upgrading radio firmware. encontrado la versin de firmware incorrecta. La radio se
carga con la versin necesaria.
DOT11-2-VERSION_INVALID: Interface %d, Al intentar actualizar el firmware de la radio en la Ninguna
unable to find required radio version interface indicada, el punto de acceso ha reconocido que
%x.%x/ %d/ el firmware de radio indicado incluido en el paquete del
software Cisco IOS posea la versin incorrecta.
DOT11-3-RADIO_OVER_TEMPERATURE: La temperatura interna de la radio supera los lmites Adopte las medidas necesarias para reducir la
Interface %s Radio over temperature mximos de la interface de radio indicada. temperatura interna. Estos pasos variarn en
detected. funcin de su instalacin concreta.
DOT11-6-RADIO_TEMPERATURE_NORMAL: La temperatura interna de la radio ha vuelto a los lmites Ninguna
Interface %s radio temperature returned normales de la interface de radio indicada.
to normal.
DOT11-3-TX_PWR_OUT_OF_RANGE: Interface El nivel de potencia del transmisor se encuentra fuera del Elimine la unidad de la red y el servicio.
%s Radio transmit power out of range. intervalo normal en la interface de radio indicada.
DOT11-3-RADIO_RF_LO: Interface %s Radio El circuito de lazo de seguimiento de fase (PLL) de la radio Retire la unidad de la red y el servicio.
cannot lock RF freq. no puede enganchar la frecuencia correcta en la interface
indicada.
DOT11-3-RADIO_IF_LO: Interface %s Radio El PLL de frecuencia intermedia (IF) de la radio no puede Retire la unidad de la red y el servicio.
cannot lock IF freq. enganchar la frecuencia correcta en la interface indicada.
DOT11-6-FREQ_SCAN: Interface %s Scanning Inicio de una bsqueda de una frecuencia menos Ninguna
frequencies for %d seconds. congestionada en la interface sealada durante el periodo
de tiempo sealado.

Tabla 6 Mensajes del subsistema (Continuacin)

DOT11-2-NO_CHAN_AVAIL: Interface %s, no No existe ninguna frecuencia disponible, probablemente Ninguna
channel available. porque se ha detectado un radar en los 30 minutos
anteriores.
DOT11-6-CHAN_NOT_AVAIL: DFS configured Se ha detectado un radar en el canal actual. Las Ninguna
frequency %d Mhz unavailable for %d normativas de seleccin dinmica de frecuencias (DFS)
minute(s). exigen que no haya ninguna transmisin durante
30 segundos en el canal.
DOT11-6-DFS_SCAN_COMPLETE: DFS scan El dispositivo ha completado su proceso de bsqueda Ninguna
complete on frequency %d MHz. dinmica de frecuencias (DFS) en la frecuencia mostrada.
DOT11-6-DFS_SCAN_START: DFS: Scanning El dispositivo ha iniciado su proceso de bsqueda DFS. Ninguna
frequency %d MHz for %d seconds.
DOT11-6-DFS_TRIGGERED: DFS: triggered on La DFS ha detectado seales de radar en la frecuencia Ninguna El canal figura en la lista de canales
frequency %d MHz. indicada. sin ocupacin durante 30 minutos y se ha
seleccionado un nuevo canal.
DOT11-4-DFS_STORE_FAIL: DFS: could not Se ha producido un fallo durante la escritura de las Ninguna
store the frequency statistics. estadsticas DFS en la memoria flash.
DOT11-4-NO_SSID: No SSIDs configured, %d Todos los SSID se han eliminado de la configuracin. Es Configure como mnimo un SSID en el punto
not started. necesario configurar como mnimo uno para que la radio de acceso.
funcione.
DOT11-4-NO_SSID_VLAN: No SSID with VLAN No se ha configurado ningn SSID para una VLAN. La Es necesario configurar como mnimo un
configured. %s not started. interface indicada no ha arrancado. SSID por VLAN. Aada como mnimo un SSID
para la VLAN en la interface indicada.
DOT11-4-NO_MBSSID_VLAN: No VLANs No se ha configurado ninguna VLAN en el modo MBSSID. Aada como mnimo un SSID con la VLAN en
configured in MBSSID mode. %s not La interface indicada no ha arrancado. la configuracin de interface indicada.
started.
DOT11-4-NO_MBSSID_SHR_AUTH: More than 1 Tan solo un SSID puede poseer un mtodo de Elimine la interface de radio Dot11Radio o
SSID with shared authentication method in autenticacin compartido si el modo MBSSID no est cambie el modo de autenticacin para el
non-MBSSID mode % is down. habilitado. SSID a configuracin abierta.
DOT114-NO_MBSSID_BACKUP_VLAN: Backup Para habilitar una VLAN de seguridad, configure el modo Configure MBSSID en el dispositivo.
VLANs cannot be configured if MBSSID is MBSSID.
not enabled. %s not started.
IF-4-MISPLACED_VLAN_TAG: Detected a Se ha detectado la recepcin de un indicador VLAN 802.1Q Ninguna
misplaced VLAN tag on source Interface %. en la interface sealada que podra no analizarse
Prdida de paquete. correctamente. El paquete recibido se ha encapsulado o
desencapsulado incorrectamente.
DOT11-2-FW_LOAD_NET: Interface %s cannot Las imgenes de radio no se pueden cargar desde una red Site la imagen en el directorio raz del
load on boot. Place image in flash root cuando arranca el punto de acceso. sistema de archivo de la memoria flash.
directory and reload.
DOT11-4-FW_LOAD_DELAYED: Interface %s, El sistema de archivo de la red no estaba funcionando o no Compruebe que la red est funcionando y
network filesys not ready. Delaying estaba listo cuando se intent actualizar el nuevo lista antes de tratar de actualizar el nuevo
firmware (%s) load. firmware en la interface indicada. Se ha retrasado la carga firmware.
del archivo de firmware identificado.
DOT11-3-FLASH_UNKNOWN_RADIO: Interface No se ha podido determinar el tipo de radio cuando el Reinicie el sistema y compruebe que la
%s has an unknown radio. usuario ha intentado actualizar el nuevo firmware en la actualizacin del firmware se complete.
interface indicada.
DOT11-4-UPLINK_ESTABLISHED: Interface El repetidor indicado se ha asociado al punto de acceso Ninguna
%s associated to AP %s %e %s. raz indicado. Ahora los clientes pueden asociar el
repetidor indicado y el trfico puede pasar.
DOT11-2-UPLINK_FAILED: Uplink to parent La conexin con el punto de acceso raz no se ha podido Trate de reiniciar la interface del enlace
failed: %s. establecer por la razn indicada. El enlace ascendente ascendente. Pngase en contacto con la
detiene los intentos de conexin. asistencia tcnica si el problema persiste.
DOT11-4-CANT_ASSOC: Interface %, cannot El dispositivo de la interface indicada no ha podido Compruebe la configuracin del punto de
associate %s. asociarse a un punto de acceso raz indicado. acceso raz y esta unidad para asegurarse de
que coincidan.


DOT11-4-CANT_ASSOC: Interface El elemento raz no es compatible con el cliente MFP. Compruebe la configuracin del punto de
Dot11Radio 0, cannot associate. Este mensaje de error aparece en el punto de acceso acceso raz y esta unidad para asegurarse de
nicamente en el modo de puente de grupo de trabajo, que coincidan.
repetidor o puente no raz y se ve cuando las opciones
WGB, repetidor o no raz estn configuradas con la Client
MFP SD requerida (u obligatoria) pero la Client MFP raz
est inhabilitada.
DOT11-2-PROCESS_INITIALIZATION_FAILED: El proceso de inicializacin utilizado por la interface Lleve a cabo una recarga del punto de acceso.
The background process for the radio indicada ha fallado por algn motivo, posiblemente por Si esta accin no consigue solucionar el
could not be started: %s) un error de transiente. problema, apague y encienda de nuevo la
unidad. Si sigue sin solucionarse, trate de
devolver el firmware del punto de acceso a la
versin anterior.
DOT11-2-RADIO_HW_RESET: Radio subsystem Se ha producido un error irreversible que podra no Ninguna
is undergoing hardware reset to recover resolverse mediante el reinicio del software.
from problem.
DOT11-2-RESET_RADIO: Interface %s, Radio Se ha utilizado un reinicio de software para arrancar una Ninguna
%s, Trying hardware reset on radio. radio que ha fallado. Pruebe con un reinicio de hardware
que restablezca todas las radios de la unidad.
DOT11-4-MAXRETRIES: Packet to client %e Se ha alcanzado el lmite de tentativas de reenvo del Para resolver este problema, compruebe si
reached max retries, removing the paquete y el cliente se va a eliminar. Este mensaje de error una copia dinmica revela ruido en el
client. indica que el punto de acceso est intentando sondear al espectro de la radio al intentar ejecutar una
cliente un determinado nmero de veces, pero no recibe prueba de portadora ocupada en el punto de
respuesta. Por lo tanto, el cliente se eliminar de la tabla acceso. Trate de mitigar cualquier ruido no
asociada. Este problema se da con frecuencia cuando el deseado.
cliente y el punto de acceso intentan comunicarse en un Si desea ms informacin, consulte
entorno RF ruidoso. Realizacin de una prueba de portadora
ocupada en la pgina 286.
Si existen varios puntos de acceso en la
misma zona, puede que se estn solapando
con la seal del canal o con cualquier otro
dispositivo inalmbrico en la zona
circundante. Cambie los canales de las
interfaces de red y seleccione Radio-802.11.
Existen tres canales que no se solapan:
1, 6 y 11.
DOT11-4-RM_INCAPABLE: Interface %s La interface indicada no es compatible con la funcin de Ninguna
gestin de la radio.
DOT11-4-RM_INCORRECT_INTERFACE: Invalid Una solicitud de gestin de la radio ha descubierto que la Ninguna
interface, either not existing or non- interface no existe o no es una interface de radio.
radio.
DOT11-3-POWERS_INVALID: Interface %s, no El controlador de la radio ha detectado ajustes de nivel de Investigue y corrija la fuente de alimentacin
valid power levels available. potencia no vlidos. y los ajustes.
DOT11-4-RADIO_INVALID_FREQ: Operating La frecuencia indicada no es vlida para el Ninguna
frequency (%d) invalid performing a funcionamiento. Se est llevando a cabo una bsqueda de
channel scan. canales para seleccionar una frecuencia vlida.
DOT11-4-RADIO_NO_FREQ: Interface &s, all Las frecuencias configuradas para el funcionamiento no Ninguna
frequencies have been blocked, interface son vlidas y se est forzando la bsqueda de canales para
not started. seleccionar una frecuencia de funcionamiento vlida.
DOT11-4-BCN_BURST_NO_MBSSID: Beacon El modo de rfaga de balizas solo se puede habilitar Habilite el modo MBSSID o inhabilite la
burst mode is enabled but MBSSID is not cuando el modo MBSSID est habilitado en la interface rfaga de balizas en la interface indicada.
enabled, %s is down. indicada.
DOT11-4-BCN_BURST_TOO_MANY_DTIMS: El modo de rfaga de balizas nicamente admite un Modifique el nmero de DTIM nicos en los
Beacon burst mode is enabled and there mximo de cuatro valores DTIM nicos, cada uno de ellos SSID configurados para la interface por un
are too many different DTIM periods con un mximo de cuatro BSS. conjunto de valores ms razonable.
defined. %s is down.
DOT11-2-RADIO_INITIALIZATION_ERROR: The Se ha detectado un error crtico al tratar de inicializar el Vuelva a cargar el sistema.
radio subsystem could not be initialized subsistema de radio.
(%s).
DOT11-4-UPLINK_NO_ID_PWD: Interface %s, El usuario no ha introducido un nombre de usuario y/o Introduzca el nombre de usuario y/o
no username/password supplied for uplink contrasea. contrasea e intntelo de nuevo.
authentication.


DOT11-5-NO_IE_CFG: No IEs configured for Al tratar de aplicar una respuesta de baliza o sonda a la Compruebe la configuracin del IE.
%s (ssid index %u). radio, la baliza o sonda no estaba definida en el ndice del
SSID indicado.
DOT11-4-FLASHING_RADIO: Interface %s, La radio de la interface indicada se ha detenido para Ninguna
flashing radio firmware (%s). cargar el nuevo firmware sealado.
DOT11-4-LOADING_RADIO: Interface %s, La radio de la interface indicada se ha detenido para Ninguna
loading the radio firmware (%s). cargar el nuevo firmware sealado.
DOT11-2-NO_FIRMWARE: Interface %s, no Al tratar de actualizar el firmware, no se ha encontrado el Se ha cargado la imagen incorrecta en la
radio firmware file (%s) was found. archivo de la radio en el sistema de archivo de la memoria unidad. Localice la imagen correcta en
flash. O el IOS del punto de acceso est corrupto. funcin del tipo de radio utilizada. Para
resolver este problema puede volver a cargar
el punto de acceso con una nueva imagen
Cisco IOS.
Puede encontrar las instrucciones para volver
a cargar una imagen en
Recarga de la imagen del punto de acceso en
la pgina 518.
Si el IOS en el punto de acceso est corrupto,
vuelva a cargar la imagen del punto de
acceso mediante el mtodo del botn de
modo.
Vase Botn MODE en la pgina 515.
DOT11-2-BAD_FIRMWARE: Interface %s, Al intentar actualizar el firmware en la interface indicada, Compruebe que el archivo de imagen del
radio firmware file (%s) is invalid. se ha detectado que el archivo de firmware de radio firmware correcto se encuentre en el lugar
sealado no es vlido. donde espera encontrarlo la unidad.
DOT11-2-RADIO_FAILED: Interface %s, El controlador de la radio en la interface indicada ha Ninguna
failed %s. detectado un error grave y se est apagando por la razn
sealada.
DOT11-4-FLASH_RADIO_DONE: Interface %s, Se ha completado la actualizacin de firmware de radio Ninguna
flashing radio firmware completed. de la interface indicada y la radio se reiniciar con el
nuevo firmware.
DOT11-4-UPLINK_LINK_DOWN: Interface %s, Se ha perdido la conexin con el punto de acceso principal Ninguna
parent lost: %s. en la interface sealada por el motivo indicado. La unidad
intentar encontrar un nuevo punto de acceso principal.
DOT11-4-CANT_ASSOC: Cannot associate: $s La unidad no ha podido establecer una conexin con el Compruebe que los ajustes de configuracin
punto de acceso principal por la razn indicada. bsicos (SSID, WEP y otros) del punto de
acceso principal y esta unidad coincidan.
DOT11-4-CLIENT_NOT_FOUND: Client was not No se ha encontrado al cliente al comprobar MIC. Ninguna
found.
DOT11-4-MAXRETRIES: Packet to client No se ha conseguido entregar un paquete enviado al Ninguna
[mac] reached max retries, remove the cliente en varias ocasiones y se ha alcanzado el lmite de
client tentativas de reenvo. El cliente se eliminar de la tabla
asociada.
DOT11-4-BRIDGE_LOOP: Bridge loop El puente de grupo de trabajo indicado ha notificado la Haga clic en Refresh en la pgina
detected between WGB %e and device %e. direccin de uno de sus clientes Ethernet sealados y el Associations de la GUI del punto de acceso o
punto de acceso ya tena esta direccin marcada como introduzca el comando clear dot11
presente en algn punto de la red. statistics
en la CLI.
DOT11-4-ANTENNA_INVALID: Interface %s, El mdulo de radio AIR-RM21A indicado no es compatible Pliegue la antena sobre el mdulo de radio
current antenna position not supported, con la posicin de alta ganancia de la antena externa (la AIR-RM21A de modo que quede orientada a
radio disabled. posicin de alta ganancia es plegada hasta quedar plana 90 grados del cuerpo del punto de acceso.
contra el punto de acceso). El punto de acceso inhabilitar
automticamente la radio cuando la antena se encuentre
en la posicin de alta ganancia.
DOT11-6-ANTENNA_GAIN: Interface %s, La ganancia de la antena se ha modificado por lo que es Ninguna
antenna position/gain changed, adjusting preciso ajustar la lista de niveles de potencia permitidos.
transmitter power.
DOT11-4-DIVER_USED: Interface %s Mcs Las velocidades enumeradas requieren la habilitacin de Instale y habilite como mnimo 2 antenas de
rates 8-15 disabled due to only one un mnimo de 2 antenas de recepcin o transmisin. recepcin o transmisin en el punto de
transmit or receive antenna enabled. acceso.


DOT11-3-RF-LOOPBACK_FAILURE: Interface Prueba de bucle de retorno de la radio fallida en la Ninguna
%s Radio failed to pass RF loopback interface indicada.
test.
DOT11-3-RF-LOOPBACK_FREQ_FAILURE: Prueba de bucle de retorno de la radio fallida en una Ninguna
Interface %s failed to pass RF loopback frecuencia determinada de la interface indicada.
test.
DOT11-7-AUTH_FAILED: Station %e Autenticacin de la estacin indicada fallida. Compruebe que el usuario haya introducido
Authentication failed el nombre de usuario y la contrasea
correctos y que el servidor de autenticacin
se encuentre en lnea.
DOT11-7-CCKM_AUTH_FAILED: Station %e Autenticacin CCKM de la estacin indicada fallida. Compruebe que funcione la topologa de los
CCKM authentication failed. puntos de acceso configurados para el uso
del punto de acceso WDS.
DOT11-4-CCMP_REPLAY: AES-CCMP TSC replay Se ha indicado la reproduccin AES-CCMP TSC en una Ninguna
was detected on packet (TSC 0x%11x trama. Una reproduccin de AES-CCMP TSC en un paquete
received from &e). recibido es indicio de un ataque activo.
DOT11-4-CKIP_MIC_FAILURE: CKIP MIC Se ha detectado un fallo de CKIP MIC en una trama. Un Ninguna
failure was detected on a packet (Digest fallo de CKIP MIC en un paquete recibido es indicio de un
0x%x) received from %e). ataque activo.
DOT11-4-CKIP_REPLAY: CKIP SEQ replay was Se ha detectado una reproduccin de CKIP SEQ en una Ninguna
detected on a packet (SEQ 0x&x) received trama. Una reproduccin de CKIP SEQ en un paquete
from %e. recibido es indicio de un ataque activo.
DOT11-4-TKIP_MIC_FAILURE: Received TKIP Se ha detectado el fallo TKIP Michael MIC desde la Un fallo de Michael MIC en un paquete
Michael MIC failure report from the estacin indicada en una trama unidifusin descifrada a recibido puede ser indicio de un ataque
station %e on the packet (TSC=0x%11x) escala local con la clave de par indicada. activo en su red. Busque y elimine los
encrypted and protected by %s key. posibles dispositivos maliciosos de su LAN
inalmbrica. Este fallo tambin puede indicar
un error de configuracin o un fallo del
cliente.
DOT11-4-TKIP_MIC_FAILURE_REPORT: El punto de acceso ha recibido una clave EAPOL de la Ninguna
Received TKIP Michael MIC failure report estacin indicada notificando al punto de acceso que TKIP
from the station %e on the packet Michael MIC ha fallado en un paquete transmitido por l.
(TSC=0x0) encrypted and protected by %s
key
DOT11-3-TKIP_MIC_FAILURE_REPEATED: Two Two TKIP Michael MIC failures were detected within the Los fallos MIC normalmente sealan un
TKIP Michael MIC failures were detected indicated time on the indicated interface. Dado que esto ataque activo en la red. Busque y elimine los
within %s seconds on %s interface. The normalmente indica un ataque activo en la red, la dispositivos potencialmente maliciosos de su
interface will be put on MIC failure hold interface quedar en espera durante el tiempo indicado. LAN inalmbrica. Si se trata de una falsa
state for next %d seconds Durante este tiempo de espera, las estaciones se alarma y la interface no debe mantenerse en
desasociarn mediante cifrados TKIP y no podrn volver a espera durante tanto tiempo, utilice el
asociarse hasta que el tiempo de espera concluya. Al comando countermeasure tkip
trmino del tiempo de espera, la interface funcionar con hold-time para ajustar el tiempo de
normalidad. espera.
DOT11-4-TKIP_REPLAY: TKIP TSC replay was Se ha detectado una repeticin TKIP TSC en una trama. Ninguna
detected on a packet (TSC 0x%ssx received Una repeticin TKIP TSC en un paquete recibido es indicio
from %e). de un ataque activo.
DOT11-4-WLAN_RESOURCE_LIMIT: WLAN limit Este punto de acceso ha alcanzado su lmite de 16 VLAN o Desconfigure y reduzca el nmero de VLAN
exceeded on interface %s and network-id WLAN. estticas si el punto de acceso intenta
%d. asociarse a un identificador de red asignado
por RADIUS activo.
SOAP-3-WGB_CLIENT_VLAN_SOAP: Workgroup No se ha configurado ninguna VLAN para los dispositivos Configure una VLAN que acepte los
Bridge Ethernet client VLAN not cliente conectados al puente de grupo de trabajo. dispositivos cliente conectados al puente de
configured. grupo de trabajo.
DOT11-4-NO_VLAN_NAME: VLAN name %s from Es preciso configurar el nombre de la VLAN que indica el Configure el nombre de la VLAN en el punto
RADIUS server is not configured for servidor RADIUS en el punto de acceso. de acceso.
station %e.
DOT11-4-NO_VLAN_ID: VLAN id %d from Es preciso configurar el identificador de la VLAN que Configure el identificador de la VLAN en el
Radius server is not configured for indica el servidor Radius en el punto de acceso. punto de acceso.
station %e.
SOAP-3-ERROR: Reported on line %d in Se ha producido un error interno en el nmero de lnea del Ninguna
file %s.%s. nombre de archivo sealado en el controlador ASIC.


SOAP_FIPS-2-INIT_FAILURE: SOAP FIPS Fallo de inicializacin SOAP FIPS. Ninguna
initialization failure: %s.
SOAP_FIPS-4-PROC_FAILURE: SOAP FIPS test Fallo crtico de prueba SOAP FIPS. Ninguna
failure: %s.
SOAP_FIPS-4-PROC_WARNING: SOAP FIPS test Fallo no crtico de prueba SOAP FIPS.
warning: %s.
SOAP_FIPS-2-SELF_TEST_IOS_FAILURE: IOS Fallo de la prueba automtica SOAP FIPS en la rutina de Compruebe la imagen IOS.
crypto FIPS self test failed at %s. cifrado IOS.
SOAP_FIPS-2-SELF_TEST_RAD_FAILURE: Fallo de la prueba automtica SOAP FIPS en la rutina de Compruebe la imagen de la radio.
RADIO crypto FIPS self test failed at %s cifrado de la radio.
on interface %s %d.
SOAP_FIPS-2-SELF_TEST_IOS_SUCCESS: IOS Prueba automtica SOAP FIPS superada. Ninguna
crypto FIPS self test passed.
SOAP_FIPS-2-SELF_TEST_RAD_SUCCESS: Prueba automtica SOAP FIPS superada en la interface de
RADIO crypto FIPS self test passed on la radio.
interface %s %d.
DOT11-6-MCAST_DISCARD: %s mode multicast El punto de acceso configurado como puente de grupo de Ninguna
packets are discarded in %s multicast trabajo pierde los paquetes multidifusin del modo de
mode. infraestructura en el modo de cliente y pierde los
paquetes multidifusin del modo de cliente en el modo de
infraestructura.
Mensajes de protocolo entre

puntos de acceso
DOT11-6-STANDBY_ACTIVE: El punto de acceso est pasando del modo de reserva al Ninguna
Standby to Active, Reason = %s (%d). modo activo por el motivo indicado.
DOT11-6-STANDBY_REQUEST: Hot Standby El punto de acceso de reserva indicado ha solicitado que Ninguna
request to shutdown radios from %e. este punto de acceso apague sus interfaces de radio
porque se ha detectado un fallo en una de ellas.
DOT11-6-ROGUE_AP: Una estacin ha notificado la existencia de un punto de Ninguna
Rogue AP %e reported. Reason: %s. acceso potencialmente malicioso por el motivo indicado.
Mensajes del autenticador

local
RADSRV-4-NAS_UNKNOWN: El servidor RADIUS local ha recibido una solicitud de Compruebe que todos los puntos de acceso
Unknown authenticator: [ip-address] autenticacin pero no reconoce la direccin IP del servidor de su LAN inalmbrica estn configurados
de acceso a la red (NAS) que la ha enviado. como un NAS en su servidor RADIUS local.
RADSRV-4-NAS_KEYMIS: El servidor RADIUS local ha recibido una solicitud de Corrija la configuracin de la clave
NAS shared key mismatch. autenticacin pero la firma del mensaje indica que el compartida en el NAS o en el servidor RADIUS
texto de la clave compartida no coincide. local.
RADSRV-4_BLOCKED: Client blocked due to La autenticacin de un usuario ha fallado el nmero de Utilice el comando EXEC con privilegios
repeated failed authentications veces configurado para la activacin de un bloqueo y la clear radius local-
cuenta se ha inhabilitado. server user username para
desbloquear al usuario o espere a que el
bloqueo del usuario expire en el plazo de
bloqueo configurado.
DOT1X-SHIM-6-AUTH_OK: La autenticacin 802.1x se ha llevado a cabo Ninguna
Interface %s authenticated [%s]. correctamente.


DOT1X-SHIM-3-AUTH_FAIL: Autenticacin 802.1x ante el dispositivo conectado fallida. Compruebe la configuracin de las
Interface %s authentication failed. credenciales 802.1x en el cliente y en el
servidor RADIUS.
DOT1X-SHIM-3-INIT_FAIL: Se ha producido un error durante la inicializacin de la
Unable to init %s. capa de correccin de compatibilidad.
DOT1X-SHIM-3-UNSUPPORTED_KM: Se ha producido un error durante la inicializacin de la Ninguna
Unsupported key management: %X. capa de correccin de compatibilidad. Se ha detectado un
tipo de gestin de clave incompatible.
DPT1X-SHIM-4-PLUMB_KEY_ERR: Se ha producido un error inesperado cuando la capa de Ninguna
Unable to plumb keys %s. correccin de compatibilidad ha intentado sondear las
claves.
DOT1X-SHIM-3-PKT_TX_ERR: Se ha producido un error inesperado cuando la capa de Ninguna
Unable to tx packet -%s. correccin de compatibilidad ha intentado transmitir el
paquete dot1x.
DOT1X-SHIM-3-ENCAP_ERR: Se ha producido un error inesperado cuando la capa de Ninguna
Packet encap failed for %e. correccin de compatibilidad ha intentado transmitir el
paquete dot1x. El encapsulado del paquete ha fallado.
DOT1X-SHIM-3-SUPP_START_FAIL: Se ha producido un error inesperado cuando la capa de Ninguna
Unable to start supplicant on %s. correccin de compatibilidad ha intentado arrancar el
suplicante dot1x en la interface indicada.
DOT1X-SHIM=3-NO_UPLINK: Al procesar un evento dot1x o un mensaje en una Ninguna
No uplink found for %s. interface dot11, se ha encontrado una situacin en la que
se esperaba un enlace ascendente, pero no se ha
encontrado.
Information Group rad_acct: Radius server Este mensaje se muestra cuando el comando Puede inhabilitar este comando si quiere que
<ip address> is responding again radius-server deadtime 10 est desaparezca esta entrada. En realidad este
(previously dead). Error Group acct: No configurado en el punto de acceso. Este comando se mensaje no plantea un problema
active radius servers found. Id 106 configura para establecer un intervalo; el punto de acceso importante, tan solo es una entrada
no intentar utilizar servidores que no respondan. Por lo informativa.
tanto, evita el tiempo de espera a que una solicitud expire
antes de intentarlo con el siguiente servidor configurado.
Las solicitudes adicionales obviarn los servidores RADIUS
marcados como muertos durante esos minutos, salvo que
todos los servidores estn marcados como tales. Si se
configura un tiempo muerto de 10 minutos, el servidor no
se podr utilizar durante ese periodo.

Mensajes WDS
WLCCP-WDS-6-REPEATER_STOP: WLCCP WDS on Los puntos de acceso del repetidor no admiten WDS. Ninguna
Repeater unsupported, WDS is disabled.
WLCCP-WDS-6-PREV_VER_AP: A previous El dispositivo WDS ha detectado una versin anterior del Ninguna
version of AP is detected. punto de acceso.
WLCCP-AP-6-INFRA: WLCCP Infrastructure El punto de acceso ha logrado autenticar el dispositivo Ninguna
Authenticated WDS.
WLCCP-AP-6-STAND_ALONE: Connection lost El punto de acceso ha perdido la conexin con el Ninguna
to WLCCP server, changing to Stand-Alone dispositivo WDS y se encuentran en modo autnomo.
Mode
WLCCP-AP-6-PREV_VER_WDS: A previous El punto de acceso ha detectado una versin anterior de Compruebe que no haya ninguna versin de
version of WDS is detected WDS. WDS incompatible en su red.
WLCCP-AP-6-UNSUP_VER_WDS: An unsupported El punto de acceso ha detectado una versin de WDS Compruebe que no haya ninguna versin de
version of WDS is detected incompatible. WDS incompatible en su red.
WLCCP-NM-3-WNM_LINK_DOWN: Link to WNM is El administrador de la red no est respondiendo a los Compruebe que no haya ningn problema
down mensajes de mantenimiento de la actividad. con el administrador de la red o con la ruta de
red hacia el administrador.
WLCCP-NM-6-WNM_LINK_UP: Link to WNM is up El administrador de la red ya responde a los mensajes de Ninguna
mantenimiento de la actividad.
WLCCP-NM-6-RESET: Resetting WLCCP-NM Puede que un cambio en la direccin IP del administrador Ninguna
de la red o un estado sin recursos temporal provoquen un
reinicio en el subsistema del administrador de la red WDS,
pero el funcionamiento vuelve a la normalidad poco
despus.
WLCCP-WDS-3-RECOVER: %s Errores de recuperacin WDS leves. Ninguna
Mensajes Mini IOS

MTS-2-PROTECT_PORT_FAILURE: An attempt to Inicializacin fallida al intentar proteger el puerto. Ninguna
protect port [number] failed
MTS-2-SET_PW_FAILURE: Error %d enabling Inicializacin fallida cuando el usuario ha intentado Ninguna
secret password. habilitar una contrasea secreta.
Saving this config to nvram may corrupt Este mensaje de aviso aparece en la interface CLI del Este mensaje de aviso se puede evitar
any network management or security files punto de acceso cuando se guardan los cambios de eliminando los archivos rcore generados en la
stored at the end of nvram. Continue? configuracin a travs de la CLI. Esto se debe a que no hay memoria flash. Los archivos rcore poseen una
[no]: suficiente espacio en la memoria flash. Cuando una radio extensin .rcore. Los archivos se pueden
se avera, se crean archivos .rcore. Estos archivos indican eliminar porque simplemente muestran que
un problema de firmware o hardware en la radio, aunque la radio se ha perdido en algn punto. Los
un problema de hardware es menos probable. archivos .rcore se pueden enumerar en la
sesin CLI y tienen un aspecto similar a este:
r15_5705_AB50_A8341F30.rcore

Mensajes del punto de

acceso/puente
APBR-4-SEND_PCKT_FAILED: Failed to Send HASH(0x2096974) El punto de acceso o puente no ha
Packet on port ifDescr (error= conseguido enviar un paquete. Esta
errornum)errornum: status error number condicin se puede dar cuando existen
interferencias o ruido externo.
Check for sources of noise or APBR-6-DDP_CLNT_RESET: Detected probable reset of El punto de acceso o puente ha detectado
interference. hosthost: host MAC address HASH(0x2080f04) que otro dispositivo de la infraestructura se
ha reiniciado.
If this message appears continuously,
reboot the access point.
Mensajes del protocolo de

descubrimiento de Cisco
CDP_PD-2-POWER_LOW: %s %s %s (%e) El sistema no recibe suficiente alimentacin elctrica. Reconfigure o sustituya la fuente de
alimentacin elctrica en lnea.
Mensajes de error del

servidor RADIUS externo
RADUYS:response-authenticator decrypt Este mensaje de error indica que existe una discrepancia Compruebe que la clave compartida utilizada
fail, paklen 32 en la clave compartida RADIUS entre el servidor RADIUS y en el servidor RADIUS y el punto de acceso
el punto de acceso. sea la misma.
Mensajes del sensor

SENSOR-3-TEMP_CRITICAL: System sensor d Uno de los puntos de prueba ambiental medidos supera el Corrija la condicin especificada; de lo
has exceeded CRITCAL temperature lmite extremo. contrario, puede que el sistema se apague
thresholds solo como medida preventiva. Introduzca el
comando show environment
all para determinar si se trata de un
problema de temperatura o de tensin. Si se
trata de un aviso de temperatura crtica,
compruebe que los ventiladores del router
estn funcionando y que el sistema de aire
acondicionado o refrigeracin de la sala est
operativo. Esta situacin puede hacer que el
sistema deje de funcionar
convenientemente.
SENSOR-3-TEMP_NORMAL: s temperature Uno de los puntos de prueba ambiental medidos presenta No se requiere ninguna accin.
sensor is now normal una temperatura de funcionamiento normal.
SENSOR-3-TEMP_SHUTDOWN: Shuting down the Uno de los puntos de prueba ambiental medidos supera la Investigue la causa de la elevacin de la
system because of dangerously HIGH temperatura de funcionamiento ambiental del router. temperatura.
temperature at sensor d.
SENSOR-3-TEMP_WARNING: s temparature Uno de los puntos de prueba ambiental medidos supera el Vigile con atencin la condicin y corrjala,
sensor d has exceeded WARNING lmite de aviso. si puede, refrigerando el ambiente.
temperature thresholds


SENSOR-3-VOLT_CRITICAL: System sensor d Uno de los puntos de prueba ambiental medidos supera el Corrija la condicin especificada; de lo
has exceeded CRITCAL voltage thresholds lmite de tensin extrema. contrario, puede que el sistema se apague
solo como medida preventiva. Introduzca el
comando show environment
all para determinar si se trata de una
condicin de tensin. Esta situacin puede
hacer que el sistema deje de funcionar
convenientemente.
SENSOR-3-VOLT_NORMAL: System sensor Uno de los puntos de prueba ambiental medidos presenta No se requiere ninguna accin.
d(d) is now operating under NORMAL una tensin de funcionamiento normal.
voltage
SENSOR-3-VOLT_WARNING: Voltage monitor Uno de los puntos de prueba de tensin medidos presenta Compruebe la fuente de alimentacin
d(d) has exceeded voltage thresholds una tensin fuera del intervalo normal. elctrica o pngase en contacto con el TAC.
Mensajes de error SNMP

SNMP-3-AUTHFAILIPV6: Authentication Este anfitrin ha enviado una solicitud SNMP que no se ha Compruebe que el nombre de usuario/
failure for SNMP request from host autenticado correctamente. comunidad empleado en la solicitud SNMP se
Unrecognized format %P haya configurado en el router.
SNMP-3-INPUT_QFULL_ERR: Packet dropped El paquete SNMP se ha perdido como consecuencia de un Utilice el comando show snmp para ver
due to input queue full error completo en la cola de entrada. el nmero de paquetes perdidos. Detenga
cualquier acceso SNMP al dispositivo hasta
que se haya subsanado la condicin de error.
SNMP-3-INTERRUPT_CALL_ERR: s function, Este mensaje indica que se ha realizado una llamada a la Si el mensaje se repite, cpielo tal y como
cannot be called from interrupt handler funcin desde un administrador de interrupciones. Esto aparece y consulte a su representante de
no est permitido porque falla y el dispositivo reinicia la asistencia tcnica.
pila en la llamada malloc.
SNMP-4-NOENGINEIDV6: Remote snmpEngineID Tentativa de creacin de un usuario fallida. Esto Configure el snmpEngineID remoto y
for Unrecognized format %P not found when creating probablemente se debe a que no se ha configurado el reconfigure el usuario. Si el problema
user: s identificador del motor del agente remoto (o persiste, copie el mensaje de error tal y como
administrador SNMP). aparece y consulte a su representante de
asistencia tcnica.
SNMP_MGR-3-MISSINGHOSTIPV6: Cannot Una entrada en la tabla del SNMP indicado seala que no Ejecute los comandos show snmp
locate information on SNMP informs host: se ha podido encontrar el destino. En consecuencia, las host y show snmp. Copie el
Unrecognized format %P notificaciones informativas no se enviarn a este destino. mensaje de error y la salida de los comandos
mostrados tal y como aparecen y consulte a
su representante de asistencia tcnica. Si
elimina y aade de nuevo el destino de los
informes a travs del comando de
configuracin snmp-server
host puede que se suprima la condicin.
De lo contrario, ser necesario volver a cargar
el sistema.

Mensajes de error SSH

SSH-5-SSH2_CLOSE: SSH2 Session from %s Informacin de cierre de la sesin SSH. No se requiere ninguna accin: mensaje
(tty = %d) for user %s using crypto informativo.
cipher %s, hmac %s closed
SSH-5-SSH2_SESSION: SSH2 Session request Informacin de solicitud de la sesin SSH. No se requiere ninguna accin: mensaje
from %s (tty = %d) using crypto informativo.
cipher %s, hmac %s %s
SSH-5-SSH2_USERAUTH: User %s Informacin de estado de la autenticacin del usuario No se requiere ninguna accin: mensaje
authentication for SSH2 Session from %s SSH. informativo.
(tty = %d) using crypto cipher %s,
hmac %s %s
SSH-5-SSH_CLOSE: SSH Session from Informacin de cierre de la sesin SSH. No se requiere ninguna accin: mensaje
%s(tty = %d) for user %s using informativo.
crypto cipher %s closed
SSH-5-SSH_SESSION: SSH Session request Informacin de solicitud de la sesin SSH. No se requiere ninguna accin: mensaje
from %s (tty = %d) using crypto informativo.
cipher %s %s
SSH-5-SSH_USERAUTH: User %s Informacin de estado de la autenticacin del usuario No se requiere ninguna accin: mensaje
authentication for SSH Session from %s SSH. informativo.
(tty = %d) using crypto cipher %s
%s

Glosario
Los trminos y abreviaturas que se describen a continuacin se utilizan a lo largo

de todo este manual. En el caso de las definiciones que no se incluyan aqu,
consulte el Glosario de trminos y abreviaturas de automatizacin industrial de
Allen-Bradley, publicacin AG-7.1.
802.11 Norma IEEE que especifica el control de acceso a medios de deteccin de
portadora y las especificaciones de capa fsica para LAN inalmbricas de 1 y
2 megabits por segundo (Mbps) que operan en la banda de 2.4 GHz.
802.11a Norma IEEE que especifica el control de acceso a medios de deteccin de
portadora y las especificaciones de capa fsica para LAN inalmbricas que operan
en la banda de frecuencia de 5 GHz.
802.11B Norma IEEE que especifica el control de acceso a medios de deteccin de
portadora y las especificaciones de capa fsica para LAN inalmbricas de
5.5 Mbps y 11 Mbps que operan en la banda de frecuencia de 2.4 GHz.
802.11 g Norma IEEE que especifica el control de acceso a medios de deteccin de
portadora y las especificaciones de capa fsica para LAN de 6, 9, 12, 18, 24, 36,
48 y 54 Mbps que operan en la banda de frecuencia de 2.4 GHz.
802.3af Norma IEEE que especifica un mecanismo para alimentacin a travs de Ethernet
(Power over Ethernet o PoE). Norma que proporciona la capacidad de
suministrar alimentacin y datos a travs de cableado Ethernet estndar.
asociada Estacin configurada para la comunicacin inalmbrica con un punto de acceso.
baliza Paquete de LAN inalmbrica que seala la disponibilidad y presencia del
dispositivo inalmbrico. Los paquetes baliza son enviados por puntos de acceso y
estacin bases; no obstante, las tarjetas de radio cliente envan balizas cuando
funcionan en modo de ordenador a ordenador (Ad Hoc).
BOOTP Protocolo de arranque (Boot Protocol). Protocolo utilizado para la asignacin
esttica de direcciones IP a dispositivos en la red.
BPSK Tcnica de modulacin empleada por las LAN inalmbricas conformes con
IEEE 802.11b para la transmisin a 1 Mbps.
CCK Complementary code keying (codificacin complementaria). Tcnica de
modulacin empleada por las LAN inalmbricas conformes con IEEE 802.11b
para la transmisin a 5.5 y 11 Mbps.
CCKM Cisco Centralized Key Management (gestin de claves centralizadas de Cisco).
Con la CCKM, los dispositivos cliente autenticados pueden itinerar de un punto
de acceso a otro sin ninguna demora perceptible durante la reasociacin. Un
punto de acceso en su red prestar servicios de dominio inalmbrico (Wireless
Domain Services o WDS) y crear una cach de credenciales de seguridad para los
dispositivos cliente con tecnologa CCKM en la subred. La cach de credenciales
del punto de acceso WDS reducir drsticamente el tiempo necesario para la
reasociacin cuando un dispositivo cliente con tecnologa CCKM itinere a un
nuevo punto de acceso.
celda Zona del alcance de la radio o cobertura donde los dispositivos inalmbricos
pueden comunicarse con la estacin base. El tamao de la celda depender de la
velocidad de transmisin, del tipo de antena utilizada y del entorno fsico, as
como de otros factores.

Glosario
cliente Dispositivo de radio que utiliza los servicios de un punto de acceso inalmbrico/
puente de grupo de trabajo para comunicarse con otros dispositivos en una red de
rea local.
Codificacin por cambio de fase en Tcnica de modulacin empleada por las LAN inalmbricas conformes con
cuadratura (Quadruple Phase Shift IEEE 802.11b para la transmisin a 2 Mbps.
Keying o QPSK)
CSMA Carrier sense multiple access (acceso mltiple de deteccin de portadora).

Mtodo de acceso a medios LAN inalmbricos segn la especificacin
IEEE 802.11.
dBi Relacin de decibelios con respecto a una antena isotrpica que se utiliza
habitualmente para medir la ganancia de antena. Cuanto mayor es el valor de dBi,
mayor es la ganancia y ms agudo el ngulo de cobertura.
DHCP Protocolo de configuracin dinmica del anfitrin. Protocolo disponible con
muchos sistemas operativos que emite automticamente direcciones IP a
dispositivos en la red dentro de un intervalo especificado. El dispositivo conserva
la direccin asignada durante un periodo concreto definido por el administrador.
dipolo Tipo de antena de baja ganancia (2.2 dBi) que consta de dos elementos (con
frecuencia internos).
direccin IP Direccin del protocolo de internet (Internet Protocol, IP) de una estacin.
DNS Servidor de sistema de nombres de dominio (Domain Name System) Servidor
que traduce nombres de texto en direcciones IP. El servidor mantiene una base de
datos de nombres alfanumricos de anfitrin y sus correspondientes direcciones
IP.
DSSS Direct sequence spread spectrum (espectro ensanchado por secuencia directa).
Tipo de transmisin de radio de espectro ensanchado que ensancha su seal de
forma continua en una banda de frecuencia ancha.
EAP Extensible Authentication Protocol (protocolo de autenticacin extensible).
Caracterstica de seguridad IEEE 802.1x opcional ideal para organizaciones con
una amplia base de usuarios y acceso a un servidor RADIUS (Remote
Authentication Dial-In User Service, servicio de usuario de acceso telefnico de
autenticacin remota) con tecnologa EAP.
espectro ensanchado Tecnologa de radiotransmisin que ensancha la informacin del usuario en un
ancho de banda mucho mayor que el que, de otro modo, sera necesario para
obtener ventajas como una mayor tolerancia a las interferencias y el
funcionamiento sin licencia.
estacin de trabajo Dispositivo informtico con un adaptador de cliente instalado.
Ethernet La red de rea local por cable ms utilizada. Ethernet utiliza acceso mltiple por
deteccin de portadora (CSMA) para permitir a los ordenadores compartir una
red y funciona a 10, 100 o 1000 Mbps, en funcin de la capa fsica utilizada.
ETSI El European Telecommunication Standardization Institute (ETSI) ha
desarrollado estndares que han adoptado muchos pases europeos y de otros
continentes. Segn las normas del ETSI, la salida de potencia y las normas EIRP
difieren en gran medida de las de los Estados Unidos.
firmware Software programado en un chip de memoria.

Glosario
ganancia de la antena La ganancia de la antena es una medida de la capacidad de la antena para dirigir o
concentrar la energa de radio en una regin del espacio. Las antenas con una
ganancia elevada presentan un patrn de radiacin ms concentrado en una
direccin concreta.
gateway Dispositivo que conecta dos redes que, de lo contrario, seran incompatibles.
GHz Gigahercio. Mil millones de ciclos por segundo. Unidad de medida de la
frecuencia.
IEEE Institute of Electrical and Electronic Engineers (Instituto de ingenieros elctricos
y electrnicos). Sociedad profesional que ayuda a los ingenieros elctricos a travs
de sus publicaciones, conferencias y actividades de desarrollo de estndares.
Es el organismo responsable de las especificaciones de Ethernet 802.3 y LAN
inalmbrica 802.11.
infraestructura Red Ethernet por cable.
isotrpica Antena que transmite su seal siguiendo un patrn esfrico.
itinerancia Caracterstica de algunos puntos de acceso que permite desplazarse por una
instalacin al tiempo que se mantiene una conexin ininterrumpida con la LAN.
MAC Media Access Control (direccin de control de acceso al medio). Nmero de
48 bits nico que se utiliza en los paquetes de datos Ethernet para identificar un
dispositivo Ethernet, como un punto de acceso o su adaptador de cliente.
mscara de subred IP Nmero utilizado para identificar la subred IP, indicando si la direccin IP se
puede reconocer en la LAN o si debe alcanzarse a travs de una pasarela. Este
nmero se expresa en una forma similar a una direccin IP; por ejemplo:
255.255.255.0.
modulacin Cualquiera de las distintas tcnicas para combinar informacin del usuario y la
seal portadora de un transmisor.
multipath Ecos creados cuando una seal de radio rebota al chocar contra objetos fsicos.
nombre de dominio Nombre de texto que hace referencia a una agrupacin de redes o recursos de
red basada en el tipo de organizacin o la geografa; por ejemplo: name.com
(comercial); name.edu (educativo); name.gov (gubernamental); ISPname.net
(proveedor de servicios de red); o, por ejemplo, un ISP; name.ar (Argentina);
name.au (Australia); etc.
omnidireccional Normalmente se refiere a un patrn de transmisin de una antena
fundamentalmente circular.
Orthogonal Frequency Division Tcnica de modulacin empleada por LAN inalmbricas conformes con IEEE
Multiplex u OFDM (multiplexacin por 802.11a para la transmisin a 6, 9, 12, 18, 24, 36, 48 y 54 Mbps.
divisin de frecuencias ortogonales)
paquete Unidad de mensaje bsica para la comunicacin en una red. Un paquete

normalmente incluye informacin del enrutamiento, datos y a veces informacin
sobre los errores de deteccin.
paquete de difusin Mensaje de datos nico (paquete) que se enva a todas las direcciones de la misma
subred.
paquete multidifusin Un nico mensajes de datos (paquete) enviado a mltiples direcciones.
paquete unidifusin Un nico mensaje de datos (paquete) enviado a una direccin IP especfica.

Glosario
PoE Power over Ethernet (alimentacin a travs de Ethernet) describe sistemas

normalizados o ad hoc que transmiten potencia elctrica por el cableado
Ethernet. Un nico cable para transmitir datos y potencia elctrica a dispositivos
como puntos de acceso inalmbricos. Una de las ventajas del uso de PoE es que se
pueden transmitir datos y potencia a travs de cables largos.
potencia de transmisin Nivel de potencia de la radiotransmisin.
punto de acceso Transceptor de datos LAN inalmbrico que emplea ondas de radio para
conectarse a una red por cable con estaciones inalmbricas.
rango Medida lineal de la distancia a la que el transmisor puede enviar una seal.
red ad hoc Red inalmbrica compuesta de estaciones sin puntos de acceso.
RF Radiofrecuencia. Trmino genrico para la tecnologa basada en la radio.
RP-TNC Conector tipo nico de las radios y antenas Cisco Aironet. Parte 15.203 de las
normas de la FCC que comprende los lmites de los dispositivos de espectro
ensanchado y los tipos de antena que se pueden utilizar con equipos de
transmisin. De conformidad con esta norma, Cisco Aironet, al igual que otros
proveedores de LAN inalmbrica, dota sus radios y antenas de un conector nico
que evita la conexin de antenas no homologadas a las radios.
sensibilidad del receptor Medicin de la seal ms dbil que puede recibir y traducir correctamente en
datos un receptor.
servidor de archivos Repositorio para archivos que permite a la red de rea local compartir archivos,
correo y programas.
SSID Service Set Identifier, identificador de conjunto de servicios (tambin
denominado nombre de red de radio). Identificador nico que permite identificar
una red de radio y las estaciones que debe utilizar para poder establecer la
comunicacin entre ellas o con otro punto de acceso. El SSID puede ser cualquier
entrada alfanumrica de hasta 32 caracteres.
tiempo de ranura Tiempo que espera un dispositivo tras una colisin antes de volver a transmitir un
paquete. Los tiempos de ranura breves reducen el tiempo de retroceso, lo que
aumenta el rendimiento efectivo.
tiempo de retroceso Cantidad de tiempo aleatoria que una estacin espera antes de enviar un paquete
en la LAN. El tiempo de retroceso es un mltiplo del tiempo de ranura, por lo que
una reduccin del segundo rebaja en ltima instancia el tiempo de retroceso y
aumenta el rendimiento efectivo.
UNII Unlicensed National Information Infrastructure (infraestructura de informacin
nacional sin licencia): normas para dispositivos UNII que funcionan en bandas
de frecuencia de entre 5.15 y 5.35 GHz y entre 5.725 y 5.825 GHz.
UNII-1 Normas para dispositivos UNII que funcionan en bandas de frecuencia de entre
5.15 y 5.25 GHz.
5.25 y 5.35 GHz.
5.725 y 5.825 GHz.
velocidades de datos Intervalo de las velocidades de transmisin de datos admitidas por un dispositivo.
Las velocidades de datos se miden en megabits por segundo (Mbps).

Glosario
WDS Wireless Domain Services (servicios de dominio inalmbrico). Un punto de

acceso que preste WDS en su LAN inalmbrica mantendr una cach de
credenciales para los dispositivos cliente con tecnologa CCKM en su LAN
inalmbrica. Cuando un cliente con tecnologa CCKM itinere de un punto de
acceso a otro, el punto de acceso WDS enviar las credenciales del cliente al nuevo
punto de acceso con la clave multidifusin. Tan solo se transmitirn dos paquetes
entre el cliente y el nuevo punto de acceso, lo que reducir en gran medida el
tiempo de reasociacin.
WEP Wired Equivalent Privacy (privacidad equivalente a la de redes cableadas).
Mecanismo de seguridad opcional definido en la norma 802.11 y diseado para
igualar la integridad de la conexin de los dispositivos inalmbricos a la de un
cable.
WPA El acceso protegido wifi (Wi-Fi Protected Access o WPA) es una mejora de
seguridad interoperable y basada en estndares que aumenta considerablemente
el nivel de proteccin de los datos y el control de acceso para los sistemas
LAN inalmbricos existentes y futuros. Tiene su origen en la prxima norma
IEEE 802.11i, con la que se podr hacer compatible. WPA emplea el protocolo de
integridad de clave temporal (Temporal Key Integrity Protocol o TKIP) para la
proteccin de datos y 802.1X para la gestin de claves autenticadas.

Glosario
Notas:

ndice
Nmeros autenticacin 201

2.4 GHz 185 modo local con AAA 232
RADIUS
5 GHz 185 clave 381
802.11e 424 inicio de sesin 222, 384
802.11i 278 SSID 289
802.1H 279 TACACS+
clave 404
definicin 401
A inicio de sesin 228, 405
abreviacin de los comandos 195 autenticacin 802.1x 307
acceso no autorizado 215 autenticacin basada en el nombre de
acceso protegido wifi usuario 218
vase WPA autenticacin basada en MAC 307
acceso protegido wifi (WPA) 63 autenticacin de inicio de sesin
accounting con RADIUS 222, 384
with TACACS+ 402 autenticacin EAP 63, 83
actualizacin del software autenticacin EAP, descripcin general 336
mensajes de eventos y errores 534 autenticacin LEAP
actualizaciones de la clave de grupo 346 autenticacin local 307
Aironet autenticacin para el inicio de sesin
extensiones 59 con TACACS+ 228, 405
ajuste de velocidad de datos 261 autenticaciones MAC con cach 347
ajustes bsicos autenticador 307
comprobacin 513 autenticador de emergencia, local 307
ajustes de radio 53 autenticador local, punto de acceso como 307
ajustes de radio predeterminados authorization
descripcin de 53 with TACACS+ 402
ajustes de seguridad, pgina Easy Setup 62 autorizacin
ajustes de velocidad y dplex Ethernet 231 con RADIUS 226, 389
ajustes predeterminados con TACACS+ 230, 407
GUI 53 ayuda, para la lnea de comando 194
MODE 53
aldaba de seguridad 30
altitudes elevadas 36 B
ancho de banda 269 baliza 58
ancho de canal 269 bloqueo de la comunicacin entre clientes 282
ancho de canal 802.11n 269 botn de modo
antena inhabilitacin 214
conexiones 32 BSSID 294
dipolo de doble banda 32 bsqueda de canales limitada 478
especificaciones 33
ganancia 31
seleccin 276
antenas externas 31 C
rbol de expansin por VLAN (PVST) 304 cable de consola 52
archivos de configuracin cable Ethernet 30
informacin de ubicacin y contacto del cach ARP opcional 242
sistema 470 cach ARP para clientes 242
armarios IDF 35 cach de autenticacin MAC 347
ARP
cadenas de comunidad
cach 242
asignacin de prioridades 424 configuracin 465
descripcin general 464
asociacin 77 calidad de servicio
asociaciones, restriccin por direccin MAC 444 vase QoS
ataque bit-flip 278 Called-Station-ID
atributos, RADIUS vase CSID
enviados por el punto de acceso 398 canal
especficos del proveedor 395 menos congestionado 59
patentado del proveedor 396 caracteres no vlidos en 415

ndice
CCKM 24, 339 comando ip redirect 300

CDP comando no shutdown 195
habilitacin e inhabilitacin comando packet retries 285
en una interface 458 comando payload-encapsulation 280
inhabilitacin para el dispositivo de comando permit tcp-port 300
enrutamiento 458
supervisin 459 comando power client 268
certificacin wifi 21 comando rts retries 285
cifrado para contraseas 217 comando rts threshold 284
Cisco TAC 513 comando set 523
clasificar (comandos CLI) 200 comando set BOOT 523
clave compartida 338 comando show 193
clave previamente compartida 345 comando show cdp traffic 459
clave WEP 63, 83 comando snmp-server group 467
claves previamente compartidas 514 comando ssid 291, 416
CLI 193 comando switchport protected 283
abreviacin de los comandos 195 comando terminal history 197
ayuda 194 comando terminal width 199
edicin de caractersticas
edicin mediante teclas 198 comando tftp_init 521
lneas con retorno automtico 199 comando vlan 291, 416
filtro de la salida de comandos 200 comando wpa-psk 346
formas no y default de los comandos 195 comandos
funciones de edicin abreviacin 195
habilitacin e inhabilitacin 197 accounting 291
historial 196 authentication client 291
descripcin 196 ayuda 194
inhabilitacin 197 beacon dtim-period 284
beacon period 284
modificacin del tamao del bfer 196 bridge-group 282
recuperacin de comandos 197 broadcast-key 347
intrprete de rdenes seguro (SSH) 201 cdp enable 458
mensajes de error 196 clasificar 200
modos de comando 193 clear 193
Telnet 200 configuracin de niveles de privilegios 220
codificacin electrnica 175 countermeasure tkip hold-time 350
debug 499
coincidencia exacta 175 del 517
compatible 175 dot11 aaa mac-authen filter-cache 347
inhabilitar 175 dot11 extension aironet 279
comando accounting 291 dot11 interface-number carrier busy 286
comando authentication client 291 dot1x reauth-period 349
comando beacon dtim-period 284 editar 198
encapsulation dot1q 416
comando beacon period 284 forma default 195
comando bridge-group 282 fragment-threshold 286
comando broadcast-key 347 infrastructure-client 281
interface dot11radio 256
comando cdp enable 458 ip domain-name 253
comando clear 193 ip redirect 300
comando countermeasure tkip hold-time 350 no shutdown 195
no y default 195
comando debug 499 packet retries 285
comando del 517 payload-encapsulation 280
comando dot11 aaa mac-authen permit tcp-port 300
power client 268
filter-cache 347 recuperar 197
comando dot11 extension aironet 279 rts retries 285
comando dot11 interface-number carrier rts threshold 284
set 523
busy 286 set BOOT 523
comando dot1x reauth-period 349 show 193
comando encapsulation dot1q 416 ssid 291, 416
switchport protected 283
comando fragment-threshold 286 terminal history 197
comando infrastructure-client 281 terminal width 199
comando interface dot11radio 256 tftp_init 521
vlan 291, 416
comando ip domain-name 253 wpa-psk 346

ndice
comandos default 195 direccin Ethernet 174

comandos no 195 Direccin IP 79
comprobacin de la integridad de los direccin IP 57
mensajes (MIC) 278, 514 asignacin 52
comprobacin de la integridad del mensaje direccin MAC
(MIC) 331 ACL, bloqueo de la asociacin con 444
filtro 437
comunicacin de clientes, bloqueo 282 dispositivo cliente con ahorro de energa 283
comunicacin entre clientes, bloqueo 282 DNS
conexin de la alimentacin 30 configuracin 252
conexiones 176 configuracin predeterminada 251
conexiones remotas seguras 241 descripcin general 251
visualizacin de la configuracin 253
conexiones, remota segura 241 dominios reguladores 23
configuracin 265, 275 DTIM 283
configuracin de la radio dplex, puerto Ethernet 231
canal 82
escner 82
extensiones Aironet 82 E
potencia 82
puente de grupo de trabajo 82 EAP 50
puente de grupo de trabajo universal 82 EAP-FAST 307
puente no raz 82
puente raz 82 EAP-TLS
punto de acceso 81 aplicacin de perfiles del mtodo EAP a 351
repetidor 82 Easy Setup
seguridad 81 configuracin de red 79
SSID 81 edicin de caractersticas
VLAN 81
configuracin de seguridad 83 lneas con retorno automtico 199
teclas empleadas 198
sin seguridad 83 editar comandos CLI 198
WPA 83
configuracin predeterminada ejemplo de configuracin 266
contrasea y nivel de privilegios 216 entorno Studio 5000 19
DNS 251 equilibrado de cargas 278
indicador y nombre del sistema 250 escner 58
RADIUS 222, 380
registro de mensajes del sistema 501 estadsticas 190
reinicio 514 CDP 459
SNMP 465 esttica 179
TACACS+ 228, 403 estudio del emplazamiento 17
conjunto de servicios 182
estudios del emplazamiento 34
contabilidad
Ethernet
con RADIUS 392
con TACACS+ 408 direccin 174
contadores 188 event log 183
contrasea de habilitacin 217 export 187
contrasea de habilitacin secreta 217 extensiones Aironet 268, 279
contraseas
cifrado 217
configuracin F
con nombres de usuario 218 fallos 176
habilitacin 216 filtrado
habilitacin secreta 217 filtros Ethertype 452
configuracin predeterminada 216 filtros IP 446
descripcin general 215 filtrar salida (comandos CLI) 200
filtro
salida de comandos show y more 200
D filtro de gravedad 183
desplazamiento del cursor (CLI) 198 filtro Ethertype 437
Device Manager 49, 50, 77 filtro MAC 50
DFS 270 filtros de protocolo 437
DHCP 179 filtros IP 446
direccin de control de acceso al medio firmware
(MAC) 52 actualizacin 50

ndice
formato CSID, seleccin 393 interface de navegador web 49

FTP interface del navegador web 23
acceso a archivos MIB 532 interface virtual de puente (BVI) 207
fuente de alimentacin elctrica 181 interface web
funciones de edicin navegadores compatibles 51
habilitacin e inhabilitacin 197 interfaces
radio 77
interrupciones
G configuracin de administradores 468
gateway predeterminada 57 definicin 463
gateway predeterminado 80 descripcin general 461
habilitacin 468
gestin tipos de notificacin 468
CLI 193 intervalo de guarda 275
get-next-request operation 464 intervalo de guarda 802.11n 275
get-request operation 464 inyector de potencia 47
IPv6
direccin 57
H IPv6.protocolo 57
help 55 itinerancia
historial itinerancia rpida segura mediante CCKM 353
descripcin 196 itinerancia rpida segura 353
inhabilitacin 197
modificacin del tamao del bfer 196
recuperacin de comandos 197
historial (CLI) 196
L
hora latencia 424
vase SNTP y reloj del sistema limitacin del nivel de potencia del cliente 268
hora de ahorro de luz diurna 247 lmite de fragmentacin 286
hora de verano 247 lmite RTS 284
HTTPS lmite, registro 509
certificate 73 Logix Designer 19, 173
habilitacin de la navegacin segura 67 Add-on-Instruction 173
I M
identificadores de conjunto de servicios (SSID) mscara de subred IP 57, 80
vase SSID mensaje de indicacin del trfico de entrega
identificadores ISO para protocolos 525 (DTIM) 283
imagen de software 518 mensajes de error
imagen de software cifrada 241
CLI 196
imagen de software cripto 241 configuracin del dispositivo de destino de la
imagen, sistema operativo 518 visualizacin 503
importacin 187 durante la introduccin de un comando 196
explicacin 533
indicador de estado formato de mensajes del sistema 500
azul 46 mensajes de actualizacin automtica del
intermitente verde 46 software 534
rojo 47 mensajes de administracin de la
verde 46 asociacin 535
indicador de sistema mensajes de descompresin 535
ajuste predeterminado 249 mensajes de error del servidor radius
indicador del sistema externo 544
mensajes de error SNMP 545
ajuste predeterminado 250 mensajes de error SSH 546
indicadores mensajes de protocolo entre puntos de
estado 46 acceso 541
inestabilidad 424 mensajes del autenticador local 541
inhabilitar gestin basada en web 73 mensajes del protocolo de descubrimiento de
Cisco 544
inhibicin del mdulo 176 mensajes del punto de acceso/puente 544
inicio 77 mensajes del sensor 544
interface mensajes del subsistema 802.11 536
mensajes mini IOS 543
CLI 193 niveles de gravedad 506
navegador web 49
interface de lnea de comandos 23
vase CLI

ndice
mensajes de eventos 533 O

mensajes de eventos y errores 533 operacin get-bulk-request 463
mensajes multidifusin 280
operacin get-next-request 463
mtodo de encapsulado 280
operacin get-request 463
MFP de cliente 372, 373
operacin get-response 463
MIB
acceso a archivos mediante FTP 532
descripcin general 461 P
interaccin SNMP con 464
ubicacin de los archivos 532 pgina de administracin del sistema 77
MIC 331 pgina Easy Setup
MODE 53 configuracin de la radio 81
mode button configuracin de la red 79
enabling 214 restricciones 64
modo de configuracin de interface 194 seguridad 62
paquete de desconexin (PoD)
modo de configuracin de lnea 194
configuracin 390
modo de configuracin global 193, 194 parameters
modo EXEC con privilegios 193, 194 Wireless WSD/WNM 105
modo EXEC de usuario 193, 194 parmetros
modo mundo 278 acceso de administrador de seguridad 111
modos actualizacin HTTP 165
actualizacin TFTP 166
configuracin de interface 194 administracin 162
configuracin de lnea 194 administrador de cifrado de seguridad 113
configuracin global 193 administrador de servidores 118
EXEC con privilegios 193 administrador de SSID 114
EXEC de usuario 193 ajuste del sistema 86
modos de comando 193, 194 asociacin 102
mdulo configuracin de la radio 81
identificacin 177 configuracin de la red 79
multimedia wifi 431 configuracin del registro de eventos 171
direccin IP 88
mltiples SSID bsicos 294 estado GigabitEthernet 89
inicio de sesin con autenticacin web 163
interface de radio 93
N mapa de red 84
punto de acceso inalmbrico 104
nivel de potencia registro de eventos 169
en los dispositivos cliente 268 resumen de seguridad 110
radio 279 seleccin de banda 160
nivel de potencia cliente, limitacin 268 sistema de software 167
niveles de gravedad, definicin en los software 164
prevencin de accesos no autorizados 215
mensajes del sistema 506 problemas de confiabilidad con 263
niveles de privilegios
proteccin de trama de administracin 371
cierre de sesin 221 descripcin general 372
configuracin de un comando con 220
descripcin general 215, 220 puntos de acceso en modo raz 373
inicio de sesin 221 trama de administracin unidifusin 372
no raz 58, 82 tramas de administracin de difusin 372
proteccin de trama de administracin 2
nombre de anfitrin 57, 79
configuracin 373
nombre del sistema protocolo de descubrimiento de Cisco
configuracin manual 250 (CDP) 455
configuracin predeterminada 250
nombres de dominio protocolo de integridad de clave temporal
DNS 251 (TKIP) 331
nombres, VLAN 417 protocolo de integridad de la clave de Cisco
nmero de tentativas de datos mximo 285 (CKIP) 278
nmero de tentativas de RTS mximo 284 protocolo de resolucin de direcciones
nmeros de secuencia en los mensajes de (ARP) 280
registro 505 protocolo del servidor 79
protocolo IPv6 80

ndice
protocolo simple de administracin de redes autenticacin local 307

vase SNMP configuracin
protocolo simple de tiempo de red autenticacin 222, 384
vase SNTP autorizacin 226, 389
protocolo trivial de transferencia de archivos comunicacin, global 381, 393
(TFTP) comunicacin, por servidor 380, 381
vase TFTP contabilidad 392
prueba de portadora ocupada 286 mltiples puertos UDP 381
puente de grupo de trabajo 58, 280 punto de acceso como servidor local 308
configuracin de una bsqueda de canales configuracin predeterminada 222, 380
limitada 478 definicin de grupos de servidores
configuracin del conjunto de canales AAA 224, 386
restringido 478 descripcin general 377
directrices de uso en un entorno ligero 483 entornos de red propuestos 377
ejemplo de configuracin de red ligera 485 funcionamiento 379
en entorno ligero 482 identificacin del servidor 380
pasar por alto la lista de vecinos CCX 479 limitacin de los servicios para el
puente de grupo de trabajo universal 58 usuario 226, 389
puente no raz 58 lista de mtodos, definicin 380
puente raz 58 servicios de seguimiento para los que obtiene
acceso el usuario 392
puerto de consola 30 SSID 289
puerto Gigabit Ethernet 30 visualizacin de la configuracin 227, 397
puertos protegidos 283 raz 58, 81
puertos, protegidos 283 recarga de la imagen del punto de acceso 518
punto de acceso 58, 181 recuperar comandos 197
conexin a tierra 37 red
configuracin 55 ajustes de configuracin 57
despliegue 45 red de radio
evitar daos 35 optimizacin 58, 82
fijacin 38 Red-EAP 336
instalacin 35
montaje 39 redireccionamiento IP 299, 300
opciones de montaje 34 redireccionamiento, IP 299
punto de acceso inalmbrico/puente de grupo reenvo pblico seguro de paquetes
de trabajo Stratix 5100 (PSPF) 282
conformidad 30 registro de eventos 78
especificaciones 30
inicio de sesin 51 registro de los mensajes del sistema
potencia nominal 30 definicin de los niveles de gravedad de los
temperatura de funcionamiento 30 mensajes de error 506
limitacin de los mensajes 508
Q lmite 509
nmeros de secuencia, habilitacin e
QBSS 425 inhabilitacin 505
parmetro dot11e 430 palabras clave de nivel, descripcin 507
QoS sellos de hora, habilitacin e
descripcin general 423 inhabilitacin 504
servidores syslog UNIX
componentes compatibles 512
R configuracin del componente de
radio registro 511
visualizacin de la configuracin 512
actividad 286 registro de mensajes del sistema
ajustes de configuracin 58
habilitacin 59 configuracin del dispositivo de destino de la
interface 256 visualizacin 503
seguridad 62 configuracin predeterminada 501
radios 184 habilitacin 502
radios de doble banda 21 inhabilitacin 502
palabras clave de componente,
RADIUS 50 descripcin 512
atributos servidores syslog UNIX
enviados por el punto de acceso 398 configuracin del centinela 510
especficos del proveedor 395 reinicio 178
formato CSID, seleccin 393
patentado del proveedor 396

ndice
reloj del sistema servidores syslog UNIX

configuracin componentes compatibles 512
hora de ahorro de luz diurna 247 configuracin del centinela 510
hora de verano 247 configuracin del registro de los mensajes 511
set-request operation 464
manual 245
sistema de control de acceso del controlador
zonas horarias 246
de acceso a terminales ms
visualizacin de la fecha y la hora 245
rendimiento efectivo 22 vase TACACS+
sistema de nombres de dominio
repetidor 58
vase DNS
cadena de puntos de acceso 486 SNMP 57
como un cliente WPA 491
resolucin de problemas 513 acceso a variables MIB con 464
administrador de interrupciones,
mensajes de error (CLI) 196 configuracin 469
registro de mensajes del sistema 499 agente
respuesta de sonda gratuita (GPR) descripcin 463
habilitacin e inhabilitacin 277 inhabilitacin 465
restablecimiento de la contrasea 514
cadenas de comunidad
restriccin de las asociaciones de cliente por configuracin 465
direccin MAC 444 descripcin general 464
restriccin del acceso comunidad 80
contraseas y niveles de privilegios 215 configuracin predeterminada 465
descripcin general 215 descripcin general 461, 464
RADIUS 377 ejemplos de configuracin 471
TACACS+ 228 estado, visualizacin 473
retorno automtico (comandos CLI) 199 funciones de administrador 463
RFC interrupciones
descripcin 463
1042 279
1157, SNMPv1 462 descripcin general 461
1901, SNMPv2C 462 habilitacin 468
1902 a 1907, SNMPv2 462 tipos de 468
Rockwell Automation Support 20
limitacin de los mensajes de registro del
rotacin de clave de difusin 331 sistema a NMS 508
rotacin de claves de difusin 332 server groups 467
rotacin, clave de difusin 331 snmp-server view 470
traps
overview 464
S ubicacin y contacto del sistema 470
versiones compatibles 462
Secure Shell SNMP, archivos MIB FTP 532
vase SSH SNTP
seguridad 58 descripcin general 243
resolucin de problemas 514 solicitud de envo (RTS) 284
seleccin de frecuencia dinmica 270 soporte de montaje 30
bloqueo de canales 275 spectrum 58, 82
comandos CLI 272 SSH 200, 201
configuracin de un canal 274
confirmacin de que la DFS est descripcin 241
habilitada 272 imagen de software cripto 241
sellos de hora en los mensajes de registro 504 SSH Communications Security, Ltd. 201
servicio de usuario de acceso telefnico de visualizacin de los ajustes 241
SSID 64, 182, 289, 415
autenticacin remota asignacin 50
vase RADIUS creacin desde el men de seguridad 64
servicios 181 difusin 58
servidor modo de invitado 289
protocolo 57 mltiples SSID 289
servidor de autenticacin resolucin de problemas 513
VLAN 290
configuracin del punto de acceso como SSID de invitado 289
servidor local 308 STP
EAP 337, 379
servidor DHCP descripcin general 303
configuracin del punto de acceso como 238 visualizacin del estado 306
recepcin de los ajustes IP desde 79

ndice
supervisin tipos de autenticacin

CDP 459 abierta 336
suplicante 802.1X clave compartida 336
configuracin 208 EAP de red 336
creacin de un perfil de credenciales 209 tipos de datos
creacin y aplicacin de perfiles de mtodos definidos por el mdulo 191
EAP 211 TKIP 278, 331, 332
switch traps
configuracin 179 overview 464
system name trato preferente del trfico
See also DNS vase QoS
T V
tabla de historial, nivel y nmero de los velocidad de baliza de datos 283
mensajes syslog 508 velocidades de datos de radio 263
TAC 513 alta vs. baja 263
TACACS+ velocidades MCS 265, 266
accounting, defined 402 versiones Cisco IOS 17
autenticacin, definicin 401 versiones SNMP compatibles 462
autorizacin, definicin 401
configuracin VLAN 58
autenticacin para el inicio de autenticacin local 307
sesin 228, 405 configure 50
nombres 417
autorizacin 230, 407 SSID 289, 290
clave de autenticacin 404 uso 61
contabilidad 408
configuracin predeterminada 228, 403 W
funcionamiento 402 WDS 353, 359
identificacin del servidor 404 configuracin del modo solo WDS 366
limitacin de los servicios para el WEP
usuario 230, 407
servicios de seguimiento para los que obtiene con EAP 336
acceso el usuario 408 Wi-Fi Protected Access (WPA) 83
visualizacin de la configuracin 231, 409 WMM 431
tamao de paquete (fragmentacin) 286 WPA 340
teclas (edicin de comandos CLI) 198
Telnet 55, 200, 208
tentativas de datos 285 Z
TFTP 521 zonas horarias 246
contrasea 217

ndice
Notas:

Servicio de asistencia tcnica de Rockwell Automation
Rockwell Automation proporciona informacin tcnica en la web para ayudarle a usar sus productos.
En http://www.rockwellautomation.com/support podr encontrar notas tcnicas y de aplicacin, ejemplos de
cdigos y vnculos a service packs de software. Tambin puede visitar nuestro centro de asistencia tcnica en
https://rockwellautomation.custhelp.com/, donde encontrar actualizaciones de software, chat y foros de asistencia
tcnica, informacin tcnica o respuestas a preguntas frecuentes, y podr registrarse para recibir actualizaciones de
notificacin de productos.
Asimismo, ofrecemos programas de asistencia tcnica para la instalacin, la configuracin y la resolucin de problemas.
Para obtener ms informacin, pngase en contacto con el distribuidor o representante de Rockwell Automation de su
localidad, o visite http://www.rockwellautomation.com/services/online-phone.
Asistencia para la instalacin
Si se le presenta algn problema durante las primeras 24 horas posteriores a la instalacin, revise la informacin incluida
en este manual. Tambin puede ponerse en contacto con el servicio de Asistencia Tcnica al Cliente para obtener ayuda
inicial para la puesta en marcha de su producto.
Estados Unidos o Canad 1.440.646.3434
Fuera de los Estados Unidos o de Utilice el Worldwide Locator en http://www.rockwellautomation.com/rockwellautomation/support/overview.page o pngase en
Canad contacto con el representante local de Rockwell Automation.
Devolucin de productos nuevos

Rockwell Automation verifica todos sus productos antes de que salgan de la fbrica para ayudar a garantizar su perfecto
funcionamiento. No obstante, si su producto no funciona correctamente y necesita devolverlo, siga estos procedimientos.
Estados Unidos Comunquese con el distribuidor. Deber indicar al distribuidor un nmero de caso de asistencia tcnica al cliente (llame al nmero de
telfono anterior para obtener uno) a fin de completar el proceso de devolucin.
Fuera de Estados Unidos Comunquese con el representante local de Rockwell Automation para obtener informacin sobre el procedimiento de devolucin.
Comentarios sobre la documentacin

Sus comentarios nos ayudarn a atender mejor sus necesidades de documentacin. Si tiene sugerencias sobre cmo mejorar
este documento, rellene este formulario, publicacin RA-DU002, disponible en http://www.rockwellautomation.com/
literature/.
Publicacin 1783-UM006B-ES-P Enero 2015 Copyright 2015 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.

1783 Um006 - Es P

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

1783 Um006 - Es P

Загружено:

Авторское право:

Доступные форматы

Manual del usuario

Punto de acceso inalmbrico/puente de grupo de trabajo

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 3

4 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Pgina Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 5

Cuadro de dilogo Counters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

6 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Configuracin del nivel de privilegios para un comando. . . . . . . . . 220

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 7

8 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Configuracin de SSID bsicos mltiples . . . . . . . . . . . . . . . . . . . . . . . . . . 294

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 9

10 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Ejemplo de configuracin en la CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 11

12 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 13

14 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 15

16 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Pblico Este manual de instrucciones se dirige al profesional de red responsable de la

El presente manual comprende la versin 15.2(4)JAZ de Cisco IOS y posteriores

Objetivo Este manual de instrucciones le proporciona la informacin que necesita para

Si desea informacin detallada sobre dichos comandos, consulte Cisco IOS

Este manual de instrucciones incluye una descripcin general del software de

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 17

Organizacin El presente manual de instrucciones se divide en estas secciones.

18 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Convenciones En el presente documento, el punto de acceso inalmbrico/puente de grupo de

A las descripciones de los comandos se aplican estas convenciones:

El entorno Studio 5000 constituye la base para las futuras herramientas y

Recursos adicionales Estos documentos contienen informacin adicional relativa a productos

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 19

Puede ver o descargar las publicaciones en

Servicio de asistencia tcnica de Rockwell Automation

Rockwell Automation proporciona informacin tcnica en la web para ayudarle

Asimismo, ofrecemos programas de asistencia tcnica para la instalacin, la

20 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Iniciacin al punto de acceso inalmbrico/

El presente captulo ofrece una descripcin general del punto de acceso

El punto de acceso inalmbrico/puente de grupo de trabajo Stratix 5100

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 21

El WAP Stratix 5100 es compatible con la inteligencia de espectro de alto

A continuacin se indican algunas de las caractersticas del WAP Stratix 5100.

22 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

El Stratix 5100 es compatible con estos dominios reguladores.

Configuracin del punto de acceso

Puede configurar y supervisar el dispositivo inalmbrico mediante estos mtodos.

Interfaz de lnea de comandos (CLI)

Stratix 5100 WAP Device Manager, sistema de gestin basado en

Simple Network Management Protocol (SNMP)

Una interface de navegador web que se utiliza a travs de un navegador

Consulte Configuracin de arranque de Stratix 5100 Device Manager en

La interface de lnea de comandos de Cisco IOS (CLI), que se utiliza a

Si desea ms informacin sobre la CLI, consulte Configuracin del WAP

Simple Network Management Protocol (SNMP). Configuracin de

Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015 23

Dispositivos cliente Si dispone de ms de un dispositivo inalmbrico en su LAN inalmbrica, los

En ocasiones los usuarios de la LAN inalmbrica se ven afectados cuando un

Gracias al uso de la gestin de claves centralizadas de Cisco (CCKM) y de un

24 Publicacin de Rockwell Automation 1783-UM006B-ES-P Enero 2015

Punto de acceso raz