Centro Empresarial Torres Unidas Avenida Carrera 9 No Piso 19 -Oficina 1901 Bogota D.C. Colombia PBX:

Transcripción

1 Centro Empresarial Torres Unidas Avenida Carrera 9 No Piso 19 -Oficina 1901 Bogota D.C. Colombia PBX: info@telecomglobalsolutions.com

2 Nube Controladora Meraki Manual Enero 15 de 2013 Este manual del está diseñado para ayudar a los administradores de diseño de red y configurar una red inalámbrica utilizando el controlador de Meraki Cloud. Fue traducido al español por Global Business Technology. 1 of 80

3 www. 1 Copyright: 2013 Meraki, Inc. Todos los derechos reservados. Marcas registradas: Meraki es una marca registrada de Meraki, Inc. 2 of 80

4 Tabla de contenidos 1 Introducción Primaria Funciones MCC MCC Versiones Diseño de MCC Cómo utilizar este documento Descripción general del sistema Flujo de datos Gestión Centralizada y Supervisión Seguridad Optimización de Redes Disponibilidad De malla de redes Over-the-Air-Actualizaciones Primeros pasos Configuración de SSID Asignación de direcciones IP a clientes inalámbricos Modo NAT Modo Bridge (Enterprise) VPNs Configuración de la LAN Configuración del Firewall Asignación de direcciones IP a los puntos de acceso Meraki Configuración de una dirección IP estática directamente en un AP Meraki Configuración de una dirección IP estática para un AP Meraki a través de reservas DHCP Encriptación y autenticación Asociación Requerimientos Abierto El acceso basado en MAC (Control de empresa solamente) Claves pre-compartidas (WEP, WPA/WPA2-Personal) of 80

5 7.1.4 WPA2-Enterprise con autenticación 802.1x (Enterprise) Red Sign-On Métodos Acceso Directo Click Through Página Splash Sign-On Página Splash Facturación Configurar un servidor de autenticación Configuración de la Meraki-Hosted de autenticación de servidor Configuración de un cliente-hosted servidor RADIUS (Enterprise) Seguimiento Información general Page Page Mapas (Enterprise) Puntos de acceso de la página Clientes Page Página Evento Log (Enterprise) Rogue AP Page (Enterprise) Resumen Page Report (Enterprise) Actualizar en tiempo real (Enterprise) Herramienta de búsqueda Alertas por Exportación de datos XML Conexiones Page Cuenta la página de la actividad Etiquetado VLAN (Enterprise) Per-VLAN SSID de marcado Cada usuario de marcado VLAN Gestión del tráfico Configuración de la red LAN de Apoyo a la VLAN de marcado Otras consideraciones Características de control de acceso de usuario Lista blanca de MAC MAC lista negra of 80

6 10.3 Ancho de banda de Conformación Filtrado de contenidos para adultos Firewall Normas para usuarios inalámbricos LAN aislamiento Las reglas de firewall (Enterprise) La fuerza de Portal Cautivo Activar / Desactivar accesos simultáneos Walled Garden (Enterprise) Identity Manager Política (Enterprise) Cómo funciona IPM Cómo configurar el IPM Definir una directiva de grupo en el servidor RADIUS Definir una directiva de grupo en el MCC Pruebe la configuración de IPM Información de Gestión (Empresa solamente) Rogue detección AP (Enterprise) Funciones inalámbricas Selección de canal Canal diseminante (Enterprise) Escanea la red (Enterprise) SSID oculto (Enterprise) Selección de la Banda y Banda de Dirección (Enterprise) Legado Desactivación b Bitrates (Enterprise) Actualizaciones de Software Preferencia ventana de mantenimiento (Enterprise) De malla de redes Los clientes con conexión de cable Calidad de Servicio Ahorro de energía Ejecutar Dark Acceder a la página web de la AP Local of 80

7 15 Branding Splash Page Splash Page Redirect El uso de un alojamiento externo Página Splash Barra de herramientas Facturación La administración de múltiples redes Organizaciones Administradores Moviendo los puntos de acceso entre redes u organizaciones Licencias Adición de Licencias Nube de actualizaciones del controlador Renovación de Licencias Licencias de vencimiento o superiores al límite de AP con licencia Solución de problemas Referencias Apéndice A: Configuraciones de ejemplo Meraki de configuración para los empleados y el acceso de invitados Configuración del interruptor Etiquetado de VLAN FreeRADIUS configuración La configuración de puntos de acceso (archivo clients.conf) Configuración de usuario para Wireless (expediente usuario) La configuración de WPA2-Enterprise con autenticación 802.1x (archivo eap.conf) Configuración del servidor de Microsoft Windows Apéndice B: Atributos de RADIUS Apéndice C: Splash Page Variables of 80

8 7 of 80

9 1 Introducción El Meraki Cloud Controller (MCC) permite la gestión centralizada, la optimización y el control de un sistema de LAN inalámbrica Meraki. El MCC no es un aparato que un administrador debe adquirir e instalar en un centro de datos para gestionar los puntos de acceso inalámbricos (APs). Más bien, el MCC es un servicio basado en la nube que está en constante monitoreo, optimización y presentación de informes sobre el comportamiento de la red. 1.1 Primaria Funciones MCC Un administrador utiliza la MCC para configurar y monitorizar redes inalámbricas Meraki. El MCC proporciona las siguientes funciones principales: Configuración centralizada: o La configuración de múltiples redes distribuidas geográficamente. o Acceso seguro a las opciones de configuración a través de un navegador web. Optimización de Redes: o o Optimización del rendimiento mediante la gestión de RF. Las herramientas de diagnóstico para permitir la colocación correcta de AP. Monitorización centralizada: o Estadísticas de uso, historial de entrada, y alertas. o solución de problemas a distancia y emitir el diagnóstico. 1.2 MCC Versiones Hay dos versiones de la MCC: Empresa Meraki Cloud Controller: La empresa Meraki Cloud Controller permite a las empresas y organizaciones para configurar redes LAN inalámbricas seguras. Los ejemplos incluyen oficinas, almacenes, tiendas al por menor, los campus educativos, e instituciones sanitarias. Meraki Controller Pro Cloud: El Meraki Pro Cloud controlador es para implementaciones inalámbricas básicas que requieren acceso a Internet solamente. Los ejemplos incluyen puntos de acceso inalámbricos basados en honorarios, cafeterías, y otras redes de amenidad. 8 of 80

10 Este manual está dirigido a todas las funciones de apoyo de la empresa Meraki Cloud Contralor y el Contralor Meraki Pro Cloud. Algunas características de la empresa Meraki Cloud Contralor no están disponibles en el Meraki Pro Controller Cloud; estas características se designan como "única empresa". 1.3 Diseño de MCC Figura 1 es una captura de pantalla de la página principal de la interfaz del administrador de la empresa Meraki Cloud Contralor. Figura 1 - Cloud Meraki Empresa controlador de interfaz de administrador Los 3 fichas en el panel de navegación de la izquierda son los siguientes: Monitor: Ver información sobre puntos de acceso, los dispositivos cliente y los usuarios. Configuración: Configurar las diversas características de la MCC, como el SSID, la autenticación, y la marca. Ayuda: Obtener acceso a apoyo técnico y la base de conocimientos Meraki. 1.4 Cómo utilizar este documento Los capítulos de este manual de empezar con los temas más básicos y el progreso a temas más avanzados. Los capítulos son más o menos agrupados de la siguiente manera: 9 of 80

11 Capítulos 1-4 Información general Estos capítulos ofrecen una introducción a la solución Meraki inalámbrica. Temas básicos Capítulos 5-8 Estos capítulos permiten a un administrador para obtener una red inalámbrica sencilla en marcha y funcionando. La creación de redes wi-fi y los fundamentos son revisados. Temas avanzados Los capítulos 9-16 Estos capítulos se describen las características sofisticadas que permiten a los administradores gestionar y controlar sus redes inalámbricas Meraki con mayor eficacia. Temas de Administración Capítulos En estos capítulos se discuten algunas de las características y funciones propias de los administradores de red Meraki. Capítulos Referencias y Apéndices 10 of 80

12 2 Descripción general del sistema Este capítulo explica cómo opera el MCC y encaja en el sistema general de Meraki. En la arquitectura de Meraki, sólo hay un tipo de hardware: los puntos de acceso (APs). No hay necesidad de controladores de hardware especializado o equipos de gestión. Meraki túnel de puntos de acceso de nuevo a la MCC a través de una conexión segura a Internet. Todo el control, configuración, optimización, control sobre la movilidad y las funciones están centralizadas en las operaciones de la red de centros de Meraki (CON), que se distribuyen geográficamente en todo el mundo. Estos comités olímpicos nacionales proporcionar seguridad física a la MCC, así como alta disponibilidad a través de copias de seguridad de energía y servidores redundantes en modo de espera caliente. La distribución geográfica de los CONs también mejora el rendimiento de las redes inalámbricas Meraki reduciendo al mínimo la distancia que las redes necesitan viajar en contacto con el MCC. Un administrador puede utilizar la MCC para realizar cambios de configuración y obtener información sobre la presentación de informes sus redes. Por ejemplo, el administrador puede desear cambiar el ancho de banda disponible para los clientes el acceso a la red. Una vez que el cambio se hace a través de la MCC, todos los puntos de acceso reciben automáticamente la nueva configuración. Figura 2 describe los principales componentes de un sistema inalámbrico Meraki. Figura 2 - Arquitectura del sistema wi-fi Meraki 11 of 80

13 Cloud Controller Internet Firewall LAN AP AP AP AP Client 2.1 Flujo de datos El MCC es "fuera de banda", que significa que el tráfico de cliente nunca fluye a través del MCC. Esta arquitectura es importante tanto para el rendimiento, así como razones de seguridad. No es posible que una persona no autorizada tenga acceso a la MCC para ver los datos del usuario, y el MCC no es un cuello de botella para los flujos de tráfico de datos. Así, el sistema opera de forma segura y eficiente. 2.2 Gestión Centralizada y Supervisión actividades de gestión de MCC y el control se realizan de forma remota a través de la Interfaz Meraki, la interfaz basada en web para el MCC. Panel se puede acceder mediante cualquier navegador de Internet compatible con JavaScript, incluyendo Firefox e Internet Explorer. A diferencia de otras soluciones, no hay necesidad de instalar y mantener servidores de gestión independientes o electrodomésticos. El administrador puede solucionar problemas de múltiples redes inalámbricas de forma remota desde una única interfaz. A través de la Interfaz Meraki, los administradores tienen acceso a las herramientas estándar de solución de problemas, tales como ping y las pruebas de rendimiento. Además, los administradores pueden controlar el ancho de banda y datos de uso, ya sea a través de la Interfaz Meraki o con infraestructura de monitoreo existentes con seguro de Meraki, basado en XML API. Un administrador puede crear el seguimiento personalizado y aplicaciones de información basado en estadísticas históricas sin necesidad de instalar software adicional o hardware en el sitio of 80

14 2.3 Seguridad 2.4 Optimización de Redes 2.5 Disponibilidad Control de flujos de tráfico entre los puntos de acceso y MCC a través de un túnel seguro persistente. Todos los datos sensibles, como los detalles de configuración, nombres de usuario y contraseñas, están codificados. Además, el tráfico entre puntos de acceso en una red Meraki se cifra mediante una red por Advanced Encryption Standard (AES) clave. El MCC distribuye la clave secreta de la red a través de SSL cuando cada AP descarga su configuración. El cifrado de la red se realiza con la ayuda de los aceleradores de hardware, y no causa una degradación del rendimiento o aumento de la latencia en una base perhop. Por otra parte, las claves de seguridad (como las claves WEP o WPA2) no se puede recuperar de un punto de acceso, incluso si un atacante tiene la posesión física del dispositivo. El MCC proporciona optimización durante todo el día-de la red inalámbrica Meraki. Meraki dinámica de la capacidad de optimización de RF supervisa el uso del canal y las interferencias, asegurando la red está funcionando al máximo rendimiento. El MCC puede reducir al mínimo la utilización de canales en cualquier parte determinada de la red mediante la asignación de canales para las radios individuales. rutas de malla también se actualizan constantemente para garantizar el rendimiento máximo de cliente. Múltiples datos distribuidos geográficamente Meraki centros se utilizan para garantizar que las redes siguen funcionando incluso en el caso de una falla catastrófica. En caso de que el MCC es siempre inalcanzable (por ejemplo, porque la ruta de Internet a la MCC ha bajado temporalmente), Meraki redes que no utilizan el MCC para la autenticación o splash page hosting seguir funcionando, proporcionando la conectividad inalámbrica a los usuarios utilizando la última configuración se obtiene de la MCC. Los cambios de configuración y las actualizaciones de firmware reanudará cuando el MCC es accesible de nuevo. 2.6 De malla de redes Todos los puntos de acceso Meraki apoyo de malla de redes. Un AP Meraki configura automáticamente ya sea como una puerta de enlace de malla o un repetidor de malla. Una puerta de malla es un punto de acceso que se conecta directamente a una red cableada, como una LAN de la empresa o módem T1. Un repetidor de malla no requiere una conexión por cable. En su lugar, identifica la puerta de entrada más cercana de malla en su red y se extiende la conectividad inalámbrica de malla de esa puerta de enlace en zonas de cobertura más amplia. Una colección de repetidores y gateways de malla mesh forman una red de 13 of 80

15 malla inalámbrica. Los datos se derivan de un cliente puede pasar por varios repetidores de malla antes de llegar a una puerta de enlace de malla, momento en que los datos entre la red cableada. 2.7 Over-the-Air-Actualizaciones Las nuevas funciones no requieren el cliente o las actualizaciones del lado del servidor, sino que se añaden a los tiempos de MCC varias veces al año con el mínimo tiempo de inactividad. Meraki también gestiona las actualizaciones de firmware de forma centralizada, liberando al administrador de tener que preocuparse de mantener los puntos de acceso hasta a la fecha. Las actualizaciones de firmware llevará a cabo a través del aire de una forma segura, tolerante a fallos of 80

16 3 Primeros pasos En este capítulo se describe cómo configurar una red inalámbrica Meraki por primera vez. Hay 3 pasos sencillos para crear y configurar una red inalámbrica Meraki: Paso 1: Crear una cuenta. Para gestionar Meraki redes inalámbricas a través de la MCC, un administrador debe crear una cuenta en La dirección del administrador de correo electrónico será utilizada como el inicio de sesión ID. Paso 2: Ejecute la aplicación de inicio rápido. Después de entrar en una cuenta, el administrador puede utilizar la aplicación de inicio rápido para crear la primera red inalámbrica. Los pasos incluyen el nombramiento de la red, la adición de puntos de acceso y la configuración de los puntos de acceso con las políticas de acceso. Nota: Un administrador puede crear una red "simulado" en este paso, que ofrece una red inalámbrica totalmente configurable sin ningún tipo de puntos de acceso físicos. Con una red simulada, un administrador puede gestionar una red compuesta por puntos de acceso virtual y datos de ejemplo de uso de la experiencia de la MCC con una inversión mínima. Paso 3: Prueba de la red. El administrador puede ahora probar la configuración básica de la red inalámbrica. El administrador puede iterativamente comprobar y configurar los valores inalámbricos adicionales of 80

17 4 Configuración de SSID El SSID es una red inalámbrica lógica, a veces se denomina un punto de acceso virtuales (VAP). En la práctica, el SSID es el nombre de una red inalámbrica que un cliente "descubre" al que se verifica por las redes inalámbricas disponibles en el ambiente. Múltiples SSID permiten a los administradores utilizar una única red física Meraki para soportar múltiples aplicaciones con requisitos de configuración diferente. Por ejemplo, un SSID puede permitir el acceso sólo a los visitantes de Internet sin ningún tipo de cifrado, y otro SSID puede requerir que los empleados utilizan el cifrado para el acceso a los servidores de la compañía. El MCC admite múltiples SSID. El Enterprise Cloud controlador soporta hasta 16 SSID en las redes que contienen todos los puntos de acceso n, y hasta 4 SSID en las redes que contienen b / g puntos de acceso. El Pro Controller Cloud soporta hasta 2 SSID. Cada SSID se puede configurar con su propia configuración para la autenticación, el cifrado, los límites de ancho de banda, etc configuraciones de SSID se encuentra bajo la pestaña de configuración en el MCC. Figura 3 es una captura de pantalla de la página SSID general: Figura 3 - Página Sinopsis SSID Los siguientes elementos pueden ser configurados en una base per- SSID y se describen en los capítulos siguientes: Cliente de direccionamiento IP Configuración de una LAN (por ejemplo, el etiquetado VLAN) Inalámbrico cifrado y la autenticación (por ejemplo, WPA2- Personal, WPA2-Enterprise con autenticación 802.1x) control de acceso de usuario (por ejemplo, las políticas por usuario) 16 of 80

18 Inalámbrico características (por ejemplo, la dirección banda) por ejemplo, de marca (en la página de bienvenida / portal cautivo) 17 of 80

19 5 Asignación de direcciones IP a clientes inalámbricos El administrador puede asignar direcciones IP a clientes inalámbricos a través de uno de los dos siguientes modos de direccionamiento. El modo de direccionamiento se configura en función de cada SSID en la pestaña Configurar en la página de control de acceso. 5.1 Modo NAT En el modo NAT, los puntos de acceso Meraki se ejecutan como servidores DHCP para asignar direcciones IP a los clientes inalámbricos de una empresa privada 10.xxx conjunto de direcciones IP detrás de un NAT. modo NAT debe estar habilitado cuando cualquiera de las siguientes situaciones: Los clientes inalámbricos asociados a la SSID requieren acceso a Internet-solamente. No existe un servidor DHCP en la LAN que se puede asignar direcciones IP a los clientes inalámbricos. No hay un servidor DHCP en la LAN, pero no tiene suficientes direcciones IP para asignar a los clientes inalámbricos. Hay varios servidores DHCP en la red de asignación de direcciones IP de subredes diferentes. Esto es común cuando hay conexiones backhaul heterogéneos (por ejemplo, algunos puntos de acceso en la red obtener la conexión a Internet de un T1, mientras que otros puntos de acceso en la misma red obtener la conexión a Internet de una empresa de clase DSL). Las implicaciones de habilitar el modo NAT son los siguientes: Dispositivos fuera de la red inalámbrica no se puede iniciar una conexión con un cliente inalámbrico. Los clientes inalámbricos no pueden utilizar los protocolos de capa 2 descubrimiento para encontrar otros dispositivos ya sea en la red cableada o inalámbrica. Legado de los clientes VPN (es decir, aquellos que no soportan NAT) puede no ser capaz de establecer túneles IPSec sobre la red inalámbrica. (Una solución es actualizar el cliente de VPN o configurar el cliente VPN para establecer un túnel IPSec sobre TCP, por ejemplo, SSL). VLAN tráfico inalámbrico de marcado no se admite en modo NAT of 80

20 5.2 Modo Bridge (Enterprise) En el modo de puente, el acto Meraki puntos de acceso como puentes, permitiéndoles a los clientes para obtener sus direcciones IP de un servidor DHCP aguas arriba. modo de puente deben estar habilitadas cuando cualquiera de las siguientes situaciones: Con conexión de cable y los clientes inalámbricos en la red de necesidad de llegar a la otra (por ejemplo, una computadora portátil inalámbrica tiene que descubrir la dirección IP de una impresora de red o de escritorio con cable debe conectarse a una cámara de vigilancia inalámbrica). Nivel 2 paquetes multicast y broadcast (por ejemplo, ARP, Bonjour) necesidad de propagar en forma limitada a la de cable e inalámbricas para los clientes de detección de dispositivos, redes, etc La red inalámbrica debe admitir legado de los clientes VPN (es decir, aquellos que no soportan NAT). Con conexión de cable y los clientes inalámbricos deben tener direcciones IP en la misma subred para la supervisión y / o por razones de control de acceso (por ejemplo, un portal web en la red permite / deniega el acceso a Internet basado en la dirección IP del cliente). El tráfico inalámbrico debe ser VLAN con etiquetas entre la AP Meraki y la infraestructura aguas arriba por cable. Las implicaciones de habilitar el modo de puente son los siguientes: Un administrador no puede habilitar el filtrado de contenido para adultos en el SSID. Debido a que la función de filtrado de contenido para adultos está basado en DNS, el modo de puente desactiva el filtrado de contenido para adultos usando el servidor DNS (s) anunciados por el servidor DHCP de la red. Múltiples servidores DHCP están permitidos, pero deben asignar direcciones IP a los clientes inalámbricos de la misma subred. Esto permite a estas direcciones IP a ser transmitido por la LAN a la que los puntos de acceso Meraki están conectados. 5.3 VPNs Meraki soporta la mayoría de las soluciones VPN de forma predeterminada. Cualquier implementación de IPSec que tiene soporte para NAT Traversal (NAT-T) se ocupará de una red de Meraki. Algunas soluciones VPN basadas en IPSec no funcionan bien detrás de un NAT. Si las dificultades se producen cuando se utilizan las VPN, un administrador debe considerar el cambio clientes VPN para utilizar SSL 19 of 80

21 en lugar de IPSec, o habilitar el modo de puente como el período de investigación de cliente inalámbrico modo de direccionamiento. Tenga en cuenta que la mayoría de soluciones de redes inalámbricas que utilizan NAT comparten los mismos problemas con las VPN IPSec of 80

22 6 Configuración de la LAN La siguiente sección se describe cómo configurar su LAN para apoyar un sistema Meraki. Si bien una red inalámbrica Meraki impone requisitos mínimos en la infraestructura LAN cableada, algunos pequeños cambios que sean necesarios. 6.1 Configuración del Firewall Si un servidor de seguridad está en su lugar, debe permitir conexiones salientes en los puertos particular, a determinadas direcciones IP. La lista más actualizada de los puertos de salida y las direcciones IP se pueden encontrar aquí: com/y79une3 6.2 Asignación de direcciones IP a los puntos de acceso Meraki Todos los puntos de acceso de puerta de enlace Meraki (puntos de acceso con conexión Ethernet a la LAN) se debe asignar direcciones IP enrutables. Estas direcciones IP se pueden configurar directamente en cada punto de acceso (vea las instrucciones más abajo), o asignados a los puntos de acceso a través de un servidor DHCP aguas arriba. En general, la asignación de dirección IP estática es recomendable para Meraki puntos de acceso, incluso cuando los puntos de acceso que obtengan sus direcciones IP mediante DHCP. (El servidor DHCP debe estar configurado para asignar una dirección IP estática para cada dirección MAC que pertenece a un AP Meraki.) Otras características de la red inalámbrica, tales como la autenticación 802.1x, podrán basarse en la propiedad de que los puntos de acceso tienen direcciones IP estáticas Configuración de una dirección IP estática directamente en un AP Meraki Una dirección IP estática se puede configurar directamente en un determinado AP a través de los siguientes pasos: 1. Usando una máquina cliente (por ejemplo, un ordenador portátil), conectarse a la AP ya sea de forma inalámbrica (mediante la asociación a cualquier SSID difundido por la AP) o mediante una conexión por cable (conectando un extremo de un cable Ethernet en la máquina cliente, y el otro extremo del cable Ethernet al conector Ethernet del AP, puede ser necesario desconectar el AP de su conexión Ethernet existentes a fin de conectar la máquina cliente) of 80

23 2. El uso de un navegador web en la máquina cliente, el acceso de la AP-construido en el servidor web accediendo a 3. Haga clic en la configuración de IP "estática" lengüeta. Se le pedirá a la entrada. El nombre de usuario por defecto es "admin" y la contraseña por defecto es el número de serie de la AP, con guiones incluidos. 4. Configure la dirección IP estática, máscara de red, puerta de enlace la dirección IP y los servidores DNS que este punto de acceso utilizará en su conexión por cable a Internet. 5. Si es necesario, vuelva a conectar el AP a su conexión Ethernet a la LAN Configuración de una dirección IP estática para un AP Meraki a través de reservas DHCP En lugar de asociar a cada AP Meraki y configurar una dirección IP estática en cada punto de acceso, un administrador puede configurar direcciones IP estáticas para asignar a Meraki puntos de acceso en la subida servidor DHCP. A través de "reservas DHCP", las direcciones IP son "reservados" para las direcciones MAC de los APs Meraki. Por favor, consulte la documentación para el servidor DHCP para configurar las reservas DHCP of 80

24 7 Encriptación y autenticación El MCC es compatible con una amplia variedad de métodos de cifrado y la autenticación del acceso no-simple, abierto a WPA2-Enterprise con autenticación 802.1x. Este capítulo explica la encriptación diferentes y los modos de autenticación disponibles en el MCC. El cifrado y la autenticación se configuran en el MCC en la pestaña Configurar en la página de control de acceso. En términos generales, el método de cifrado está configurado en "requisitos de asociación", mientras que el método de autenticación se configura en "Red de inicio de sesión en el método". Para asociar a una red inalámbrica, un cliente debe tener las claves de cifrado correcta (requisitos de asociación). Una vez asociado el cliente inalámbrico que tenga que introducir la información (red de inicio de sesión sobre el método) antes de acceder a recursos de la red inalámbrica. Las combinaciones de los métodos de cifrado y autenticación que se admiten son los siguientes: Red de inicio de sesión en el método Asociación requisitos Acceso directo Haga clic a través de la página del chapoteo Regístrate en la página de bienvenida Facturación (acceso de pago) Abrir (sin cifrado) acceso basado en MAC control (sin cifrado) WEP (clave compartida de red) WPA2-PSK (clave compartida de red) WPA2- Enterprise con autenticación 802.1x 23 of 80

25 7.1 Asociación Requerimientos Abierto En los "requisitos" Asociación de la página Control de acceso, un administrador configura los parámetros que deben ser satisfechos en el momento de la asociación inalámbrica para que un dispositivo para conectarse con éxito a una red inalámbrica. Abrir el modo permite que cualquier dispositivo para conectarse a la red inalámbrica. La principal ventaja de modo de apertura es su simplicidad: Cualquier cliente puede conectarse fácilmente y sin configuraciones complejas. Abrir el modo es recomendable cuando hay invitados que deben llegar a la red, o más generalmente, cuando la facilidad de conectividad es primordial y el control de acceso no es necesario. En la mayoría de los ambientes, el administrador debe asegurarse de que los clientes inalámbricos asociados en una red abierta no puede tener acceso LAN recursos, como recursos compartidos de archivos. Los administradores pueden controlar el acceso mediante el etiquetado VLAN, la característica de aislamiento LAN, o reglas personalizadas servidor de seguridad (véase la sección " Las reglas de firewall (Enterprise) ") El acceso basado en MAC (Control de empresa solamente) control de acceso basado en MAC admite o deniega la asociación inalámbrica basada en la dirección del dispositivo de conexión de MAC. Cuando un dispositivo inalámbrico intentos de asociación, la AP Meraki consulta un servidor RADIUS premisa de cliente con un mensaje de Access-Request. El servidor RADIUS puede admitir o negar el dispositivo basado en la dirección MAC, en respuesta a la AP Meraki ya sea con un mensaje de Acceso-Aceptar o un mensaje de acceso- Rechazar, respectivamente. Este método de autenticación no requiere ninguna configuración de cliente. Sin embargo, sufre de una experiencia de usuario pobre. Clientes inalámbricos que se les niega la asociación inalámbrica simplemente no puede conectarse a la SSID, y no recibe ninguna notificación explícita acerca de por qué no se puede conectar. Si este método de autenticación está activada, por lo menos un servidor RADIUS se debe configurar en la página de control de acceso en el radio "para control de acceso basado en MAC" sección. En esta sección se incluye una herramienta de prueba que simula el dispositivo inalámbrico de conexión a cada AP Meraki en la red. (Ver Sección 7.3 " Configurar un servidor de autenticación ", Para más información.) Claves pre-compartidas (WEP, WPA/WPA2-Personal) Una clave pre-compartida (PSK) permite que cualquier persona que tiene la llave para utilizar la red inalámbrica of 80

26 Wired Equivalent Privacy (WEP) es el original 802,11 mecanismo clave pre-compartida, utilizando cifrado RC4. WEP es vulnerable a ser hackeado, la clave de cifrado se pueden derivar por un espía, que ve bastante tráfico. Sólo use WEP si no es posible utilizar más avanzadas de seguridad-por ejemplo, cuando hay dispositivos antiguos clientes en la red que no son compatibles con WPA/WPA2. WPA y WPA2-Personal (Wi-Fi Protected Access) utilizar un cifrado más seguro que WEP. (WPA-Personal con cifrado TKIP utiliza RC4, mientras que WPA2-Personal utiliza cifrado AES). WPA2-Personal se prefiere. A pesar de que requiere una configuración de cliente, una PSK es relativamente fácil de configurar. Puede ser una buena opción cuando hay un pequeño número de usuarios o cuando los clientes no son compatibles con los mecanismos de autenticación más sofisticados, tales como WPA2-Enterprise. Un despliegue basado en un PSK no escala bien, sin embargo. Con un gran número de usuarios, se hace más difícil cambiar el PSK, una operación que debe realizarse periódicamente para asegurar que el PSK no se ha compartido con los usuarios no deseados WPA2-Enterprise con autenticación 802.1x (Enterprise) 802.1x es un estándar IEEE marco para cifrar y autenticar a un usuario que está intentando vincularse a una red cableada o inalámbrica. WPA- Enterprise utiliza TKIP con cifrado RC4, mientras que WPA2-Enterprise añade cifrado AES x puede ser transparente para los usuarios inalámbricos. Por ejemplo, las máquinas de Windows puede ser configurado para inicio de sesión único, de manera que las mismas credenciales que un usuario introduce para acceder a su máquina se transmiten automáticamente al servidor de autenticación para la autenticación inalámbrica. El usuario no se le pide que vuelva a introducir sus credenciales x utiliza el Protocolo de Autenticación Extensible (EAP) para establecer un túnel seguro entre los participantes involucrados en un intercambio de autenticación. El MCC soporta múltiples tipos de EAP, en función de si la red utiliza un servidor alojado Meraki autenticación o un cliente-servidor de la autenticación. (Ver Sección 7.3 " Configurar un servidor de autenticación ", Para más información.) La siguiente tabla muestra los tipos de EAP con el apoyo de la MCC: Modo de EAP RADIUS cliente Meraki RADIUS PEAPv0/EAP-MSCHAPv2 EAP-TTLS/MSCHAPv2 EAP-TLS 25 of 80

27 PEAPv1/EAP-GTC WPA2-Enterprise con autenticación 802.1x se suele utilizar con un cliente-servidor RADIUS premisa. El servidor RADIUS debe estar configurado para permitir peticiones de autenticación de las direcciones IP de los puntos de acceso Meraki. Esta configuración es necesaria para completar con éxito el intercambio EAP y es una razón más para configurar direcciones IP estáticas en los puntos de acceso Meraki. 7.2 Red Sign-On Métodos La red de inicio de sesión en el método es el mecanismo por el cual un cliente de acceso inalámbrico ganancias a recursos de red. Se produce después de que un cliente inalámbrico se ha asociado a un SSID Acceso Directo Con acceso directo, un cliente inalámbrico se concede acceso a la red tan pronto como él asocia con el SSID. No hay página de bienvenida se presenta al cliente inalámbrico Click Through Página Splash Cuando se configura, a través de un clic en la página de bienvenida muestra una página HTML completamente personalizable para el cliente inalámbrico de la primera vez que el cliente realiza una petición HTTP. Un administrador puede utilizar esta página de bienvenida para mostrar una política de uso aceptable o anuncios de la red. El cliente sólo se concede acceso a la red después de pulsar el botón "Continuar" en la página de inicio. El click-through es una página de bienvenida organizada por el MCC. Como tal, la red debe tener conectividad con el MCC con el fin de mostrar la página de bienvenida. Si el CCM no se puede acceder por alguna razón, el administrador puede configurar si los nuevos usuarios de telefonía móvil deben ser admitidos a la red inalámbrica sin ver la página de inicio. Esta configuración se encuentra bajo la pestaña Configurar en la página de control de acceso en el comportamiento de desconexión "sección. Mientras que el click-through página de bienvenida no requiere ninguna configuración del lado del cliente, sólo debería estar habilitado en un SSID cuyos clientes son capaces de mostrar la página de inicio. Cuando hay clientes que no son el navegador con capacidad (por ejemplo, escáneres de código de barras inalámbrico), la página de inicio debe estar deshabilitado en el SSID. Un administrador puede configurar si los nuevos clientes inalámbricos puedan obtener acceso a la red cuando el click-through 'splash page' No se puede mostrar (es decir, cuando el MCC se convierte temporalmente no disponible) of 80

28 Véase el capítulo 15 " Branding ", Para obtener información adicional sobre la personalización del click-through splash page, incluyendo la capacidad de configurar el intervalo de la página del chapoteo Sign-On Página Splash Un inicio de sesión en la página de bienvenida proporciona la funcionalidad del click-through página de bienvenida, pero añade la posibilidad de pedir al cliente inalámbrico para un nombre de usuario y contraseña. El cliente sólo se concede acceso a la red después de que entra en un nombre de usuario y contraseña que se validan contra un servidor de autenticación "backend" (ya sea un servidor alojado Meraki autenticación o un cliente alojada en un servidor RADIUS). (Ver Sección 7.3 " Configurar un servidor de autenticación ", Para más información.) El inicio de sesión en la página de bienvenida puede ser organizada por el CCM o en un servidor web externo. Un administrador puede configurar si los nuevos clientes inalámbricos puedan obtener acceso a la red cuando el inicio de sesión en la página inicial no se puede mostrar o cuando el nombre de usuario / contraseña de las credenciales no se puede validar (es decir, el servidor de autenticación no se puede acceder). Esta configuración se encuentra bajo la pestaña Configurar en la página de control de acceso en el comportamiento de desconexión "sección. Regístrate en la página de bienvenida es una opción de autenticación que no requiere ninguna configuración de cliente. Además, es asegurado por SSL (HTTPS), de modo que los nombres de usuario y las contraseñas son enviadas a la MCC de forma confidencial. Sin embargo, cuando está activado, se requiere que los clientes de recordar nombres de usuario y contraseñas, que tendrá que introducir periódicamente. Al igual que con el click-through página de bienvenida, los clientes que son incapaces de mostrar la página de ingreso deben ser considerados. Véase el capítulo 15 " Branding ", Para obtener información adicional sobre la personalización de la página de inicio con nombre de usuario / contraseña de entrada, incluyendo la capacidad de configurar el intervalo de la página del chapoteo. Véase el capítulo 10 " Características de control de acceso de usuario "Para información sobre la configuración de un cliente alojado en una página de bienvenida a los que los clientes inalámbricos son redirigidos cuando por primera vez asociado a la red inalámbrica Facturación Al configurar un SSID como un punto de acceso inalámbrico, un administrador puede utilizar las características integradas de facturación de Meraki para conceder acceso a la red sólo a usuarios de pago. Para obtener información adicional sobre la facturación integrada, véase el capítulo 16 " Facturación " of 80

29 7.3 Configurar un servidor de autenticación El MCC es compatible con dos tipos de servidores de autenticación (bases de datos de usuario): 1. Un Meraki alojada en servidor de autenticación 2. A los clientes alojados en el servidor de autenticación que admite el protocolo RADIUS El tipo de servidor de autenticación se configura en función de cada SSID en la pestaña Configurar en la página de control de acceso. Por ejemplo, un administrador puede utilizar el Meraki alojada en servidor de autenticación para administrar cuentas de usuario invitado para el huésped SSID, mientras utilizaba el servidor on-premise RADIUS para autenticar a los empleados para el empleado SSID Configuración de la Meraki-Hosted de autenticación de servidor El Meraki alojada en servidor de autenticación se configura a través de la MCC. Para cada cuenta de usuario, un administrador puede configurar el nombre del usuario, la dirección de correo electrónico y contraseña que el usuario utilizará para iniciar sesión y, opcionalmente, una fecha de caducidad (para crear una cuenta de usuario que la autoexpira al cabo de un cierto período de tiempo ). La opción para seleccionar un servidor alojado Meraki autenticación aparece cuando alguno de los siguientes se configura: Regístrate en la página de bienvenida WPA2-Enterprise con autenticación 802.1x En la página de control de acceso, un administrador puede crear, editar y eliminar cuentas de usuario. Un tiempo de caducidad también se puede configurar en una cuenta de usuario, para que la cuenta deja de ser válido después de una cierta cantidad de tiempo transcurre. (Esta función es útil para las cuentas de resultados.) Por último, la página de control de acceso proporciona una opción de "auto-registro", que permite a los usuarios crear sus propias cuentas. Sin embargo, los administradores todavía tienen que agregar manualmente dichas cuentas a la lista de usuarios autorizados en la red antes de que la cuenta tiene acceso. Las cuentas de usuario se configura en el servidor de la Meraki autenticación global a las redes de la organización. Por lo tanto, un cambio de contraseña a una cuenta de usuario en una red se aplica a otras redes en las que puede ser la cuenta de usuario que se utiliza. (Para obtener más información, consulte la sección 17.1 " Organizaciones ".) Meraki puntos de acceso debe ser capaz de llegar a la MCC con el fin de utilizar el Meraki alojada en servidor de autenticación. Si el MCC se convierte temporalmente fuera de servicio, los clientes inalámbricos 28 of 80

30 existentes (ya autenticado) permanecen conectados, pero los nuevos clientes inalámbricos no pueden autenticarse para acceder a la red inalámbrica. Un administrador puede configurar si los nuevos clientes inalámbricos puedan obtener acceso a la red cuando el MCC no está disponible en la pestaña Configurar en la página de control de acceso en el comportamiento de desconexión "sección Configuración de un cliente-hosted servidor RADIUS (Enterprise) Muchas organizaciones tienen una autenticación de usuario existente o un servidor de directorio que desea utilizar para controlar el acceso a la LAN inalámbrica. Los tipos más comunes incluyen servidor LDAP y Active Directory. Cualquier tipo de servidor de autenticación RADIUS con una interfaz puede ser integrado con una red inalámbrica Meraki. El MCC permite a un administrador configurar varios servidores RADIUS para la conmutación por error. La opción para seleccionar un cliente alojada en un servidor RADIUS aparece cuando alguno de los siguientes se configura: acceso basado en MAC control (sin cifrado) Regístrate en la página de bienvenida WPA2-Enterprise con autenticación 802.1x Cuando un cliente alojado en el servidor RADIUS se utiliza ya sea con control de acceso basado en MAC o WPA2-Enterprise con autenticación 802.1x, los puntos de acceso Meraki debe ser capaz de llegar al servidor RADIUS. El MCC ofrece una herramienta de prueba que permite a un administrador para comprobar la conectividad de todos los puntos de acceso Meraki al servidor RADIUS, y para comprobar un determinado conjunto de credenciales de usuario en el servidor RADIUS. La herramienta de prueba aparece en la pestaña Configurar en la página de control de acceso. Cuando un cliente alojado en el servidor RADIUS se utiliza con inicio de sesión en la página de inicio, el MCC debe ser capaz de llegar al servidor RADIUS. Este requisito normalmente requiere cambios servidor de seguridad que permiten las conexiones entrantes al servidor RADIUS del cliente. Si el servidor RADIUS se convierte temporalmente fuera de servicio, los clientes inalámbricos existentes (ya autenticado) permanecen conectados, pero los nuevos clientes inalámbricos no pueden autenticarse para acceder a la red of 80

31 8 Seguimiento Este capítulo describe las características de supervisión extensa en la pestaña Monitor en el MCC. 8.1 Información general Page La página muestra un resumen general de uso de la red y el estado de la red. Un administrador puede ver cuántos usuarios han asociado a la red en el último día de la semana, la cantidad de datos transferidos a los usuarios en ese período de tiempo, y cómo el uso de ancho de banda ha fluctuado durante la última semana (un gráfico de uso de la red). El mapa aérea muestra la información más reciente acerca de los puntos de acceso en la red. Las opciones en la esquina superior derecha permiten a un administrador para ver los puntos de acceso en la parte superior de un mapa gráfico, una imagen de satélite, o una vista híbrida. En la esquina superior izquierda, la flecha controles permiten al administrador a la sartén. Lavando también se puede lograr haciendo clic y arrastrando el mapa. Por debajo de las flechas, un control de escala permite al administrador para ajustar el nivel de zoom. El nivel de zoom también se puede controlar con la lupa al lado de las flechas, o haciendo doble clic sobre una región en particular para hacer zoom en. En el mapa, los puntos de colores representan los puntos de acceso. El estado de la AP se indica por su color: Verde: El AP no está reportando ningún problema. Amarillo: La AP es, pero recientemente ha experimentado un problema. En algunos casos, el administrador puede ser capaz de eliminar esta alerta en la página de puntos de acceso. Rojo: La AP no esta fuera. Gray: La AP ha sido durante más de 7 días. Un administrador puede hacer clic en un punto de acceso para obtener su nombre, su modo de malla (puerta de enlace de malla o de malla repetidor), el número de usuarios que se han asociado a él en las últimas 24 horas (también indicado por el número dentro de la AP), y el cantidad de datos que se ha trasladado en las últimas 24 horas. líneas grises entre puntos de acceso representan los eslabones de la malla. Colocar el ratón sobre un repetidor de malla destaca una línea que muestra el camino que está tomando la AP a través de la red de malla para llegar a una puerta de malla (y la LAN). El "Opciones" cuadro en la parte superior derecha del mapa permite a los usuarios seleccionar qué los números de los puntos de acceso representan (por ejemplo, el número de clientes conectados o malla de 30 of 80

32 lúpulo a puerta de enlace), así como las preferencias acerca de cómo mostrar los vínculos de la malla. 8.2 Page Mapas (Enterprise) La página de mapas permite a un administrador para cargar mapas personalizados y planos para la visualización de la red mejor. Por ejemplo, un administrador podría subir varias imágenes a visualizar la colocación de AP en varios pisos de un edificio de oficinas o sucursales en diferentes oficinas de la organización. Figura 4 es un ejemplo de una colocación de AP en un plano. Figura 4 - Página Mapas Un administrador puede agregar un mapa o plano de la imagen (GIF, PNG, JPG o PDF hasta 10 MB por imagen) en la pestaña Configurar en la página de Mapas y Planos. Este es también el que un administrador podría modificar o borrar una imagen existente. Después de cargar la imagen, el administrador puede volver a la página Mapas para colocar puntos de acceso en la imagen. El "Lugar puntos de acceso" en la esquina superior derecha produce una lista de puntos de acceso que el administrador puede agregar a la imagen. El administrador lugares los puntos de acceso al arrastrar y soltar los iconos de AP sobre la imagen. 8.3 Puntos de acceso de la página La página de puntos de acceso identifica los puntos de acceso en la red y muestra su estatus, la actividad, y su uso. La página de nivel superior proporciona una lista de puntos de acceso en la red. Esta lista se puede ordenar haciendo clic en un encabezado de columna. Las columnas se pueden agregar, eliminar o reordenar en la lista haciendo clic en "Opciones de presentación". Figura 5 es una captura de pantalla que muestra un alto nivel de acceso Página de Puntos of 80

33 Figura 5 - Puntos de acceso de página Para obtener información adicional acerca de un individuo de AP, un administrador puede hacer clic en la AP en la lista para abrir una página que contiene lo siguiente: Información identificativa (por ejemplo, la dirección MAC, número de serie, estado) Los datos de rendimiento (por ejemplo, la conectividad, el rendimiento, la latencia, malla vecinos), con funciones de zoom y panorámica a través del tiempo diversas gamas Herramientas para solucionar problemas a distancia (por ejemplo, prueba de rendimiento, prueba de ping) Vincular el registro de eventos específicos para este AP (véase la sección 8.5 " Página Evento Log (Enterprise) ") Figura 6 muestra una captura de pantalla con información sobre un determinado punto de acceso. Figura 6 - Información acerca de una versión concreta de AP las estadísticas de rendimiento para gateways de malla son números rendimiento para meraki.com. Gateway velocidades son a menudo limitadas por la velocidad del enlace ascendente de Internet. Los administradores deben usar estas estadísticas para solucionar 32 of 80

34 problemas ya sea dentro de la LAN o con el proveedor de servicios de Internet. las estadísticas de rendimiento para los repetidores de malla son números de rendimiento dentro de la red de malla, no a través de Internet el enlace ascendente. Como tal, es posible ver 6 Mbps de rendimiento dentro de la red de malla, pero 1,5 Mbps a través del enlace ascendente DSL. Los administradores deben usar estas estadísticas para solucionar los problemas dentro de la red inalámbrica, tales como las conexiones de malla pobres o interferencia del canal. 8.4 Clientes Page La página muestra la cantidad de clientes de la red se está utilizando y que los dispositivos cliente lo han estado utilizando. Figura 7 es una captura de pantalla de los Clientes página: Figura 7 - Página Clientes La página de los clientes tiene las siguientes características: Puede mostrar los clientes que se han asociado en cualquier SSID difundidas por la red inalámbrica, o sólo los clientes que se han asociado a una SSID dada. La página tiene control de zoom, que permite al administrador ver sólo los clientes que se han asociado en un período de tiempo especificado. El administrador también puede hacer clic en la lista "bloqueada" para ver sólo los clientes que están en la lista negra de MAC (véase la sección 10.2 " MAC lista negra "). Al igual que la página de puntos de acceso, la página tiene una lista de clientes que se pueden personalizar (añadir, eliminar y 33 of 80

35 reordenar las columnas) y recurrió (haciendo clic en un encabezado de columna). La columna "Descripción" muestra el nombre del dispositivo, si se puede determinar (es decir, a través de NetBIOS), de lo contrario, simplemente muestra la dirección MAC del dispositivo. El sistema de funcionamiento "" columna muestra el sistema operativo del dispositivo, que se determina a través de huellas dactilares sistema operativo (el patrón único por el cual un particular pide un sistema operativo de la dirección IP mediante DHCP). Un administrador puede ratón sobre una fila de la lista de dispositivos para ver una nueva línea aparecen en el gráfico de uso, lo que representa la fracción del ancho de banda total que utiliza el dispositivo resaltado. Un administrador puede hacer clic en un dispositivo concreto en la lista de dispositivos para obtener información adicional acerca del cliente inalámbrico. Figura 8 es una captura de pantalla de la página de clientes para un dispositivo específico: Figura 8 - La información sobre un cliente específico En esta página, un administrador puede crear una política de control de acceso dinámico a bloquear tanto un dispositivo inalámbrico o eludir los dispositivos inalámbricos de ver una página de ingreso. (Para configurar estas opciones, el administrador hace clic en el botón "Editar" para cambiar el "acceso de red" campo a "normal", "bloqueado", o "lista blanca".) Opcionalmente, el administrador puede configurar un mensaje que aparece en la página de bloque para un usuario de la lista negra. Esta página también proporciona un enlace al registro de eventos para este cliente específico (véase la sección 8.5 " Página Evento Log (Enterprise) "). 8.5 Página Evento Log (Enterprise) La página de registro de eventos proporciona el registro detallado sobre las actividades de diversos clientes, incluyendo las siguientes: 34 of 80

36 Asociaciones / disociaciones Autenticación de los intentos y los resultados DHCP actividad el tráfico inicial Un administrador puede utilizar estos registros para solucionar problemas de un cliente que puede estar experimentando problemas en la red inalámbrica. Figura 9 es una captura de pantalla de una página de registro de sucesos. Figura 9 - Página de registro de sucesos La página de registro de eventos permite a un administrador para ajustar el intervalo de tiempo durante el cual los informes de registro de eventos. Además, la página de registro de sucesos soporta la herramienta de búsqueda. (Ver Sección 8.9 " Herramienta de búsqueda ".) El administrador puede ver el registro de eventos para un determinado punto de acceso o un cliente determinado. Ambos filtros se pueden aplicar a través de la herramienta de búsqueda, o mediante el acceso a los enlaces de registro de eventos a través de la página de puntos de acceso y la página de clientes, respectivamente. 8.6 Rogue AP Page (Enterprise) 8.7 Resumen Page Report (Enterprise) La página de Rogue AP listas de puntos de acceso cercanos que son detectados por los puntos de acceso Meraki durante los análisis periódicos. (Véase el capítulo 12 " Rogue detección AP (Enterprise) ".) Un administrador de red la posibilidad de obtener análisis de la página Resumen de Informe en la pestaña Monitor. Este informe proporciona información sobre el uso y tiempo de actividad de la red inalámbrica Meraki, y puede ser enviada por correo electrónico en un horario 35 of 80

37 configurable para una visibilidad constante. Los administradores también pueden añadir el logotipo de su organización para el informe. 8.8 Actualizar en tiempo real (Enterprise) Los mapas, puntos de acceso, y las páginas de clientes según las actualizaciones de apoyo ficha Monitor de vivir, que proporcionan información en tiempo real sobre el estado de red y del uso del cliente. Un administrador puede hacer clic en las actualizaciones "en vivo" que aparece en una página en la que se ofrece la característica. Cuando actualizar en tiempo real están habilitados, la MCC devuelvo al día la información de esa página de la red inalámbrica aproximadamente cada 30 segundos, durante el tiempo que el administrador se queda en la página. (La actualizar en tiempo real son discapacitados, tan pronto como el administrador navega a una página diferente.) actualizar en tiempo real son una forma efectiva para solucionar problemas y seguir de cerca el estado de AP (por ejemplo, cuando un punto de acceso pierde conectividad de red) y el uso de cliente (por ejemplo, para ver qué clientes están actualmente asociados a la red inalámbrica y la cantidad de ancho de banda que está utilizando). 8.9 Herramienta de búsqueda Los mapas, puntos de acceso, los clientes, registro de sucesos, y Rogue páginas puntos de acceso en la ficha Monitor todos tenemos capacidades de búsqueda, que permite a un administrador para encontrar o filtrar una lista de puntos de acceso o dispositivos inalámbricos con una gran flexibilidad y facilidad. Cualquier cadena se puede entrar en él; el MCC intentará hacer coincidir en esa cadena en todos los campos disponibles. Por ejemplo, un administrador puede buscar el filtro y por la descripción del dispositivo, la dirección Ethernet, o la dirección IP. Además, las búsquedas pueden ser favoritos para uso futuro. La herramienta de búsqueda también es compatible con un número de palabras clave, que puede ser utilizado para buscar / filtrar por características específicas. Por ejemplo, un administrador puede buscar / filtro en una combinación de cadenas, los datos de uso, o número de saltos de la malla. Todas las opciones de palabras clave disponibles se enumeran en la "Ayuda" que aparece junto a la herramienta de búsqueda. La herramienta de búsqueda instantánea opera sobre los datos de la AP o lista de dispositivos. Es una manera eficaz de gestionar y supervisar un gran número de puntos de acceso y / o un gran número de clientes inalámbricos of 80

38 8.10 Alertas por Los administradores pueden suscribirse para recibir alertas por correo electrónico de la MCC sobre AP o interrupciones de la red. Las alertas son estrangulados por AP y por el tiempo. A fin de reducir falsas alertas positivas, la MCC envía un correo electrónico de alerta aproximadamente 1 hora después de un AP baja (es decir, deja de comunicarse con el MCC). Las alertas se configuran en la ficha Configuración en la página de configuración de toda la red Exportación de datos XML Lista de datos a los puntos de acceso y las páginas que los clientes se pueden exportar en formato XML para su posterior procesamiento y análisis fuera de la MCC. Un administrador puede hacer clic en la "transferencia directa como XML" para recuperar los datos. La mayoría de los programas de hoja de cálculo, como Microsoft Excel, puede abrir un archivo XML Conexiones Page Si bien la página de clientes muestra una lista de dispositivos, la página muestra una lista de inicios de sesión de usuarios. Un usuario puede conectarse con varios dispositivos. La página de inicios de sesión muestra a los usuarios que han iniciado la sesión con uno de los métodos de autenticación siguientes: Inicio de sesión en las páginas de bienvenida con un Meraki alojada en servidor de autenticación inicios de sesión de facturación Al igual que la página de clientes, la página de inicios de sesión permite a un administrador para filtrar los usuarios por el SSID en la que se asocia, mostrar las diferentes columnas de información, ordenar por columnas diferentes, y ajustar el nivel de zoom por calendario Cuenta la página de la actividad La página Actividad de la cuenta proporciona información sobre las operaciones de las redes que utilizan facturación integrada de Meraki. Los pagos recibidos de un usuario final aparecerá como un crédito, mientras que los pagos a partir de Meraki al administrador de red aparece como un débito. Las transacciones también muestran la fecha y hora, nombre de conexión del usuario, la dirección MAC del dispositivo desde el que el usuario efectuó un pago, y el plan de precio que el usuario compra. Los administradores pueden ver el historial de 37 of 80

39 transacciones en un mes determinado. (Para más información, consulte el capítulo 16 " Facturación ".) 38 of 80

40 9 Etiquetado VLAN (Enterprise) Las redes de área local virtuales (VLAN) permiten a una sola red Ethernet física parecen ser múltiples redes lógicas. Hay un par de razones para usar VLANs, incluyendo: Mejorar la seguridad de la red mediante la prevención de los dispositivos inalámbricos de acceso a los recursos de LAN. Aumentar el rendimiento mediante la limitación de dominios de difusión. Tenga en cuenta que el etiquetado VLAN requiere típicamente una cantidad no trivial de LAN configuración de los interruptores aguas arriba, routers y firewalls. Si la motivación principal para el etiquetado VLAN es el primer caso de uso, un administrador debe considerar el uso de aislamiento Meraki LAN o Personalizada características Firewall normas (véase la sección 10.5 " Firewall Normas para usuarios inalámbricos "). Una configuración de VLAN típica podría romper una LAN física por departamento (por ejemplo, Ingeniería, Recursos Humanos, Marketing) o por clase de usuario (empleado, visitante). Figura 10 muestra un ejemplo de configuración. Figura 10 - Ejemplo de red con redes VLAN Las VLAN pueden ser basadas en puertos (la asignación de un puerto físico en un dispositivo a una VLAN) o basado en etiquetas (tagging determinados tipos de tráfico con una etiqueta de VLAN, tal como se define por 802.1q). Meraki puntos de acceso basado en etiquetas VLAN 39 of 80

41 uso-(es decir, el etiquetado VLAN) para identificar el tráfico inalámbrico a un interruptor aguas arriba / router. Cuando el conmutador / enrutador ve VLAN con etiquetas de tráfico de un AP Meraki, se puede aplicar distintas políticas para que el tráfico, incluido el control de acceso (por ejemplo, enviar el tráfico directamente al servidor de seguridad de acceso a Internet-solamente) o calidad de servicio (por ejemplo, priorizar el tráfico en el sistema VOIP SSID). Por el contrario, cuando la AP recibe VLAN con etiquetas de tráfico desde el interruptor de aguas arriba / router, que el tráfico hacia delante al cliente correcto y / o SSID. La AP gotas de todos los paquetes con VLAN ID que no están asociadas a cualquiera de sus usuarios de telefonía móvil o SSID. Etiquetado VLAN se puede configurar por SSID o por usuario. En cualquier caso, el SSID debe ser configurado en modo bridge (véase la sección 5.2 " Modo Bridge (Enterprise) "). 9.1 Per-VLAN SSID de marcado Cuando se configura el etiquetado VLAN por SSID, todo el tráfico inalámbrico de datos de los usuarios asociados a esa SSID es marcado con la configuración VLAN ID. Múltiples SSID también puede ser configurado para utilizar la etiqueta misma VLAN. Por ejemplo, una única ID de VLAN se podría utilizar para identificar a todo el tráfico inalámbrico que atraviesan la red, independientemente de la SSID. Etiquetado VLAN está configurada para un SSID en la pestaña Configurar en la página de control de acceso. 9.2 Cada usuario de marcado VLAN Cuando el etiquetado VLAN está configurado por usuario, varios usuarios pueden estar asociados al mismo SSID, pero su tráfico se etiqueta con ID VLAN diferente. Esta configuración se realiza mediante la autenticación de dispositivos inalámbricos o los usuarios contra un servidor RADIUS premisa de cliente, que puede devolver atributos RADIUS que transmiten el ID de VLAN que se deben asignar al tráfico de un usuario concreto. Para el cumplimiento de cada usuario etiquetado VLAN, un servidor RADIUS se debe utilizar con una de las opciones siguientes: acceso basado en MAC control (sin cifrado) WPA2-Enterprise con autenticación 802.1x Una etiqueta de VLAN por usuario se puede aplicar de 2 maneras diferentes: 1. El servidor RADIUS devuelve un atributo del túnel-de Grupo Privado-ID en el mensaje de Acceso-Aceptar, que especifica el ID de VLAN que se deben aplicar para el usuario móvil. Este ID 40 of 80

42 de VLAN puede modificar el que se puede configurar en el MCC (que podría haber etiquetado VLAN, o un por-ssid etiqueta de VLAN). Para tener esta VLAN ID en vigor, "RADIUS anular" se debe establecer en "respuesta RADIUS puede reemplazar etiqueta VLAN" en la pestaña Configurar en la página de control de acceso en la configuración "VLAN" sección. 2. El servidor RADIUS devuelve un atributo de directiva de grupo (por ejemplo, el filtro-id) en el mensaje de Acceso-Aceptar. El atributo de directiva de grupo especifica una directiva de grupo que deben aplicarse para el usuario móvil, superando a la política configurada en el mismo SSID. Si la directiva de grupo incluye un ID de VLAN, la directiva de grupo de VLAN ID se aplican al usuario. (Véase el capítulo 11 " Identity Manager Política (Enterprise) ".) 9.3 Gestión del tráfico El tráfico de gestión es siempre no etiquetadas entre la AP Meraki y el interruptor de aguas arriba / router. (Etiquetado VLAN sólo se aplica a los datos de tráfico hacia y desde los clientes inalámbricos.) La red de cable debe estar configurado para permitir el tráfico sin etiqueta de los puntos de acceso a Internet (de modo que los puntos de acceso se puede comunicar con el MCC) y los aparatos de red que los puntos de acceso se pondría en contacto para el usuario o la gestión de red (por ejemplo, Active Directory o RADIUS servidores para la autenticación del usuario). 9.4 Configuración de la red LAN de Apoyo a la VLAN de marcado 9.5 Otras consideraciones Debido a que un AP Meraki puede enviar y recibir tráfico de datos etiquetados, así como la gestión del tráfico sin etiquetar, todos los puntos de acceso Meraki debe estar conectado a un puerto troncal en el interruptor de aguas arriba / router que está configurado para la manipulación de las redes VLAN utilizadas por la red inalámbrica. Véase la sección 21.2 " Configuración del interruptor Etiquetado de VLAN ". Para mayor seguridad, no SSID debe ser sin etiquetar (es decir, en la VLAN "nativa"). La cantidad de tráfico de difusión en el puerto de enlace a la que la AP Meraki se adjunta debe ser limitado. Limitar el tráfico de difusión mejora el rendimiento inalámbrico. En la actualidad, el etiquetado VLAN no se admite en un despliegue en la que Meraki puntos de acceso se utilizan para formar un puente inalámbrico entre dos redes LAN alámbricas of 80

43 42 of 80

44 10 Características de control de acceso de usuario Este capítulo describe las opciones de control de acceso disponibles en el MCC. La mayoría de estas opciones aparecen en la ficha Configurar en la página de control de acceso. Identidad Meraki de Policy Manager (IPM) se trata por separado en el capítulo 11 " Identity Manager Política (Enterprise) " Lista blanca de MAC Si una página de bienvenida está habilitado en un SSID, el administrador puede identificar los dispositivos por dirección MAC que pasará por alto la página de bienvenida e inmediatamente acceder a la red. Esto es útil para permitir que los dispositivos que no pueden mostrar una página de bienvenida para ser todavía capaz de asociarse a un SSID que tiene una página de bienvenida habilitado. Los dispositivos en la lista blanca se: Nunca se mostrará una página de ingreso. Ser capaz de acceder a la red sin necesidad de acceder (en caso de inicio de sesión en la página de bienvenida se configura) o el pago (si se configura de facturación). No estar sujeto a los límites establecidos ancho de banda en la red. Aunque esta lista blanca se configura en la pestaña Configurar en la página de control de acceso para un SSID específico, se aplica a todos los SSID de la red a continuación. Como alternativa, un administrador puede agregar dinámicamente a los clientes inalámbricos a la lista blanca de la ficha Monitor en la página de Clientes. Un administrador puede seleccionar un dispositivo cliente y cambiar el estado de acceso de "normal" a la "lista blanca". El uso de este lista blanca no se recomienda para control de acceso, sino más bien, como una solución temporal. La gestión de una lista de direcciones MAC no escala bien desde una perspectiva de gestión. Por otra parte, las direcciones MAC pueden ser falseadas, lo que puede permitir a usuarios no deseados tengan acceso a la red inalámbrica. El enfoque recomendado es migrar los dispositivos de cliente que no son capaces de mostrar las páginas de inicio a un SSID separada que no tiene habilitado la página de inicio MAC lista negra Un administrador puede bloquear dispositivos específicos de red inalámbrica de acceso por dirección MAC. Un dispositivo se añade a la lista negra de la ficha Monitor en la página de los clientes, al cambiar el 43 of 80

45 estado del acceso de las "normales" a "bloqueados". Un administrador lo desea, puede introducir un mensaje, que se muestra al cliente inalámbrico en la página que se recibe cuando intenta tener acceso a la red. Este mensaje podría ser utilizado para comunicar las medidas de reparación para el cliente bloqueados. Al igual que con la lista de la salpicadura de derivación de página, la lista negra de MAC no se recomienda para control de acceso. Una lista de direcciones MAC rápidamente se convierte en inmanejable con un gran número de dispositivos de cliente. Por otra parte, las direcciones MAC pueden ser falseadas para eludir esta lista negra. El bloqueo de usuarios y dispositivos se debería producir al emplear una combinación de la encriptación inalámbrica y los métodos de autenticación. (Véase el capítulo 7 " Encriptación y autenticación ".) 10.3 Ancho de banda de Conformación Ancho de banda de la configuración garantiza que los usuarios no consumen más ancho de banda de lo que deberían. El MCC incluye un ancho de banda de la configuración de módulo integrado que hace cumplir los límites de carga y descarga. Esta configuración se podría utilizar, por ejemplo, para asignar más ancho de banda para los microteléfonos VoIP en un SSID y menos ancho de banda para los usuarios de datos de sólo en otro SSID. Los límites de ancho de banda son aplicadas por los puntos de acceso Meraki para que se apliquen de forma coherente a un cliente inalámbrico, aunque que vaga por cliente desde un punto de acceso a otro. El MCC admite la carga y descarga por separado límites. Asimétrica de carga y descarga límites son útiles, por ejemplo, cuando un usuario sólo tiene que descargar periódicamente imágenes de gran tamaño (por ejemplo, dibujos CAD), pero no subirlos. Los requisitos específicos de aplicaciones y ancho de banda disponible debe ser considerado para determinar la configuración de ancho de banda óptimo. límites de ancho de banda puede ser aplicada por SSID o por usuario. Para configurar los límites por SSID ancho de banda, ir a la página de control de acceso en la ficha Configurar. El MCC soporta ancho de banda por usuario límites cuando un cliente alojado en el servidor RADIUS se utiliza. Consulte " Apéndice B: Atributos de RADIUS "Para más detalles. Por último, si la facturación está habilitado, es posible configurar límites de ancho de banda que se aplican a cada factura niveles. Véase el capítulo 16 " Facturación "Para más detalles of 80

46 10.4 Filtrado de contenidos para adultos Contenido para adultos de filtrado impide un cliente inalámbrico de acceso a sitios que contengan material pornográfico, sexual, o un adulto de otra manera. El filtrado se realiza en el nivel absoluto de DNS a través de OpenDNS. Los usuarios pueden ser redirigidos a una página de destino OpenDNS seguro. Esta característica proporciona contenido para adultos básicas de filtrado de aplicaciones en las que las técnicas avanzadas de filtrado no son necesarios (por ejemplo, el filtrado de los huéspedes en el vestíbulo de la oficina). Si más avanzadas de la filtración es necesario, una solución de filtrado de contenido independiente se recomienda. Esta función se configura en función de cada SSID en la pestaña Configurar en la página de control de acceso. Sólo está disponible cuando se selecciona el modo NAT para el cliente las direcciones IP Firewall Normas para usuarios inalámbricos El administrador puede definir las reglas del cortafuegos que limitan los recursos de red que los usuarios pueden acceder. Hay 3 opciones: LAN aislamiento 1. Permitir que los clientes inalámbricos para acceder a mi LAN (LAN aislamiento con discapacidad) 2. Impedir el acceso a clientes inalámbricos mi LAN (LAN aislamiento habilitado) 3. Las reglas de firewall LAN aislamiento está diseñado para permitir a los clientes para acceder a Internet pero no ser capaz de acceder a los recursos de LAN. redes de clientes de acceso son un caso de uso común. LAN aislamiento es rápida para activar y no requiere que el soporte de la red VLAN. LAN bloques de aislamiento acceso a los siguientes rangos de IP: 10 / / / Las reglas de firewall (Enterprise) reglas de firewall personalizado proporcionar un administrador con un mayor control de acceso granular LAN más allá de aislamiento. Un administrador puede definir un conjunto de reglas de firewall que se evalúa para cada solicitud enviada por un usuario inalámbrico asociado a ese SSID. Las reglas de firewall se evalúan de arriba a abajo. La primera regla que coincida con que se aplique, y las normas posteriores 45 of 80

47 no se evalúan. Si hay reglas partido, la norma por defecto (permitir todo el tráfico) se aplica. A modo de ejemplo, Figura 11 representa una muestra conjunto de reglas del firewall. Figura 11 - Ejemplo de reglas personalizadas Firewall Diferentes tipos de solicitudes coincidirá con normas diferentes, como muestra el cuadro siguiente. Para una petición web a la CNN, las reglas 1-4 no coinciden, por lo que la regla # 5 (la norma por defecto), se aplica, y la petición se admiten. Por el contrario, para una solicitud de BitTorrent a través del puerto TCP 6881, la regla # 1 no coincide, pero que concuerda con la regla # 2. La solicitud es negada, y no las reglas que siguen son evaluados. Regla # Intento de Acción Ejemplo # 1: Web de solicitud de Ejemplo # 2: Imprimir en Ejemplo # 3: Enviar BitTorrent tráfico. Ejemplo # 4: El acceso de archivos del servidor de la LAN. 1 (Sin partido) (Sin partido) (Sin partido) (Sin partido) 2 (Sin partido) (Sin partido) COINCIDIR (negar) (Sin partido) 3 (Sin partido) MATCH (permitir) (Sin partido) 4 (Sin partido) COINCIDIR (negar) 5 MATCH (permitir) Las reglas de firewall se puede aplicar para un SSID determinado o como parte de una directiva de grupo (véase el capítulo 11 " Identity Manager Política (Enterprise) ") La fuerza de Portal Cautivo El administrador puede configurar esta función para bloquear todo el tráfico (incluido el tráfico no-web) de usuarios de telefonía móvil hasta que estén bien conectados a través de la página de ingreso. El administrador puede configurar esta opción para cada SSID of 80

48 Esta función se configura en la pestaña Configurar en la página de control de acceso, cuando sea el click-through página de bienvenida o la página de inicio con nombre de usuario / contraseña de acceso está configurado Activar / Desactivar accesos simultáneos Esta característica evita que los usuarios inalámbricos de utilizar el mismo inicio de sesión sobre las credenciales página de bienvenida en varios equipos simultáneamente. Este ajuste sólo se aplica a inscribirse en la página de bienvenida ya sea con el Meraki alojada en servidor de autenticación del cliente o servidor de la autenticación. Este ajuste no tiene ningún efecto sobre 802.1x usuarios, que no se impide el registro en forma simultánea de varios equipos. Esta función se configura en la pestaña Configurar en la página de control de acceso cuando la página de bienvenida con nombre de usuario / contraseña de acceso está configurado Walled Garden (Enterprise) Un jardín amurallado define un conjunto de direcciones IP que un usuario puede tener acceso inalámbrico antes de que haya autenticado. Por ejemplo, el jardín amurallado podría incluir la información de la empresa "" las páginas del sitio web de una empresa. En el diseño de estas páginas web compañera, asegúrese de que los usuarios pueden fácilmente volver a la página de acceso. Un jardín amurallado se encuentra configurado en la pestaña Configurar en la página de control de acceso, cuando sea el click-through página de bienvenida o la página de inicio con nombre de usuario / contraseña de acceso está configurado of 80

49 11 Identity Manager Política (Enterprise) El Meraki Identidad Policy Manager (IPM) permite a los administradores para aplicar la configuración de seguridad diferentes para distintos grupos de usuarios. IPM se puede utilizar para implementar una variedad de políticas sobre un SSID único. Por ejemplo, una universidad quiere tener tres niveles de acceso de los estudiantes, el personal y huéspedes. Todos los usuarios deben tener acceso a la Internet, los estudiantes deberían tener acceso a las impresoras de red, y el personal debe tener acceso a aplicaciones internas y servidores. Esta política de universidad podrían aplicarse con 3 diferentes SSID en el que cada SSID se asigna a su propia etiqueta VLAN de forma exclusiva (véase la sección 9.2 " Cada usuario de marcado VLAN "). Sin embargo, no todas las redes tienen habilitado el etiquetado VLAN, VLAN y administración puede ser compleja. IPM permite a la universidad para poner en práctica políticas más sofisticadas un SSID único. IPM es compatible con los siguientes modos de control de acceso: acceso basado en MAC de control WPA2-Enterprise con autenticación 802.1x 11.1 Cómo funciona IPM A continuación se detalla cómo el sistema se comporta cuando IPM se ha configurado. 1. Un usuario asociados con una red. 2. La AP Meraki envía un mensaje RADIUS Access-Request al servidor RADIUS. El mensaje Access-Request contiene atributos RADIUS que ayudan al servidor RADIUS para identificar al usuario móvil. 3. El servidor RADIUS determina a qué grupo se deben asignar al usuario. Esta determinación puede basarse en una combinación de criterios a los que el servidor RADIUS es privado (por ejemplo, la dirección del usuario de MAC, nombre de usuario, dominio, AP, SSID, hora del día, etc.) 4. Si el servidor RADIUS admite el usuario, devuelve un mensaje RADIUS-Access Aceptar a la AP Meraki. El mensaje de Access-Acepte contiene atributos RADIUS que indican la directiva de grupo al que pertenece el usuario. 5. La AP Meraki recibe el mensaje de Acceso-Aceptar desde el servidor RADIUS, y se aplica la directiva de grupo apropiado para ese usuario of 80

50 Estas políticas son "basado en la identidad", ya que se basan en la identidad del usuario, según lo determinado por el servidor RADIUS. La asignación de un usuario a una directiva de grupo se lleva a cabo por el servidor RADIUS, la configuración de una directiva de grupo, por el Contralor Meraki Cloud, y la aplicación de una directiva de grupo, por un AP Meraki. Las directivas de grupo están en el centro del MIP y se discuten a continuación. (Por usuario etiquetado VLAN es un subconjunto del MIP y se describe en la sección 9.2 " Cada usuario de marcado VLAN ") Cómo configurar el IPM Una política de "grupo" es una política con nombre que contiene un grupo de opciones que se pueden aplicar a un usuario en particular. Cuando la AP Meraki recibe el mensaje de Acceso-Aceptar desde el servidor RADIUS (paso # 5más atrás ), El servidor RADIUS puede incluir un atributo RADIUS que identifica a esta política de grupo por su nombre. Si la directiva de grupo identificado en el atributo de RADIUS coincide con una directiva de grupo configurado en el MCC, el AP Meraki se aplicará la configuración en que la política de grupo para el usuario. Hay 3 pasos clave para configurar una directiva de grupo: 1. Crear una directiva de grupo en el servidor RADIUS. 2. Definir una directiva de grupo correspondiente en el MCC. 3. Pruebe la configuración de directiva de grupo. En las secciones siguientes se describe cada paso con más detalle. Consulte " Apéndice A: Configuraciones de ejemplo "Para las configuraciones de ejemplo de políticas de grupo Definir una directiva de grupo en el servidor RADIUS Cómo un administrador define una directiva de grupo en el servidor RADIUS depende de la implementación de RADIUS. Por ejemplo, en Windows Server, el administrador crea una directiva en el servidor de red de Políticas (NPS), que define lo siguiente: 1. Condiciones (es decir, lo que hay posibilidades de ganar). Ejemplos de condiciones incluyen el dominio del usuario, grupo de usuarios, SSID para que el usuario conectado, y la dirección MAC del AP al que el usuario conectado. 2. Configuración (es decir, lo que debería ser aplicado si las condiciones de juego). Aquí, el administrador especifica qué atributo RADIUS (y el valor de atributo, es decir, el nombre de la 49 of 80

51 directiva del grupo) devuelve el servidor RADIUS para la AP Meraki. Cuando un usuario coincide con las condiciones de una política de fuentes de energía nuclear, el servidor RADIUS envía el nombre de directiva de grupo como RADIUS atribuyen a la AP Meraki Definir una directiva de grupo en el MCC Las directivas de grupo se configuran en el MCC en la pestaña Configurar en la página de directivas de grupo. ( Figura 12 muestra una captura de pantalla de ejemplo.) Las directivas de grupo se configuran en función de cada SSID. De esta manera, dos SSID diferentes, podrían haber políticas de grupo con el mismo nombre, pero diferentes entornos. Figura 12 - Políticas de Grupo de Páginas Para que una SSID, un administrador puede configurar los siguientes: 1. RADIUS seña identitaria de la directiva de grupo. ( Figura 13 define los atributos RADIUS que se puede utilizar para identificar una política de grupo.) 2. las políticas de uno o más grupos que pueden ser aplicadas a los usuarios se conecten a este SSID. Para una política de determinado grupo, un administrador puede configurar los siguientes: a. Ancho de banda de los límites b. Etiquetado VLAN c. Página Splash bypass d. Servidor de seguridad de las normas 50 of 80

52 En cada caso, el administrador puede optar por (1) utilizar la configuración por defecto configurada en el SSID (en la pestaña Configurar en la página de control de acceso para lo dado SSID), o (2) reemplazar el valor predeterminado configurado en el SSID con un establecimiento configurado en la directiva de grupo. Dado que no existe universalmente aceptada atributo RADIUS para pasar información de directiva de grupo, Meraki soporta una variedad de atributos diferentes, como se muestra en la tabla siguiente. Figura 13 - Atributos de RADIUS para la directiva de grupo Nombre del Atributo Vendor ID Filtro-Id (Definido en el RFC 2865, Tipo 11.) Responder Mensaje (Definido en el RFC 2865, tipo 18.) Airespace-ACL- Nombre Número de proveedores = atributo asignado el número de proveedores- Aruba, el usuario Papel = 6 Proveedor = número atributo asignado el número de proveedores- = 1 Tenga en cuenta que las políticas de grupo sólo se pueden configurar en un SSID que utiliza un local (cliente-premise) servidor RADIUS para la autenticación en tiempo de asociación Pruebe la configuración de IPM Dado que las políticas y normas de permiso pueden ser complejas y en ocasiones como resultado un comportamiento contrario a la intuición, es importante para probar una configuración a fondo antes de implementarla en un entorno real. Un administrador puede utilizar las herramientas siguientes para confirmar que el MIP está configurado y funciona correctamente: Registro de sucesos: El registro de sucesos muestra los atributos RADIUS que se recibieron y / o solicitado un usuario en particular. (Ver Sección 8.5 " Página Evento Log (Enterprise) ".) Autenticación de las herramientas de prueba: Las herramientas de prueba de RADIUS en la pestaña Configurar en la página de control de acceso simular una autenticación de usuario, y se muestran los atributos de RADIUS que se recibieron y / o solicitado un usuario de prueba en particular. (Ver Sección " Configuración de un cliente-hosted servidor RADIUS (Enterprise) ".) 51 of 80

53 12 Información de Gestión (Empresa solamente) Muchas organizaciones quieren ser capaces de obtener rápida y fácilmente invitados en línea, y al mismo tiempo, controlar quién está en la red. El MCC permite a los administradores crear "embajadores invitados", que pueden crear cuentas de usuario invitado, pero no puede modificar de otro modo el sistema. Por ejemplo, un administrador de red puede crear una cuenta de invitado el embajador de un recepcionista. A su vez, la recepcionista puede crear cuentas de usuario para los clientes que necesitan acceso temporal a la red inalámbrica. cuentas de invitado el embajador se configuran en la ficha Configuración en la página de configuración de toda la red. Un embajador invitado que inicia sesión en el MCC puede tener acceso al "Portal de Gestión de Información", que sólo permite la creación de cuentas de usuario en SSID que se configuran con un inicio de sesión en la página de inicio mediante Meraki alojada en servidor de autenticación. El embajador huésped puede agregar, editar y eliminar cuentas de usuario, y pueden especificar fechas de caducidad para las cuentas de usuario (por ejemplo, expira en un día). Figura 14 muestra una captura de pantalla del Portal de Información de manejo utilizadas por los embajadores invitados. Figura 14 - Gestión de clientes del portal 52 of 80

54 13 Rogue detección AP (Enterprise) Meraki puntos de acceso puede detectar puntos de acceso cercanos que pueden suponer una amenaza para la seguridad de los usuarios ya sea inalámbrica o de red de la organización. Meraki identifica dos tipos de puntos de acceso deshonestos: 1. Puntos de acceso que están transmitiendo el mismo SSID que SSID configurado el administrador puede engañar a los clientes que se conecte a la AP mal. Estos clientes podrían potencialmente divulgar información personal o confidencial al host mal. 2. Puntos de acceso pueden conectarse a la red cableada de la organización sin ningún tipo de cifrado de la necesaria o la configuración de autenticación, lo que abre un agujero de seguridad en la red de cable de la organización. (Estos puntos de acceso no necesariamente puede ser introducido en la red maliciosa. Por ejemplo, un empleado puede llevar a un consumidor de grado AP en trabajar para su propia conveniencia. Se conecta a la AP en la LAN cerca de su escritorio y deliberadamente no configura ningún tipo de cifrado o la autenticación de los ajustes para que pueda conectarse a su AP sin tener que iniciar sesión pulg) Figura 15 es una captura de pantalla de una página Rogue AP. Figura 15 - Rogue AP Page Al igual que los puntos de acceso y las páginas de los clientes, la página de Rogue AP tiene una lista que se puede personalizar (añadir, eliminar y reordenar las columnas) y recurrió (haciendo clic en un encabezado de columna). La página de Rogue AP soporta las siguientes características: 53 of 80