el 08-08-2024 08:53 AM - fecha de última edición 08-09-2024 02:46 PM por Jimena Saez
Presentación del webinar Community Live
Con la colaboración de Katy Torres e Iván Zamudio.
En esta sesión se exploraron los desafíos más comunes asociados con el Roaming de clientes wireless entre AireOS y C9800 en ausencia de un túnel de movilidad y la importancia de tener un Inter-Release Controller Mobility (IRCM) que es común en entornos de migración hacia la C9800. Se destacó la importancia de una configuración adecuada para su interoperabilidad y cómo se distingue ésta de un enfoque tradicional.
Abordamos como el “Layer 3 Roaming” es el único método soportado en su interoperabilidad y proporcionamos estrategias para identificar y resolver problemas de Roaming entre las plataformas a través de una revisión detallada de “debugs” y “logs”. Finalmente concluimos con una serie de recomendaciones del Centro de Asistencia Técnica (TAC) y "TAC tips" que le permitirán mantener una conectividad eficiente en la red.
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
Respuesta (Execatl M.): Hola, Giovanni. Data Link Encryption es opcional. Como tal, no hay una recomendación estricta sobre habilitarla o no, ya que depende completamente de los requerimientos de su red.
Respuesta (Mario M.): Hola Andy, Data Link Encryption es parte de Mobility por lo que no necesita licencias adicionales. No tiene impacto sobre el desempeño de los clientes.
Respuesta (Execatl M.): No, Data Link Encryption no tiene un impacto significativo en la controladora.
Respuesta (Mario M.): El Mobility tunnel levanta, sin embargo al no ser parte del mismo grupo, no tendrás roaming invisible entre ambas controladoras.
Respuesta (Execatl M.): Complementando la respuesta de Mario, recordemos que el propósito del nombre del grupo es definir un dominio de movilidad para que las controladoras se compartan la información necesaria para hacer, entre otras cosas, roaming invisible.
Respuesta (Mario M.): El túnel de control está encriptado por defecto y no se puede deshabilitar en las controladoras 9800, corresponde a "Secure Mobility" en Aireos, por esta razón se necesita habilitar en las controladoras heredadas. La opción de "Data Link Encryption" es opcional para encriptar el túnel de datos, si requieres encenderlo, debes hacerlo en ambas controladoras que forman el túnel. Al ser parte de la característica de Movilidad no es necesario tener licencias extra. Te dejo un link sobre licencias que te puede ser útil: https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/impl-catalyst-9800-wrls-lan-ctrlr-licens-faq.html
Respuesta (Execatl M.): Hola, Mario. Multicast no debería tener un impacto sobre el túnel de movilidad. La comunicación entre ambas controladoras es unicast a través de CAPWAP. Si encuentras problemas particulares al habilitar multicast en una controladora con un túnel de movilidad, te invitamos a abrir un caso con TAC para revisarlo detalladamente.
Respuesta (Execatl M.): Hola, John. Sí, es posible. En el caso particular de SSIDs anchor - foreign, solo hay que asegurarnos de que esta configuración esté habilitada en ambas controladoras.
Respuesta (Mario M.): Hola Daniel, Fast transition es un protocolo parte de seguridad inalámbrica que acelera el intercambio de llaves de encriptación sobre el aire, tener una red con autenticación abierta o none significa que no hay encriptación sobre el aire y por lo tanto no es posible habilitar Fast Transition ya que no tendría ningún efecto. Si tienes autenticación por AAA con seguridad en none, lo más probable es que tengas un esquema de filtrado MAC, en este caso, cada roaming, la WLC hace autenticación por AAA cada vez.
Respuesta (Execatl M.): Hola, Carla. Gracias por tu pregunta. La controladora foreign es dueña de los procesos de capa 2 en la red inalámbrica. Esta controladora es la que tiene a los Access Points unidos a ella. El tráfico de los clientes es encapsulado por la controladora foreign y es enviado por el túnel de movilidad hacia la Anchor, de manera que el tráfico no sale a la red local (foreign). Por otro lado, la controladora Anchor es dueña de los procesos de capa 3. Recibe el tráfico por el túnel de movilidad, lo desencapsula y lo envía a la VLAN adecuada. Te dejo un documento que explica más a fondo este proceso: https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213912-configure-mobility-anchor-on-catalyst-98.html
Respuesta (Mario M.): Depende del tipo configuración. Tener el túnel de movilidad arriba y WLANs configuradas de manera igual en ambas WLC (mismos AKM, políticas, etc.) permite hacer seamless roaming porque se hace el proceso de Auto Anchor, tú no seleccionas una WLC en específico para ser foreign o anchor en esta modalidad. En contraste, si decides hacer Guest Anchor, tu seleccionas un rol para cada WLC y significa que todo el tráfico de los clientes va a pasar por el túnel de movilidad. Guest Anchor se utiliza, por ejemplo, cuando quieres aislar el tráfico de tus redes de invitados colocando una controladora detrás de una DMZ y la otra dentro de tu red interna. Auto Anchor se utiliza cuando clientes pueden moverse entre APs de dos controladoras distintas tal como ocurre durante una migración.
Respuesta (Execatl M.): AKM es Authentication and Key Management. Es el proceso utilizado para manejar los procesos de autenticación y generación de llaves de encription en 802.1X/EAP. En el caso de túneles de movilidad, es importante que ambas controladoras tengan configurado el mismo AKM en el SSID de interés para que puedan manejar el tráfico de los clientes de manera segura.
Respuesta (Execatl M.): En la GUI de la controladora 9800, encuentras los AKMs para el SSID yendo a
Configuration > Tags & Profiles > WLANs > Seleccionas tu SSID > Security > Auth Key Mgmt
Respuesta (Mario M.): Hola May, depende de tu estrategia de migración. La opción que se presenta el día de hoy permite hacer la migración en etapas y hacer ajustes sobre la marcha. Además que te da la opción de familiarizarte poco a poco con la configuración de las WLC 9800. Te dejo un link que puede ayudarte hacer tu plan de migración: https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2023/pdf/BRKEWN-2338.pdf
Respuesta (Execatl M.): Mobility Group Multicast no está soportado en IRCM porque las controladoras AireOS no soportan esta función en conjunto con encrypted mobility (habilitado por default en la controladora 9800). Puedes encontrar esto documentado en la guía de configuración de movilidad para controladoras 9800: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-9/config-guide/b_wl_17_9_cg/m_vewlc_mobility.html
Respuesta (Mario M.): Hola Sonia, Dado que el único tipo de roaming entre Aireos y 9800 es L3, es recomendado que al menos entre la WLC AireOS y la 9800 sean distintas vlans. Entre las vlan de administración y las vlans para clientes inalámbricos, la recomendación es que sean distintas para segregar el tráfico de administración y clientes. Aclaro un poco mi respuesta: "Al menos entre la WLC AireOS y la WLC deben tener distintas vlan de administración".
Respuesta (Nía P.): El formato puede ser del algún archivo de texto .txt o .log - Esta pregunta también fue respondida en vivo (ver el final del video).
Respuesta (Execatl M.): Hola, Ciro. Recordemos que la controladora 9800 embebida en un switch 9300 solo es soportada en SDA a partir de IOS XE 17.3.x. En SDA, IRCM no está soportado con controladoras 9800 embebidas en switches Catalyst. Esta función solo es soportada en 9800. Puedes consultar esto, está documentado en la guía de configuración de movilidad para 9800: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-9/config-guide/b_wl_17_9_cg/m_vewlc_mobility.html
Respuesta (Nía P.): Esta pregunta fue respondida en vivo (ver el final del video).
Respuesta (Nía P.): Esta pregunta fue respondida en vivo (ver el final del video).
Opciones de respuesta: a) Planeando la migración b) Comenzando la migración c) Migración en proceso, casi finalizada d) No estoy en proceso // Respuesta Correcta: no aplica
Opciones de respuesta: a) Debug b) Packet capture c) Radio Active Traces d) Ninguna // Respuesta Correcta: no aplica
Opciones de respuesta: a) Misma versión de código WLCs b) Mismos AKMs en SSID c) Usar la misma VLAN en ambos SSID d) Ambas controladoras en la misma subred // Respuesta Correcta: b) Mismos AKMs en SSID
Nuestros expertos
Katy Torres es Ingeniera en Telecomunicaciones por la Universidad Nacional Autónoma de México. Comenzó su carrera en Cisco en 2021 como Ingeniera Consultora Técnica y actualmente es Team Captain del equipo TAC Wireless en México. Le gusta compartir sus conocimientos, apoyar a clientes y colegas, además de contribuir al empoderamiento de las mujeres en el mundo de TI. Katy tiene certificación CCNA y DevNet CCNP Core.
Iván Zamudio es Ingeniero Electrónico de la Universidad del Norte de Barranquilla, Colombia. Se incorporó a Cisco en 2019 como Ingeniero Consultor Técnico y actualmente es Ingeniero de Escalamiento del TAC Wireless en México. Su profesionalismo le ha permitido resolver problemas rápidamente y brindar el mejor servicio al cliente. Enfocado en productos Cisco Wireless, Iván cuenta con la certificación CCNA y actualmente se encuentra preparándose para la certificación CCNP Enterprise.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad