Configuración túnel CAPWAP en Hotspots EdgeCore (Solución Hotspot centralizada)

CAPWAP es un protocolo interoperable estándar que permite que un controlador EWS de Edgecore gestione puntos de acceso inalámbricos de forma remota, tener un Hotspot en la sede central y tener solo puntos de acceso en las sedes remotas.

Aquí podeis ver una tabla comparativa de todos los modelos de Hotspots y los Puntos de acceso de Edgecore.

El protocolo CAPWAP utiliza los puertos UDP 5246 y 5247 para la comunicación entre el Hotspot y los puntos de acceso.

Nota: en caso de tener un router detrás del Hotspot en la sede central, que es el escenario más habitual) hay que hacer un nateo de los puertos UDP 5246 y 5247 hacia la IP interna de la interfaz WAN del Hotspot.

Hay dos opciones disponibles: Full Tunnel y Split Tunnel que detallaremos en cada punto.

En esta guía explicaremos la configuración de ambos modos, empezaremos por la opción de “Full Tunnel”.

Opción 1-CAPWAP con Full Tunnel

Descripción:

“Full Tunnel” utiliza el protocolo CAPWAP para comunicarse con un punto de acceso para que todo el tráfico de gestión, tráfico de autenticación y tráfico de datos desde el área de servicio del AP se transmita de vuelta al controlador antes de reenviar tráfico de datos a Internet

Eso permite implementar funciones basadas en roles, políticas sobre redes layer 3, control de acceso, reglas de firewall, QoS y rutas especificas.

Importante: Usando “Full Tunnel”, todo el tráfico generado por los clientes conectados al Punto de Acceso, saldrán a Internet desde la central donde tenemos el Hotspot y no por la conexión local, es decir que ha de absorber toda la capacidad de tráfico de todas las sedes.

Este es el diagrama de datos de CAPWAP “Full tunnel”

Diagrama capwap modo full tunnel Edgecore

Configuración Full Tunnel:

Paso 1. Active CAPWAP en la pestaña CAPWAP en WAMP desde el Hotspot.

La ruta está en “Main›Device Management›Wide Area AP Management›CAPWAP”

Configuracion_CAPWAP-HotspotEdgecore

Puede seleccionar el certificado por defecto del sistema para subirlo a los puntos de acceso, o utilizar un certificado subido previamente al Hotspot.

Nota: No es recomendable cambiar la dirección IP ni la máscara para el control channel.

Paso 2: Configuración del template para el punto de acceso remoto

Configuracion_template_WAMP_punto_acceso-Edgecore

En “General settings”, podremos configurar los radios del equipo tanto en 2,4 como en 5GHz,

Podemos seleccionar la banda que emitirá el punto de acceso, y activar funciones como “Band steering” e “Airtime fairness”.

Ajustes_radio_punto_acceso_template_hotspot_Edgecore

Una vez aplicado los cambios, entramos en “VAP configuration” para seleccionar el tipo de túnel que vamos usar y definir el SSID que emitirá.

Configuracion_modo_CAPWAP_modo_FULL_TUNNEL-HotspotEdgecore

- En ESSID definiremos el SSID que queremos que emita el Punto de Acceso.

- Seleccionamos el tipo de túnel que vamos utilizar en “CAPWAP Tunnel Interface”.

- Seleccionamos a que zona de servicio vamos asociar este túnel en “Service Zone”.

Paso 3: Configuración del protocolo CAPWAP en el punto de acceso.

Debemos activar el protocolo CAPWAP en el AP para que el túnel pueda establecerse correctamente, para ello accederemos a la interfaz de configuración del punto de acceso a través del navegador y iremos a “ System> CAPWAP Configuration” donde:

- Activaremos la opción CAPWAP y Static Discovery.

- Introduciremos la dirección IP de WAN del hotspot en el campo “Ac Address” (IP Pública en caso de tener un router en la sede central).

Configuracion_CAPWAP_En_PuntoAcceso-Edgecore

Una vez configurado estos parámetros, el túnel CAPWAP debería establecerse de forma automática.

Podemos comprobar el estado del túnel en: “Main›Device Management›Wide Area AP Management>AP List “.

Listado_de_PuntosAcceso-CAPWAP-Edgecore

Si hacemos algún cambio en el template, SSID, seguridad etc. Debemos volver a aplicarlo. Para ello, una vez modificado el template seleccionaremos los puntos de acceso de la lista que queramos que aplique los cambios y pulsaremos en “Apply Settings”.

Aplicando_template_AP_en_CAPWAP_Edgecore

Solo tenemos que seleccionar nuestro nuevo template en la lista y hacer clic en “Apply”.

Nota: El túnel puede tardar hasta 5 minutos para restablecerse después de aplicar la configuración

Opción 2-CAPWAP con Split Tunnel

En la opción de “Split Tunnel”, solo el tráfico relacionado con la autenticación del usuario será enviado de vuelta al controlador.

Para usuarios autenticados, el tráfico de datos irá a Internet a través de la red local directamente.

El trafico de los usuarios pueden transmitirse mas rápidamente, ya que no será reenviado al controlador, pero no se les aplica ninguna política de QoS, comparten la salida a Internet de cada sede remota.

Este es el diagrama de datos del “Split tunnel“

Diagrama_capwap_modo_split_tunnel_Edgecore

Nota: En “split tunnel”, el tráfico de datos saldrá por la conexión local, por lo que no está gestionado por el Hotspot.

Si queremos más de un SSID con VLAN's (por ejemplo, red interna y red de clientes) es necesario que la red local soporte la configuración y gestión de VLAN, ya que solo autenticarán contra el Hotspot pero el direccionamiento IP lo ha de gestionar la red de cada sede.

Como alternativa, podremos establecer un túnel en modo NAT y usar el DHCP server del AP para separar el tráfico, pero no estará separado en redes virtuales y habrá comunicación cliente-cliente.

Una topología de red usando “Split tunnel” sería como esta:

Diagrama_capwap_modo_split_tunnel_multi_site_Edgecore

Configuración Split Tunnel:

En la configuración, la única diferencia entre “Split tunnel” y “Full tunnel”, es la selección del modo CAPWAP, el resto de pasos de la opción 1 del presente manual es idántica.

Solo tenemos que seleccionar el “CAPWAP Interface” como “Split Tunnel” y desactivar el VLAN ID caso no tengamos VLAN en el sitio local.

Confguracion_CAPWAP_en_modo_SPLIT_TUNNEL-Edgecore

Más información y otros artículos/manuales en nuestro Blog de Wifisafe.

Contacto: soporte@wifisafe.com

Descargar manual en PDF



CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS