Utilizar um Controlador de LAN Sem Fio (WLC) da Cisco em conjunto com um servidor RADIUS (Remote Authentication Dial-In User Service) oferece várias vantagens em termos de segurança, gerenciamento e autenticação para redes sem fio. Aqui estão alguns motivos pelos quais essa combinação é frequentemente empregada:
Autenticação Centralizada: O RADIUS permite autenticar usuários de forma centralizada, o que significa que os dispositivos de rede não precisam armazenar credenciais de autenticação localmente. Isso simplifica a administração de credenciais e garante que todas as autenticações ocorram de maneira consistente.
Gerenciamento de Acesso: Com um servidor RADIUS, você pode definir políticas de acesso granulares para diferentes grupos de usuários. Isso permite que você controle quem tem permissão para se conectar à rede sem fio e quais recursos eles podem acessar depois de conectados.
Segurança Aperfeiçoada: A autenticação RADIUS é mais segura do que simplesmente usar senhas WPA/WPA2 (Pre-Shared Key) porque envolve um processo de autenticação mais forte, como EAP (Extensible Authentication Protocol). Isso reduz o risco de ataques de força bruta e interceptação de senhas.
Integração com Diretório: O RADIUS pode se integrar a um diretório, como o Active Directory da Microsoft, permitindo que você use as mesmas credenciais de login usadas para acessar outros recursos da rede, facilitando a experiência do usuário.
Políticas de Segurança: Com um WLC e servidor RADIUS, você pode implementar políticas de segurança mais avançadas, como autenticação de dois fatores (2FA) ou autenticação baseada em certificados.
Auditoria e Monitoramento: A combinação de um WLC e servidor RADIUS permite rastrear e monitorar atividades de autenticação. Isso é importante para identificar padrões suspeitos ou tentativas de acesso não autorizado.
Roaming: Com a autenticação centralizada via RADIUS, os usuários podem se mover entre diferentes pontos de acesso (APs) sem precisar autenticar novamente, desde que estejam dentro da mesma infraestrutura wireless.
Conformidade e Regulamentações: Muitos setores, como finanças e saúde, têm requisitos rigorosos de segurança e conformidade. O uso de autenticação RADIUS pode ajudar a atender a esses requisitos.
Escalabilidade: Um servidor RADIUS pode lidar com um grande número de autenticações simultâneas, tornando-o adequado para redes com muitos dispositivos e usuários.
Gestão Centralizada: O WLC permite que você gerencie vários pontos de acesso de um local central. O uso do RADIUS complementa essa abordagem, permitindo gerenciar a autenticação e autorização também de forma centralizada.
LAB “ Configurar rede wireless com WLC
Objetivos:
- Configurar WLC
- Configurar Switch
- Configurar Servidor Radius
- Configurar Acces Point
- Configurar os endpoint“s (notebooks)
- ResultadoÂ
Topologia:
WLC e Radius
Em resumo, a combinação de um Controlador de LAN Sem Fio da Cisco e um servidor RADIUS oferece benefícios significativos em termos de segurança, gerenciamento e controle de acesso para redes sem fio, especialmente em ambientes empresariais ou em que a segurança é uma preocupação crítica.
Configurando SW-CORE
Acesse o SW-CORE ð?¡ºÂ Na aba CLI vá em ð?¡º entre com comando enable em seguida configure terminal. Vamos iniciar configurando as interfaces do SW-CORE para isso execute os seguintes comandos:
interface GigabitEthernet1/0/1
description CONECTA-SERVIDORES
switchport mode trunk
interface GigabitEthernet1/0/2
description CONECTA-FINANCEIRO
switchport mode trunk
interface GigabitEthernet1/0/3
description CONECTA-WLC
switchport access vlan 250
switchport mode access
switchport nonegotiate
interface GigabitEthernet1/0/4
description CONECTA-COMERCIAL
switchport mode trunk
interface Vlan100
description FINANCEIRO
ip address 192.168.100.1 255.255.255.0
interface Vlan200
description COMERCIAL
ip address 192.168.200.1 255.255.255.0
interface Vlan250
description CONECTA-RADIUS
ip address 172.16.250.1 255.255.255.0
Configurando DHCP no SW-CORE
ip dhcp pool FINANCEIRO
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
ip dhcp pool COMERCIAL
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
Configurando SWT-01
Acesse o SWT-01 ð?¡ºÂ Na aba CLI vá em ð?¡º entre com comando enable em seguida configure terminal. Vamos iniciar configurando as interfaces do SWT-01 para isso execute os seguintes comandos:
interface FastEthernet0/1
description CONECTA-CORE
switchport mode trunk
 interface FastEthernet0/2
 description CONECTA-AP01
 switchport access vlan 100
 switchport mode access
ip default-gateway 192.168.100.1
Configurando SWT-02
Acesse o SWT-02 ð?¡ºÂ Na aba CLI vá em ð?¡º entre com comando enable em seguida configure terminal. Vamos iniciar configurando as interfaces do SWT-02 para isso execute os seguintes comandos:
interface FastEthernet0/1
description CONECTA-CORE
switchport mode trunk
interface FastEthernet0/2
description CONECTA-AP02
switchport access vlan 200
switchport mode access
ip default-gateway 192.168.200.1
Configurando SWT-03
Acesse o SWT-03 � Na aba CLI  � entre com comando enable em seguida configure terminal. Vamos iniciar configurando as interfaces do SWT-03 para isso execute os seguintes comandos:
interface FastEthernet0/1
description CONECTA-RADIUS
switchport access vlan 250
switchport mode access
interface FastEthernet0/2
description CONECTA-CORE
switchport mode trunk
interface FastEthernet0/3
description CONECTA-GERENCIA
switchport access vlan 250
switchport mode access
ip default-gateway 172.16.250.1
Configurando servidor RADIUS
Acesse o RADIUS � Na aba Desktop � selecione IP Configuration e preencha todos os campos, conforme a imagem:
Acesse o RADIUS � Na aba Desktop � selecione Service �AAA e preencha todos os campos, conforme a imagem:
Configurando o PC “ Gerência
Acesse o PC-Gerência ð?¡ºÂ Na aba Desktop ð?¡º selecione IP Configuration preencha todos os campos, conforme a imagem
Configurando o WLC
Acesse o WLC-01 ð?¡ºÂ Na aba Config vá em ð?¡º Management adicione o endereço IP que será utilizado para gerenciar o WLC..Â
Acessando a gerência do WLC via PC-Gerência
Acesse o notebook PC-Gerência ð?¡ºÂ Na aba Desktop vá em ð?¡º Web BrowserÂ
conforme a imagem:
Preencha o campo URL com o IP de gerência da WLC, clique em Go,
Será exibido a página do WLC, nessa tela será necessário cadastrar usuário e senha para acessar a gerência do WLC, coloque um usuário e senha confirme e clique em Start
Será exibido a página inicial do WLC, nessa tela será necessário inserir um nome para o WLC e inserir o IP de gerência e mascará e default Gateway, conforme a imagem e clique em Next.
Na tela seguinte será configurado a rede wireless que será divulgada para os endpoint se conectarem, colocar um nome para rede e adicionar o endereço IP e password do Servidor Radius conforme a imagem abaixo:
Clicar em next, next novamente e será exibida uma tela com resumo das configurações aplicadas confirme e clique em Apply, após clicar em Apply a configuração será carregada
Então pode fechar a tela atual do Browser.
Agora vamos acessar o WLC, novamente.
Na tela exibida clique em Login
Na tela exibida colocar usuário e senha que foram criados no 1º acesso e clicar em Login
A tela a seguir é a tela do WLC, mostrando informações do equipamento, clique em WLANS
A tela a seguir será exibido apenas a rede do office que foi a primeira rede criada agora vamos criar uma segunda rede chamada Comercial, para isso clique em Go
Nessa tela vamos criar a rede comercial, na próxima tela preencher conforme a imagem e clique em Apply.
Na próxima tela clique em Status Enable e clique na Aba Security, e selecione as opções conforme a imagem.
Agora selecione a aba AAA Servers, e selecione no campo Server 1 o servidor Radius
Agora já criamos as duas redes comercial e office, agora vamos criar 2 grupos para separar as redesÂ
No menu lateral clique em AP Groups
Na sequencia clique em Add Group, e preencha os campos para criar o novo grupo
Agora vamos informar para cada AP o endereço IP da controller WLC.
Acesse o AP-01 e AP-02 ð?¡ºÂ Na aba Config vá em ð?¡º WLC, informe o endereço da WLCÂ
conforme a imagem.
Em seguida clique em Settings e informe o Default Gateway conforme a imagem.
Agora seleciona a interface Giga 0 conforme a imagem e configure o endereço ip de cada AP, para o AP-01 será o IP 192.168.100.3, para o AP-02 será 192.168.100.2
Agora que configuramos ambos os AP“s vamos retornar a WLC para concluirmos as configurações
Agora clique em GRUPO-1 para associar a rede office
Em WLAN SSID selecionar a rede office e clicar em Add
Na sequência selecionar a Aba APs, para associar o AP-01 á rede office
Agora clique em GRUPO-2 para associar a rede comercial
Em WLAN SSID selecionar a rede comercial e clicar em Add
Na sequencia selecionar a Aba APs, para associar o AP-02 á rede comercial
Agora vamos voltar em WLANs, para habilitarmos o FlexConnect, para isso vamos acessar o ID 1Â
Dentro do ID 1 vamos até as opções de FlexConnect e habilite conforme a imagem, e clique em apply
Agora vamos fazer da mesma forma com o ID 2
Dentro do ID 2 vamos até as opções de FlexConnect e habilite conforme a imagem, e clique em apply
Assim concluímos a configuração da WLC, agora vamos realizar a configuração dos notebooks para se conectarem na rede WiFi, para isso vamos acessar o notebook Usuário-0
Acesse Usuário-01 ð?¡º Config ð?¡º Wireless0, realizar a configuração conforme a imagem:
Agora vamos realizar a configuração do notebook Usuário-03
Acesse Usuário-03 ð?¡º Config ð?¡º Wireless0, realizar a configuração conforme a imagem:
Após concluirmos as configurações, todos os notebooks devem se conectar na rede wireless, assim podemos realizar testes de ping.
Para um melhor entendimento do laboratório acompanhe o passo a passo do vídeo no Youtube pelo link: https://www.youtube.com/watch?v=mPf1-_NTn2c&t=142s
