Arquitecturas distribuidas —Esta sección trata sobre una red inalámbrica formada por puntos de acceso autónomos y

administrada individualmente o a través de medios basados en la nube.

Arquitecturas MAC divididas —Esta sección describe las redes inalámbricas que se pueden construir a partir de puntos de

acceso ligeros y controladores de LAN inalámbrica.

Bloques de creación de redes inalámbricas de Cisco —Esta sección cubre los dispositivos Cisco que son necesarios para
construir una red inalámbrica con una de las arquitecturas comunes.

Arquitecturas distribuidas

La función principal de un AP es conectar los datos inalámbricos desde el aire a una red cableada normal. Un AP puede aceptar
"conexiones" de varios clientes inalámbricos para que se conviertan en miembros de la LAN, como si los mismos clientes estuvieran
usando conexiones por cable.

Los AP actúan como el punto central de acceso (de ahí el nombre del AP), controlando el acceso del cliente a la
LAN inalámbrica. Un AP autónomo es autónomo; está equipado con hardware alámbrico e inalámbrico para que
las asociaciones de clientes inalámbricos se puedan terminar en una conexión alámbrica localmente en el AP. Los
AP y sus conexiones de datos deben distribuirse por el área de cobertura y la red. Se pueden gestionar de forma
autónoma o mediante un mecanismo basado en la nube.

Arquitectura autónoma

Los AP autónomos son autónomos, y cada uno ofrece uno o más conjuntos de servicios básicos independientes (BSS)
completamente funcionales. También son una extensión natural de una red conmutada, que conecta redes inalámbricas identificadores
de conjuntos de servicios (SSID) a LAN virtuales cableadas (VLAN) en la capa de acceso. Figura 8-1 muestra la arquitectura
básica; aunque solo se muestran cuatro AP, una red empresarial típica podría constar de cientos o miles de AP.
Figura 8-1 Arquitectura de red inalámbrica con AP autónomos

¿Qué necesita exactamente un AP autónomo para convertirse en parte de la red? Referirse a Figura 8-2 , que se
centra en un solo AP y sus conexiones. La red inalámbrica consta de dos SSID: wlan100 y wlan200. Estos
corresponden a las VLAN cableadas 100 y 200, respectivamente. Las VLAN deben estar troncalizadas desde el
conmutador de la capa de distribución (donde suele tener lugar el enrutamiento) hasta la capa de acceso, donde se
extienden más a través de un enlace troncal al AP.
Figura 8-2 Arquitectura de red que admite un único AP autónomo

Un AP autónomo ofrece una ruta corta y simple para que los datos viajen entre las redes inalámbricas y cableadas.
Como Figura 8-3 muestra, los datos tienen que viajar solo a través del AP para llegar a la red en el otro lado. Dos
usuarios inalámbricos que están asociados al mismo AP autónomo pueden comunicarse entre sí a través del AP, sin
tener que pasar a la red cableada. A medida que trabaja en las arquitecturas inalámbricas que se describen en el resto
del capítulo, observe la ruta de datos que se requiere para cada una.
Figura 8-3 Ruta de datos entre redes autónomas inalámbricas y cableadas

Un AP autónomo también debe configurarse con una dirección IP de administración (10.10.10.10) para que pueda administrarlo de
forma remota. Después de todo, querrá configurar SSID, VLAN y muchos parámetros de RF como el canal y la potencia de
transmisión que se utilizará. La dirección de administración normalmente no forma parte de ninguna de las VLAN de datos, por lo
que se debe agregar una VLAN de administración dedicada (VLAN 10 en las figuras) a los enlaces troncales para llegar al AP.
Cada AP debe configurarse y mantenerse individualmente a menos que aproveche una plataforma de administración como Cisco
Prime Infrastructure.

Debido a que las VLAN de administración y datos pueden necesitar llegar a cada AP autónomo, la configuración y la eficiencia de la red
pueden volverse engorrosas a medida que la red se escala. Por ejemplo, es probable que desee ofrecer el mismo SSID en muchos AP
para que los clientes inalámbricos puedan asociarse con ese SSID en casi cualquier ubicación o mientras se encuentran en itinerancia
entre dos AP. También es posible que desee extender la VLAN correspondiente a todos y cada uno de los AP para que los clientes no
tengan que solicitar una nueva dirección IP para cada nueva asociación.

Debido a que los SSID y sus VLAN deben extenderse en la Capa 2, debe considerar cómo se extienden por toda
la red conmutada. Figura 8-4 muestra un ejemplo de la extensión de una sola VLAN en el plano de datos.
Trabajando de arriba a abajo, siga la VLAN 100 a medida que atraviesa la red. La VLAN 100 se enruta dentro de
la capa de distribución y
deben transportarse por enlaces troncales a los conmutadores de la capa de acceso y luego a cada AP
autónomo. En efecto, la VLAN 100 debe extenderse de un extremo a otro en toda la infraestructura, algo que se
considera una mala práctica.

Figura 8-4 Extensión de una VLAN de datos en una red de AP autónomos

Eso puede parecer sencillo hasta que tenga que agregar una nueva VLAN y configurar cada conmutador y AP en su red.
Peor aún, suponga que su red tiene enlaces redundantes entre cada capa de conmutadores. El protocolo de árbol de
expansión (STP) que se ejecuta en cada conmutador se convierte en un ingrediente vital para evitar que se formen bucles de
puente y corrompan la red. Por estas razones, la itinerancia de clientes a través de AP autónomos generalmente se limita al
dominio de Capa 2 o al alcance de una sola VLAN. A medida que la red inalámbrica se expande, la infraestructura se vuelve
más difícil de configurar correctamente y se vuelve menos eficiente.

Arquitectura basada en la nube

Recuerde que un AP autónomo necesita bastante configuración y administración. Para ayudar a administrar más y más
AP autónomos a medida que crece la red inalámbrica, puede colocar una plataforma de administración de AP como
Cisco Prime Infrastructure en una ubicación central dentro de la empresa. La plataforma de gestión también debería
comprarse, configurarse y mantenerse.
Un enfoque más simple es una arquitectura basada en la nube, donde la función de administración de AP se empuja fuera de la
empresa hacia la nube de Internet. Cisco Meraki está basado en la nube y ofrece administración centralizada de redes inalámbricas,
conmutadas y de seguridad creadas a partir de productos Meraki. Por ejemplo, a través del servicio de redes en la nube, puede
administrar los puntos de acceso, monitorear el rendimiento y la actividad inalámbricos, generar informes, etc.

Los AP de Cisco Meraki se pueden implementar automáticamente, una vez que se registre en la nube de Meraki. Cada AP se pondrá en
contacto con la nube cuando se encienda y se autoconfigurará. A partir de ese momento, puede administrar el AP a través del panel de
control en la nube de Meraki.

Figura 8-5 ilustra la arquitectura básica basada en la nube. Observe que la red está organizada de manera
idéntica a la de la red AP autónoma. Eso se debe a que los AP en una red basada en la nube también son
autónomos. La diferencia más visible es que todos los AP se gestionan, controlan y supervisan de forma
centralizada desde la nube.

Figura 8-5 Arquitectura de red inalámbrica basada en la nube de Cisco Meraki

Desde la nube, puede enviar actualizaciones de código y cambios de configuración a los puntos de acceso de la empresa. La nube de
Cisco Meraki también agrega la inteligencia necesaria para instruir a cada AP sobre qué canal y nivel de potencia de transmisión debe
usar. También puede recopilar información de todos los puntos de acceso sobre cosas como interferencias de RF, dispositivos
inalámbricos no autorizados o inesperados que se escucharon y estadísticas de uso inalámbrico.

Finalmente, hay un par de cosas que debe observar sobre la arquitectura basada en la nube. La ruta de datos desde
la red inalámbrica a la red cableada es muy corta; el AP autónomo enlaza las dos redes. Los datos hacia y desde
clientes inalámbricos no tienen que viajar a la nube y viceversa; la nube se utiliza para llevar las funciones de gestión
al plano de los datos.

Además, observe que la red en Figura 8-5 consta de dos rutas distintas, una para el tráfico de datos y otra para
el tráfico de gestión, que corresponden a las dos funciones siguientes:

Un avión de control —Táfico utilizado para controlar, configurar, administrar y monitorear el AP en sí

Un plano de datos —Táfico de usuario final que pasa por el AP

Esta división será importante en las siguientes secciones a medida que se analicen otros tipos de
arquitectura.

Arquitecturas MAC divididas

Debido a que los AP autónomos son ... bueno, autónomos, administrar su operación de RF puede ser bastante difícil. Como
administrador de red, usted está a cargo de seleccionar y configurar el canal utilizado por cada AP y de detectar y lidiar con los
AP no autorizados que puedan estar interfiriendo. También debe administrar aspectos como el nivel de potencia de transmisión
para asegurarse de que la cobertura inalámbrica sea suficiente, no se superponga demasiado y no haya agujeros de cobertura,
incluso cuando falla la radio de un AP.

La gestión de la seguridad de la red inalámbrica también puede resultar difícil. Cada AP autónomo maneja sus propias políticas de
seguridad, sin un punto central de entrada entre las redes inalámbricas y cableadas. Eso significa que no hay un lugar conveniente
para monitorear el tráfico para cosas como la detección y prevención de intrusiones, la calidad del servicio, la vigilancia del ancho de
banda, etc.

Para superar las limitaciones de los AP autónomos distribuidos, muchas de las funciones que se encuentran dentro
de los AP autónomos deben desplazarse hacia alguna ubicación central. En Figura 8-6 , la mayoría de las actividades
realizadas por un AP autónomo de la izquierda se dividen en dos grupos: procesos en tiempo real en la parte superior
y procesos de gestión en la parte inferior.
Figura 8-6 Punto de acceso autónomo versus ligero
Los procesos en tiempo real implican enviar y recibir tramas 802.11, balizas y mensajes de prueba. El cifrado de datos
802.11 también se maneja en tiempo real, por paquete. El AP debe interactuar con los clientes inalámbricos en un nivel
bajo, conocido como el control de acceso a medios ( MAC) capa. Estas funciones deben permanecer en el AP, más
cercano a los clientes.

Las funciones de administración no son parte integral del manejo de tramas a través de los canales de RF, pero son cosas
que deben administrarse de manera centralizada. Por lo tanto, esas funciones se trasladan a una plataforma ubicada en el
centro lejos del AP.

En la red inalámbrica unificada de Cisco, un punto de acceso ligero LAP) realiza solo la operación 802.11 en
tiempo real. El LAP recibe su nombre porque la imagen del código y la inteligencia local son simples, o ligeras, en
comparación con el AP autónomo tradicional.

Las funciones de gestión se realizan generalmente en un controlador de LAN inalámbrica ( WLC), que controla muchos
REVESTIMIENTOS. Esto se muestra en la parte inferior derecha de Figura 8-6 . Observe que el LAP se queda con tareas
en las Capas 1 y 2, donde las tramas se mueven dentro y fuera del dominio de RF. El LAP se vuelve totalmente
dependiente del WLC para todas las demás funciones de WLAN, como autenticar usuarios, administrar políticas de
seguridad e incluso seleccionar canales de RF y potencia de salida.
Propina

Recuerde que un AP liviano normalmente no puede operar por sí solo; depende mucho de un WLC en
algún lugar de la red. La única excepción es la arquitectura FlexConnect, que se analiza más adelante
en este capítulo.

La división del trabajo LAP-WLC se conoce como arquitectura MAC dividida, donde las operaciones MAC
normales se separan en dos ubicaciones distintas. Esto ocurre para cada LAP en la red; cada uno debe
arrancar y unirse a un WLC para admitir clientes inalámbricos. El WLC se convierte en el eje central que admite
varios LAP dispersos en la red.

¿Cómo se une un REVESTIMIENTO con un WLC para formar un punto de acceso de trabajo completo? Los dos dispositivos deben

utilizar un protocolo de tunelización entre ellos, para transportar mensajes relacionados con 802.11 y también datos del cliente.

Recuerde que el LAP y el WLC se pueden ubicar en la misma VLAN o subred IP, pero no es necesario. En cambio, pueden

ubicarse en dos subredes IP completamente diferentes en dos ubicaciones completamente diferentes.

El protocolo de tunelización de Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP) hace que
todo esto sea posible al encapsular los datos entre el LAP y el WLC dentro de nuevos paquetes IP. Los datos del túnel
se pueden cambiar o enrutar a través de la red del campus. Como Figura 8-7 muestra, la relación CAPWAP en realidad
consta de los siguientes dos túneles:

Mensajes de control CAPWAP —Utilizado para intercambios que se utilizan para configurar el LAP y administrar su
funcionamiento. Los mensajes de control se autentican y cifran, de modo que el LAP se controla de forma segura solo por
el WLC, luego se transporta utilizando el puerto UDP 5246 en el controlador.

Datos CAPWAP : Se utiliza para paquetes que viajan hacia y desde clientes inalámbricos que están asociados con el LAP. Los

paquetes de datos se transportan mediante el puerto UDP 5247 en el controlador, pero no están cifrados de forma

predeterminada. Cuando el cifrado de datos está habilitado para un LAP, los paquetes están protegidos con Datagram Transport

Layer Security (DTLS).

Figura 8-7 Vincular un LAP y WLC con CAPWAP

Propina

CAPWAP se define en las RFC 5415, 5416, 5417 y 5418. CAPWAP se basa en el Protocolo de punto de
acceso ligero (LWAPP), que era una solución heredada de propiedad de Cisco.

Cada LAP y WLC también deben autenticarse entre sí con certificados digitales. Un certificado X.509 viene preinstalado
en cada dispositivo cuando se compra. Al utilizar certificados en segundo plano, todos los dispositivos se autentican
correctamente antes de formar parte de la red inalámbrica. Este proceso ayuda a garantizar que no se pueda introducir
en la red ningún AP que no sea CAPWAP. La asociación LAP-WLC se trata con mayor detalle en Capítulo 11 , " Comprensión
del descubrimiento de controladores . "

La tunelización CAPWAP permite que el REVESTIMIENTO y el WLC se separen geográfica y lógicamente. También
rompe la dependencia de la conectividad de Capa 2 entre ellos. Por ejemplo, Figura 8-8 utiliza áreas sombreadas para
mostrar la extensión de la VLAN 100. Observe cómo la VLAN 100 existe en el WLC y en el aire como SSID 100, cerca
de los clientes inalámbricos, pero no entre el LAP y el WLC. En cambio, el tráfico hacia y desde clientes asociados
con SSID 100 se transporta a través de la infraestructura de red encapsulada dentro del túnel de datos
CAPWAP. El túnel existe entre la dirección IP del WLC y la dirección IP del LAP, lo que permite que todos los
paquetes tunelizados se enruten en la Capa 3.

Figura 8-8 Alcance de la VLAN 100 en una red inalámbrica de Cisco

Además, observe cómo el LAP es conocido por una sola dirección IP 10.10.10.10. Debido a que el LAP se encuentra en la capa de
acceso donde terminan sus túneles CAPWAP, puede usar una dirección IP tanto para administración como para tunelización. No
se necesita ningún enlace troncal porque todas las VLAN que admite están encapsuladas y tunelizadas.

A medida que crece la red inalámbrica, el WLC simplemente construye más túneles CAPWAP para llegar a más AP. Figura
8-9 representa una red con cuatro LAP. Cada LAP tiene un control y un túnel de datos de regreso al WLC centralizado. El
SSID 100 puede existir en cada AP y la VLAN 100 puede llegar a cada AP a través de la red de túneles.
Figura 8-9 Uso de túneles CAPWAP para conectar REVESTIMIENTOS a un WLC central

Una vez que los túneles CAPWAP se construyen desde un WLC a uno o más AP ligeros, el WLC puede comenzar a
ofrecer una variedad de funciones adicionales. Piense en todos los acertijos y deficiencias que se discutieron para la
arquitectura WLAN autónoma tradicional mientras lee la siguiente lista de actividades WLC:

Asignación dinámica de canales —El WLC puede elegir y configurar automáticamente el canal de RF utilizado por cada LAP,
basándose en otros puntos de acceso activos en el área.

Transmitir optimización de potencia —El WLC puede configurar automáticamente la potencia de transmisión de cada LAP en
función del área de cobertura necesaria.

Cobertura inalámbrica con recuperación automática —Si un radio LAP muere, el agujero de cobertura se puede "curar" aumentando
la potencia de transmisión de los LAP circundantes automáticamente.

Roaming de cliente flexible —Los clientes pueden desplazarse entre LAP en la Capa 2 o en la Capa 3 con tiempos de itinerancia
muy rápidos.
Equilibrio de carga dinámico del cliente —Si dos o más LAP se colocan para cubrir la misma área geográfica, el
WLC puede asociar clientes con el LAP menos utilizado. Esto distribuye la carga del cliente entre los LAP.

Monitoreo de RF —El WLC administra cada LAP para que escanee canales para monitorear el uso de RF. Al escuchar un canal,
el WLC puede recopilar información de forma remota sobre la interferencia de RF, el ruido, las señales de los LAP vecinos y las
señales de los AP deshonestos o clientes ad hoc.

Gestion de seguridad —El WLC puede autenticar clientes desde un servicio central y puede requerir que los clientes
inalámbricos obtengan una dirección IP de un servidor DHCP confiable antes de permitirles asociarse y acceder a la
WLAN.

Sistema de protección contra intrusiones inalámbrico —Aprovechando su ubicación central, el WLC puede monitorear los datos del

cliente para detectar y prevenir actividades maliciosas.

El concepto de MAC dividido se puede aplicar a varias arquitecturas de red diferentes, como se describe en las
siguientes secciones. Cada arquitectura coloca el WLC en una ubicación diferente dentro de la red, una opción que
también afecta la cantidad de WLC que se necesitan.

Arquitectura de red inalámbrica centralizada

Suponga que desea implementar un WLC para admitir varios AP ligeros en su red. ¿Dónde debería poner el WLC? Un
enfoque es ubicar el WLC en una ubicación central para que pueda maximizar el número de AP que se le unieron. Esto tiende
a seguir el concepto de que la mayoría de los recursos que los usuarios necesitan para alcanzar están ubicados en una
ubicación central, como un centro de datos o Internet. El tráfico hacia y desde usuarios inalámbricos viajaría a través de
túneles CAPWAP que llegan al centro de la red, cerca del núcleo, como se muestra en Figura 8-10 . Un WLC centralizado
también proporciona un lugar conveniente para hacer cumplir las políticas de seguridad que afectan a todos los usuarios
inalámbricos.
Figura 8-10 Ubicación de WLC en una red inalámbrica centralizada

Figura 8-10 muestra cuatro REVESTIMIENTOS unidos a un solo WLC. Su red podría tener más LAP, muchos,
muchos más. Una gran red empresarial puede tener miles de LAP conectados a su capa de acceso. La
escalabilidad se convierte entonces en un factor importante en el diseño centralizado. Cada modelo de Cisco
WLC tiene un número máximo de LAP que admite. Si tiene más LAP que el máximo, deberá agregar más WLC
al diseño, cada uno ubicado en el centro.

Propina

Cisco ofrece modelos WLC que admiten un máximo de 75 LAP hasta 6000 LAP. Cada modelo también tiene un número
máximo de clientes inalámbricos. El costo del WLC es generalmente proporcional al número máximo de LAP y clientes
admitidos. Puede encontrar una descripción general de modelos específicos más adelante en este capítulo.

Observe cómo la arquitectura centralizada afecta la movilidad de los usuarios inalámbricos. Por ejemplo, Figura 8-11 ilustra

un usuario inalámbrico que se mueve a través de la cobertura

áreas de los cuatro AP de Figura 8-10 . A medida que el usuario se mueve, puede asociarse con muchos LAP diferentes en
la capa de acceso. Debido a que todos los LAP están unidos a un solo WLC, ese WLC puede mantener fácilmente la
conectividad del usuario con todas las demás áreas de la red.

Figura 8-11 Movilidad del usuario en una red inalámbrica centralizada

La ubicación del WLC de manera centralizada también afecta la ruta que deben tomar los datos inalámbricos. Para que un usuario

inalámbrico alcance un segmento de red cableada, el tráfico se canaliza desde el LAP al WLC como se muestra en Figura 8-12 .

Observe que el túnel extiende la extensión completa de la jerarquía de la red desde la capa de acceso hasta la capa central.
Figura 8-12 Ruta de tráfico en una red inalámbrica centralizada

La longitud de la ruta del túnel no es una gran preocupación para los usuarios inalámbricos que intentan acceder a recursos
centralizados. Si los usuarios inalámbricos necesitan llegar a un recurso local en la capa de acceso u otros usuarios
inalámbricos, entonces el camino se vuelve mucho más interesante. Recuerde que dos usuarios inalámbricos asociados con
un AP autónomo pueden comunicarse entre sí a través del AP. Por el contrario, la ruta entre dos usuarios inalámbricos en
una red centralizada se muestra en Figura 8-13 . Desde el cliente A, el tráfico debe pasar a través del REVESTIMIENTO,
donde está encapsulado en el túnel CAPWAP, luego viajar hasta la capa central para alcanzar el WLC, donde no está
encapsulado. Para continuar con el cliente B, el proceso se invierte y el tráfico vuelve a descender por el túnel para llegar al
AP y salir al aire.
Figura 8-13 Ruta de tráfico entre clientes inalámbricos en una red inalámbrica centralizada

Propina

Sin embargo, la longitud del trayecto del túnel puede ser una gran preocupación para los LAP. El tiempo de ida y vuelta (RTT)
entre un LAP y un controlador debe ser inferior a 100 ms para que la comunicación inalámbrica se pueda mantener casi en
tiempo real. Si la ruta tiene más latencia que eso, los LAP pueden decidir que el controlador no responde lo suficientemente
rápido, lo que hace que se desconecten y encuentren otro controlador más receptivo.

Estos caminos en "horquilla" pueden ser bastante ineficaces porque ambos extremos del mecanismo de MAC dividido deben

atravesarse en ambas direcciones. Ahora considere una empresa que tiene algunas sucursales ubicadas a cierta distancia del

campus principal. Los LAP también se pueden implementar en el sitio de la sucursal, uniéndose a un WLC centralizado en la sede.

Es posible que los usuarios inalámbricos en el sitio de la sucursal necesiten acceder a servidores de archivos o impresoras locales,

por lo que sus rutas de tráfico deben pasar por encima del enlace WAN que finalmente se conecta al WLC. Los usuarios de la

sucursal se vuelven totalmente dependientes del enlace WAN, si

el enlace se cae, el túnel CAPWAP fallará. Una vez que eso sucede, los usuarios también pueden quedar aislados de
sus recursos locales.

Propina

Los LAP de Cisco pueden remediar esta situación proporcionando acceso local a través de la función FlexConnect. La
arquitectura FlexConnect adicional se analiza más adelante en este capítulo.

Arquitectura de red inalámbrica convergente

Como alternativa a la arquitectura inalámbrica centralizada, donde los WLC se encuentran cerca de la capa central, la
función WLC se puede mover hacia abajo en la jerarquía de la red. La reubicación de los WLC hace dos cosas:

La función WLC se acerca a los LAP (y a los usuarios inalámbricos).

La función WLC se distribuye, en lugar de centralizarse.

La capa de acceso resulta ser una ubicación conveniente para los WLC. Después de todo, los usuarios inalámbricos finalmente se

conectan a un WLC, que sirve como una capa de acceso virtual. ¿Por qué no mover la capa de acceso inalámbrico para que coincida

con la capa de acceso por cable? Con todos los tipos de acceso de usuarios fusionados en una capa, resulta mucho más fácil hacer

cosas como aplicar políticas de seguridad y acceso común que afectan a todos los usuarios. Esto se conoce como red inalámbrica

convergente arquitectura. Para distinguir los dos enfoques, los controladores centralizados se conocen como WLC, mientras que los
controladores convergentes se conocen como Módulos de control inalámbricos

(WCM) .

Propina

Mientras se prepara para el examen, recuerde la distinción entre las arquitecturas centralizada y convergente,
con respecto a las funciones WLC y WCM. Otra diferencia es que los WLC ejecutan el software Cisco AireOS,
mientras que los WCM se basan en el software Cisco IOS-XE que se ejecuta en los switches Catalyst que
albergan los WCM.

Como puede imaginar, la distribución de la función del controlador en la capa de acceso aumenta la cantidad de
controladores que se necesitan. Se necesita un controlador por pila de conmutadores de acceso o chasis. La idea es
acercar más controladores a los usuarios, lo que también reduce la cantidad de AP y clientes que se conectan a cada uno.
¿Cómo se puede lograr esto? Las familias de productos Cisco Catalyst 3650, 3850 y 4500 (solo Supervisor 8-E) se utilizan
comúnmente como conmutadores de capa de acceso, además de que pueden ofrecer
Funciones WCM de acceso convergente sin necesidad de hardware adicional. Tabla 8-
2 enumera la capacidad de AP y de cliente de cada plataforma de conmutador.

Tabla 8-2 Capacidades inalámbricas del conmutador de acceso convergente

Puede parecer extraño que la cantidad de AP admitidos sea bastante baja, cuando la densidad de puertos físicos de un conmutador es
bastante grande. Por ejemplo, una pila de conmutadores Catalyst 3850 puede constar de hasta 432 puertos cableados (nueve
conmutadores de 48 puertos), pero solo se pueden conectar 50 AP a toda la pila de conmutadores. Si piensa en esto desde una
perspectiva inalámbrica, tiene más sentido. Cada AP está conectado a la pila de conmutadores mediante un cable de par trenzado que
está limitado a una longitud de 100 metros. Por lo tanto, todos los AP deben ubicarse dentro de un radio de 100 metros del interruptor de
acceso. No hay demasiadas células AP que puedan caber físicamente en esa área.

Figura 8-14 muestra la arquitectura de red inalámbrica convergente básica. Observe que cada conmutador de acceso
realiza funciones de conmutación y WLC. Cada AP se conecta a un conmutador de acceso para la conectividad de red,
así como la funcionalidad de MAC dividida, por lo que el túnel CAPWAP se vuelve realmente corto: ¡existe solo en la
longitud del cable que conecta el AP! La flecha muestra la longitud de la ruta de datos entre las redes inalámbricas y
cableadas.
Figura 8-14 Ubicación de WLC en una red inalámbrica convergente

Otra ventaja de la arquitectura de red convergente se relaciona con la escalabilidad inalámbrica. Los AP que ofrecen 802.11ac
Wave 1 pueden usar puertos de conmutador comunes de 1 Gbps sin limitar el rendimiento. Wave 2, sin embargo, tiene el
potencial de ir mucho más allá de 1 Gbps, lo que requiere algo más que un solo puerto de conmutador de 10/100/1000 Mbps.
Cisco ofrece puertos Ethernet multigigabit patentados en varios modelos de las familias Catalyst 3850 y 4500, donde los AP
pueden conectarse a través de cables individuales. Ethernet multigigabit puede operar a velocidades de 100 Mbps, 1 Gbps, 2.5
Gbps y 5 Gbps sobre cableado Cat5e y hasta 10 Gbps sobre velocidades de cableado Cat6a.

El modelo convergente también resuelve algunos problemas de conectividad en las sucursales al traer un WLC completamente funcional
en el sitio, dentro del conmutador de la capa de acceso. Con un WLC local, los AP
puede continuar funcionando sin depender de un WLC en el sitio principal a través de una conexión WAN.

¿Cómo afecta la arquitectura convergente a la movilidad de los usuarios? Con más WLC y menos AP unidos a cada
uno, es de esperar que un usuario móvil pase por más WLC que en una arquitectura centralizada. Figura 8-15 muestra
la red básica y el diseño del AP. A medida que un usuario inalámbrico viaja, puede encontrar muchos WLC diferentes
mientras se desplaza de un AP a otro. Por lo tanto, se debe utilizar una mayor coordinación para respaldar la
itinerancia en el modelo convergente. Capítulo 12 , " Entender el roaming , ”Analiza esto con mayor detalle.
Figura 8-15 Movilidad del usuario en una red inalámbrica convergente

Si el túnel CAPWAP es relativamente corto en una red convergente, eso debe significar que los dispositivos inalámbricos pueden

comunicarse entre sí de manera más eficiente. De hecho, como Figura 8-16 muestra, la trayectoria del tráfico de un usuario a otro

debe pasar por un REVESTIMIENTO, el interruptor de acceso (y WLC), y retroceder por el REVESTIMIENTO. Por el contrario, el

tráfico de un usuario inalámbrico a un recurso central, como un centro de datos o Internet, viaja a través del túnel CAPWAP, no

está encapsulado en el conmutador de la capa de acceso (y WLC) y luego viaja normalmente hacia arriba a través del resto de

las capas de la red.

Figura 8-16 Ruta de tráfico en una red inalámbrica convergente

Arquitectura de red inalámbrica FlexConnect

En una infraestructura de campus conmutada, el patrón de tráfico MAC dividido no es un gran problema porque el WLC se puede

ubicar de manera centralizada y el ancho de banda es abundante. Suponga que la red crece para incluir algunas sucursales

remotas. Los LAP se ubican en las sucursales, pero el único WLC se encuentra en el campus principal. Este escenario obliga al

tráfico inalámbrico a atravesar el túnel CAPWAP entre la sucursal y los sitios principales para llegar a los recursos centralizados,

como Figura 8-17 muestra. Los usuarios de las sucursales también pueden necesitar acceder a recursos locales no inalámbricos,

como un servidor de archivos e impresoras. En ese caso, la trayectoria del tráfico sigue el túnel CAPWAP al WLC, luego vuelve a

través del túnel al sitio de la ramificación nuevamente. Tal camino, como se muestra en Figura 8-18 , puede que no sea eficaz en

absoluto, especialmente cuando el ancho de banda del sitio remoto es limitado.

Figura 8-17 Arquitectura de MAC dividida en una sucursal

Figura 8-18 Ruta de tráfico para llegar a recursos no inalámbricos en una sucursal

Para abordar la ineficiencia, puede aprovechar el modo FlexConnect en los LAP del sitio remoto. El tráfico del sitio
remoto que necesita atravesar el túnel de datos CAPWAP para llegar al WLC se transportará como de costumbre. Sin
embargo, el tráfico inalámbrico destinado a las redes de las sucursales puede permanecer dentro de la sucursal; los LAP
de las sucursales pueden conmutar localmente el tráfico sin atravesar el túnel CAPWAP. Incluso si el enlace del sitio
remoto se cae, cortando el túnel CAPWAP por completo, FlexConnect permite que el LAP siga cambiando el tráfico
localmente para mantener la conectividad inalámbrica dentro del sitio remoto, como se ilustra en el escenario en Figura
8-19 . Un FlexConnect AP puede funcionar en dos modos: cuando puede alcanzar el WLC, funciona en modo conectado; cuando
el camino al WLC se rompe, el AP opera en modo autónomo.
Figura 8-19 Ruta de tráfico durante la conmutación local FlexConnect

Propina

FlexConnect se conocía anteriormente como la función Hybrid Remote Edge Access Point (H-REAP). Para mantener la
conectividad entre el WLC y el LAP del sitio de sucursal, el enlace WAN debe tener una latencia de ida y vuelta de menos de
300 ms para datos normales y menos de 100 ms para tráfico de datos y voz.

Bloques de creación de redes inalámbricas de Cisco

Un diseño exitoso de una red inalámbrica de Cisco puede involucrar AP, WLC y una plataforma para administrarlos todos. Las
siguientes secciones describen el hardware de Cisco que puede usar como bloques de construcción.

Controladores de LAN inalámbrica de Cisco

Los WLC de Cisco están disponibles en muchas plataformas, y se diferencian principalmente por el factor de forma y la cantidad de

LAP administrados. Las plataformas WLC se enumeran en Tabla 8-3 , organizado en orden ascendente según el número máximo de

LAP admitidos.
Tabla 8-3 Plataformas y capacidades de Cisco WLC y WCM

Utilizar Tabla 8-3 familiarizarse con todo el espectro de WLC de Cisco, no memorizar sus especificaciones. Tenga en cuenta la
capacidad y la arquitectura relativas de AP basadas en el modelo. Generalmente, la cantidad de LAP admitidos aumenta a
medida que aumenta el número de modelo. Los productos que admiten un número bajo de LAP generalmente están diseñados
para sitios de campus pequeños, mientras que los productos que admiten 1000 o 6000 LAP son modelos emblemáticos
diseñados para empresas muy grandes.

Muchos WLC son dispositivos independientes, mientras que otros están integrados en el chasis del switch Catalyst. El
módulo de servicio inalámbrico 2 (WiSM2) es único porque se puede integrar en un switch Catalyst 6500 existente. Hasta
siete módulos WiSM2 pueden vivir en un solo chasis de conmutador.

El WLC virtual (vWLC) es un producto interesante porque consta de software únicamente, que se ejecuta bajo un
hipervisor VMware. Puede usarlo en una pequeña empresa o en un laboratorio. Debido a su naturaleza virtual, vWLC
puede coexistir con otro software de administración inalámbrica de Cisco en una única plataforma VMware. El vWLC no
puede admitir ningún AP en modo local; en su lugar, todos los AP deben configurarse para FlexConnect.
Tenga en cuenta que puede implementar varios WLC en una red para manejar un número creciente de LAP. Además,
varios WLC ofrecen cierta redundancia para que los LAP puedan recuperarse de una falla del WLC. La alta disponibilidad
y la redundancia se tratan en Capítulo 11 .

AP de Cisco

Los AP Cisco Meraki son los componentes básicos de una arquitectura basada en la nube. Tabla 8-4 enumera los modelos AP con

sus capacidades básicas.

Tabla 8-4 Puntos de acceso basados en la nube de Cisco Meraki y sus capacidades

Cisco también ofrece una línea completa de LAP que están diseñados para conectarse a un WLC para ofrecer un servicio

inalámbrico completamente funcional. Tabla 8-5 enumera muchos de los modelos LAP, junto con su capacidad de análisis de

espectro, ubicación de antena y soporte de radio 802.11. Todos los modelos, excepto el 1850, pueden ejecutar una imagen AP

autónoma en lugar de una imagen AP ligera.

Tabla 8-5 Puntos de acceso ligeros de Cisco y sus capacidades

Los modelos 1700, 2700 y 3700 ofrecen conjuntos de funciones progresivamente más grandes y cadenas de radio más robustas. El
3700 es único porque es modular y puede proporcionar actualizaciones "preparadas para el futuro". Puede aceptar uno de los
siguientes módulos adicionales:

Módulo de seguridad inalámbrico Cisco Aironet —Realiza exploración de canales y protección contra intrusiones con
radios dedicadas

Módulo 5310 de celda pequeña universal de Cisco - Extiende el servicio celular 3G a ubicaciones de AP dentro de edificios

Módulo Cisco Aironet 802.11ac Wave 2 —Disponible en el futuro; extiende las capacidades de 802.11ac más allá de
Wave 1

El modelo 1850 es el primer AP de Cisco que ofrece 802.11ac Wave 2 totalmente integrado. Observe cómo cambia el número
de cadenas de radio para admitir 802.11n en 2,4 GHz y 802.11ac en 5 GHz. Wave 2 permite que el AP funcione en modo
multiusuario de múltiples entradas y múltiples salidas (MUMIMO).

Con capacidades de análisis de espectro, un AP puede detectar e identificar fuentes de

Interferencia 802.11. En cooperación con un WLC, los AP también pueden hacer ajustes para evitar la interferencia.
Cuando el AP y el WLC se utilizan junto con Cisco Mobility Services Engine (MSE) y una plataforma de administración
inalámbrica de Cisco, las fuentes de interferencia pueden incluso ubicarse en un mapa. Esto permite que la red inalámbrica
sea autorreparable, capaz de identificar y recuperarse de problemas externos de forma dinámica. Análisis de espectro
a través de la función Cisco CleanAir se analiza más adelante en Capítulo 19 , " Manejo de la interferencia inalámbrica .
"

La principal diferencia entre los modelos se refiere a la compatibilidad con 802.11ac y la operación MIMO, con un número
diferente de radios y flujos espaciales. Recordar de Capítulo 2 , " Estándares de RF , ”Que una radio descrita como 2 × 3: 2
tiene dos transmisores, tres receptores y dos flujos espaciales. A medida que aumenta el número de radios y flujos
espaciales, el AP puede proporcionar un mayor rendimiento a sus clientes. Observe cómo aumenta la cantidad de radios y
transmisiones espaciales con la compatibilidad con 802.11ac Wave 1 y Wave 2.

Nota

Tablas 8-4 y 8-5 enumere solo los AP que se utilizan para proporcionar un BSS sencillo. Cisco también ofrece la familia
1500 de LAP, que se utilizan para construir una red de malla inalámbrica al aire libre. Asimismo, Cisco Meraki ofrece
los AP de malla para exteriores MR66 y MR72. Las redes de malla están fuera del alcance de este libro y del examen
CCNA Wireless.

Muchos AP de Cisco pueden funcionar en modo autónomo o ligero, según la imagen de código que se cargue y
ejecute. Desde el WLC, también puede configurar un AP liviano para operar en uno de los siguientes modos de
propósito especial:

Local : El modo ligero predeterminado que ofrece uno o más BSS en funcionamiento en un canal específico. Durante los
momentos en que no está transmitiendo, el LAP escaneará los otros canales para medir el piso de ruido, medir la interferencia,
descubrir dispositivos no autorizados y compararlos con los eventos del sistema de detección de intrusos (IDS).

Monitor —El LAP no transmite en absoluto, pero su receptor está habilitado para actuar como un sensor dedicado. El
LAP busca eventos IDS, detecta puntos de acceso no autorizados y determina la posición de las estaciones a través de
servicios basados en la ubicación (LBS).

FlexConnect —Un LAP en un sitio remoto puede cambiar localmente el tráfico entre un SSID y una VLAN si su túnel
CAPWAP al WLC está inactivo y si está configurado para hacerlo.

Oledor —Un LAP dedica sus radios a recibir tráfico 802.11 de otras fuentes, como un rastreador o un dispositivo de
captura de paquetes. El tráfico capturado se reenvía a una PC que ejecuta un software de análisis de red como
Wildpackets OmniPeek o WireShark, donde se puede analizar más a fondo.

Detector de pícaros —Un LAP se dedica a detectar dispositivos maliciosos al correlacionar las direcciones MAC que se

escuchan en la red cableada con las que se escuchan por aire. Los dispositivos deshonestos son aquellos que aparecen en

ambas redes.
Puente —Un LAP se convierte en un puente dedicado (punto a punto o punto a multipunto) entre dos redes. Se
pueden usar dos LAP en modo puente para vincular dos ubicaciones separadas por una distancia. Varios LAP en
modo puente pueden formar una red de malla interior o exterior.

Puente Flex + —La operación FlexConnect está habilitada en un AP de malla.

SE-Connect —El LAP dedica sus radios al análisis del espectro en todos los canales inalámbricos. Puede conectar de
forma remota una PC que ejecute un software como MetaGeek Chanalyzer o Cisco Spectrum Expert al LAP para
recopilar y analizar los datos de análisis de espectro para descubrir fuentes de interferencia.