cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
289
Visitas
1
ÚTIL
0
Comentarios
Cisco Moderador
Community Manager
Community Manager

Presentación del webinar Community Live

Cómo solucionar Problemas de Movilidad Entre Controladores 9800-AireOS

Con la colaboración de Katy Torres e Iván Zamudio.

En esta sesión se exploraron los desafíos más comunes asociados con el Roaming de clientes wireless entre AireOS y C9800 en ausencia de un túnel de movilidad y la importancia de tener un Inter-Release Controller Mobility (IRCM) que es común en entornos de migración hacia la C9800. Se destacó la importancia de una configuración adecuada para su interoperabilidad y cómo se distingue ésta de un enfoque tradicional.

Abordamos como el “Layer 3 Roaming” es el único método soportado en su interoperabilidad y proporcionamos estrategias para identificar y resolver problemas de Roaming entre las plataformas a través de una revisión detallada de “debugs” y “logs”. Finalmente concluimos con una serie de recomendaciones del Centro de Asistencia Técnica (TAC) y "TAC tips" que le permitirán mantener una conectividad eficiente en la red.

 

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 


¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 


Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)


Pregunta: ¿Cuál es la recomendación de la encriptación? ¿Usarla o no? - Giovanni A. (min.17)

Respuesta (Execatl M.): Hola, Giovanni. Data Link Encryption es opcional. Como tal, no hay una recomendación estricta sobre habilitarla o no, ya que depende completamente de los requerimientos de su red.

Pregunta: Para habilitar el data encryption ¿se necesitan licencias adicionales? ¿Cuáles serían para ambos modelos? ¿Baja el desempeño de los clientes si se encripta los datos? - Andy G. (min.22)

Respuesta (Mario M.): Hola Andy, Data Link Encryption es parte de Mobility por lo que no necesita licencias adicionales. No tiene impacto sobre el desempeño de los clientes.

Pregunta: Entiendo, ¿les exige más a las controladoras en cuanto a procesamiento y memoria? - Giovanni A. (min.25)

Respuesta (Execatl M.): No, Data Link Encryption no tiene un impacto significativo en la controladora.

Pregunta: ¿Qué pasa si los Group Names no son iguales? - Fernando M. (min.32)

Respuesta (Mario M.): El Mobility tunnel levanta, sin embargo al no ser parte del mismo grupo, no tendrás roaming invisible entre ambas controladoras.

Respuesta (Execatl M.): Complementando la respuesta de Mario, recordemos que el propósito del nombre del grupo es definir un dominio de movilidad para que las controladoras se compartan la información necesaria para hacer, entre otras cosas, roaming invisible.

Pregunta: Ok, entonces Encrypted Mobility Tunnel se podría decir que es para encriptar el control plane, ¿correcto? ¿Y para encriptar el data plane? ¿Ahí sí necesitan licencias? - Andy G. (min.45)

Respuesta (Mario M.): El túnel de control está encriptado por defecto y no se puede deshabilitar en las controladoras 9800, corresponde a "Secure Mobility" en Aireos, por esta razón se necesita habilitar en las controladoras heredadas. La opción de "Data Link Encryption" es opcional para encriptar el túnel de datos, si requieres encenderlo, debes hacerlo en ambas controladoras que forman el túnel. Al ser parte de la característica de Movilidad no es necesario tener licencias extra. Te dejo un link sobre licencias que te puede ser útil: https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/impl-catalyst-9800-wrls-lan-ctrlr-licens-faq.html 

Pregunta: Hola , si uso la opción de multicast ipv4 ¿puedo tener problemas de conexión en el túnel de movilidad? ¿Cuándo se usa? - Mario A. (min.46)

Respuesta (Execatl M.): Hola, Mario. Multicast no debería tener un impacto sobre el túnel de movilidad. La comunicación entre ambas controladoras es unicast a través de CAPWAP. Si encuentras problemas particulares al habilitar multicast en una controladora con un túnel de movilidad, te invitamos a abrir un caso con TAC para revisarlo detalladamente.

Pregunta: ¿Se puede configurar fast transition cuando la seguridad de la WLAN es con servidores AAA? - John M. (min.52)

Respuesta (Execatl M.): Hola, John. Sí, es posible. En el caso particular de SSIDs anchor - foreign, solo hay que asegurarnos de que esta configuración esté habilitada en ambas controladoras.

Pregunta: ¿Cómo se habilita fast transition cuando la seguridad es por AAA y está en none? - Daniel Eduardo B. (min.54)

Respuesta (Mario M.): Hola Daniel, Fast transition es un protocolo parte de seguridad inalámbrica que acelera el intercambio de llaves de encriptación sobre el aire, tener una red con autenticación abierta o none significa que no hay encriptación sobre el aire y por lo tanto no es posible habilitar Fast Transition ya que no tendría ningún efecto. Si tienes autenticación por AAA con seguridad en none, lo más probable es que tengas un esquema de filtrado MAC, en este caso, cada roaming, la WLC hace autenticación por AAA cada vez.

Pregunta: ¿Cuál es la diferencia entre anchor y foreing? En mi caso tengo 5520 necesito que esté como principal y secundario c9800L -inicialmente- para después tener solo el c9800l funcionando... ¿Es así como se debería configurar? - Carla R. (min.58)

Respuesta (Execatl M.): Hola, Carla. Gracias por tu pregunta. La controladora foreign es dueña de los procesos de capa 2 en la red inalámbrica. Esta controladora es la que tiene a los Access Points unidos a ella. El tráfico de los clientes es encapsulado por la controladora foreign y es enviado por el túnel de movilidad hacia la Anchor, de manera que el tráfico no sale a la red local (foreign). Por otro lado, la controladora Anchor es dueña de los procesos de capa 3. Recibe el tráfico por el túnel de movilidad, lo desencapsula y lo envía a la VLAN adecuada. Te dejo un documento que explica más a fondo este proceso: https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213912-configure-mobility-anchor-on-catalyst-98.html 

Pregunta: Si estoy en proceso de migración de AireOS a C9000, ¿la asignación de Foreign y Anchor debería ser Foreign para el caso de AireOS y Anchor para el C9800, o puedo utilizar cualquier método? - Paolo R. (min.59)

Respuesta (Mario M.): Depende del tipo configuración. Tener el túnel de movilidad arriba y WLANs configuradas de manera igual en ambas WLC (mismos AKM, políticas, etc.) permite hacer seamless roaming porque se hace el proceso de Auto Anchor, tú no seleccionas una WLC en específico para ser foreign o anchor en esta modalidad. En contraste, si decides hacer Guest Anchor, tu seleccionas un rol para cada WLC y significa que todo el tráfico de los clientes va a pasar por el túnel de movilidad. Guest Anchor se utiliza, por ejemplo, cuando quieres aislar el tráfico de tus redes de invitados colocando una controladora detrás de una DMZ y la otra dentro de tu red interna. Auto Anchor se utiliza cuando clientes pueden moverse entre APs de dos controladoras distintas tal como ocurre durante una migración.

Pregunta: Como tal, ¿para qué funcionan los AKMS? - Daniel Eduardo B. (min.68)

Respuesta (Execatl M.): AKM es Authentication and Key Management. Es el proceso utilizado para manejar los procesos de autenticación y generación de llaves de encription en 802.1X/EAP. En el caso de túneles de movilidad, es importante que ambas controladoras tengan configurado el mismo AKM en el SSID de interés para que puedan manejar el tráfico de los clientes de manera segura.

Pregunta: ¿Dónde verifico la configuración de AKMS en la 9800? - Daniel Eduardo B. (min.74)

Respuesta (Execatl M.): En la GUI de la controladora 9800, encuentras los AKMs para el SSID yendo a
Configuration > Tags & Profiles > WLANs > Seleccionas tu SSID > Security > Auth Key Mgmt

Pregunta: Buen día, ¿lo recomendado sería trabajar con ambas WLC en lo que se realiza la migración, o bien se puede realizar completa pasar de una a otra? (en mi caso es la 3504 a 9800) - May S. (min.78)

Respuesta (Mario M.): Hola May, depende de tu estrategia de migración. La opción que se presenta el día de hoy permite hacer la migración en etapas y hacer ajustes sobre la marcha. Además que te da la opción de familiarizarte poco a poco con la configuración de las WLC 9800. Te dejo un link que puede ayudarte hacer tu plan de migración: https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2023/pdf/BRKEWN-2338.pdf 

Pregunta: Sobre eso último consultaba y tuve problemas en una implementación mobility group multicast. Cuando quité el multicast el túnel mobility levantó ok entre 5508 y 9800. - Mario A. (min.80)

Respuesta (Execatl M.): Mobility Group Multicast no está soportado en IRCM porque las controladoras AireOS no soportan esta función en conjunto con encrypted mobility (habilitado por default en la controladora 9800). Puedes encontrar esto documentado en la guía de configuración de movilidad para controladoras 9800: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-9/config-guide/b_wl_17_9_cg/m_vewlc_mobility.html 

Pregunta: Hola, si la estrategia de migración es paulatina ¿entonces se requiere un esquema de direccionamiento (VLANs, segmentos) distintos para el nuevo WLC? Veo que los TAC Tips son usar VLANs distintas para administración y WLAN. - Sonia Mercedes P. (min.87)

Respuesta (Mario M.): Hola Sonia, Dado que el único tipo de roaming entre Aireos y 9800 es L3, es recomendado que al menos entre la WLC AireOS y la 9800 sean distintas vlans. Entre las vlan de administración y las vlans para clientes inalámbricos, la recomendación es que sean distintas para segregar el tráfico de administración y clientes. Aclaro un poco mi respuesta: "Al menos entre la WLC AireOS y la WLC deben tener distintas vlan de administración".

Comentario: Me aclaraste la duda y entiendo que se refieren a separar el tráfico de clientes vs mgmt. En cuanto a la convivencia entre los dos wlc, entonces estos también deben operar en distintas VLANs, muchas gracias! - Sonia Mercedes P. (min.108)

Pregunta: ¿Qué tipo de formato del archivo se ocupa para que se suba al Debug analyzer? - Ricardo M. (min.109)

Respuesta (Nía P.): El formato puede ser del algún archivo de texto .txt o .log - Esta pregunta también fue respondida en vivo (ver el final del video).

Pregunta: En un SW 9300 con WLC embebido ¿se puede configurar esta solución? - Ciro M. (min.109)

Respuesta (Execatl M.): Hola, Ciro. Recordemos que la controladora 9800 embebida en un switch 9300 solo es soportada en SDA a partir de IOS XE 17.3.x. En SDA, IRCM no está soportado con controladoras 9800 embebidas en switches Catalyst. Esta función solo es soportada en 9800. Puedes consultar esto, está documentado en la guía de configuración de movilidad para 9800: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-9/config-guide/b_wl_17_9_cg/m_vewlc_mobility.html 

Preguntas del Chat: ¿Necesitamos licencias adicionales para realizar es comunicacion entre wlc 55 y 9800? - Wilmer S. (min.49)

Respuesta (Nía P.): Esta pregunta fue respondida en vivo (ver el final del video).

Preguntas del Chat: ¿Es indiferente la diffusion de wlan de acuerdo a los modos como se encuentra habilitados los APs? - Wilmer S. (min.73)

Respuesta (Nía P.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta PQ#1: ¿En qué momento de la migración se encuentra?

Opciones de respuesta: a) Planeando la migración b) Comenzando la migración c) Migración en proceso, casi finalizada d) No estoy en proceso // Respuesta Correcta: no aplica

Pregunta PQ#2: ¿Qué herramientas de troubleshooting ha utilizado en una WLC? (Puede seleccionar más de una respuesta)

Opciones de respuesta: a) Debug b) Packet capture c) Radio Active Traces d) Ninguna // Respuesta Correcta: no aplica

Pregunta PQ#3: ¿Qué configuración es imprescindible para tener un SSID Guest funcional en un escenario de IRCM?

Opciones de respuesta: a) Misma versión de código WLCs b) Mismos AKMs en SSID c) Usar la misma VLAN en ambos SSID d) Ambas controladoras en la misma subred // Respuesta Correcta: b) Mismos AKMs en SSID


Nuestros expertos

katyator.pngKaty Torres es Ingeniera en Telecomunicaciones por la Universidad Nacional Autónoma de México. Comenzó su carrera en Cisco en 2021 como Ingeniera Consultora Técnica y actualmente es Team Captain del equipo TAC Wireless en México. Le gusta compartir sus conocimientos, apoyar a clientes y colegas, además de contribuir al empoderamiento de las mujeres en el mundo de TI. Katy tiene certificación CCNA y DevNet CCNP Core. 

izamudio.jpgIván Zamudio es Ingeniero Electrónico de la Universidad del Norte de Barranquilla, Colombia. Se incorporó a Cisco en 2019 como Ingeniero Consultor Técnico y actualmente es Ingeniero de Escalamiento del TAC Wireless en México. Su profesionalismo le ha permitido resolver problemas rápidamente y brindar el mejor servicio al cliente. Enfocado en productos Cisco Wireless, Iván cuenta con la certificación CCNA y actualmente se encuentra preparándose para la certificación CCNP Enterprise.

Para obtener más información, visite los contenidos de la sección de Wireless Mobility.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: