Veremos el Análisis de las Arquitecturas Inalámbricas Cisco.
Arquitectura AP (Access Point) Autónoma
Como vimos en el capítulo anterior, la función principal de un AP (Access Point o Punto de Acceso) es unir datos inalámbricos desde el aire a una red cableada normal.
En el AP se conectan distintos dispositivos como si fuera una red cableada, el AP por tanto convierte a estos como miembros de su red LAN.
Los AP autónomos ofrecen uno o más conjuntos de servicios básicos independientes (BSS).
La siguiente imagen muestra un ejemplo de una red con APs autónomos, si bien se muestran sólo cuatro AP, la realidad es que en una red empresarial podrían ser cientos.
Características de un AP (Access Point) Autónomo
Podemos ver en el ejemplo anterior algunas características de un AP autónomo, como permitir más de un SSID (wlan100 y wlan200) que se transmiten por distintas VLANs (10, 100, 200) por un enlace tipo Trunk. Además el AP autónomo tiene una IP de gestión (10.10.10.10).
Arquitectura AP (Acesso Point) Basado en la Nube
Un AP autónomo necesita de mucha configuración y administración. Si quisieras ayudar a resolver esto puedes usar una arquitectura de AP basada en la nube donde la administración del AP se resuelve fuera de la empresa empujándolo hacia la nube de Internet. Cisco Meraki es una solución de Cisco basado en la nube donde puedes hacer una administración centralizada además de obtener detallados informes de la red.
Cuando se agreguen nuevos AP éstos se conectaran a la nube y se configuraran automáticamente para ser administrados desde la nube.
La siguiente imagen muestra un ejemplo de esta red, puedes ver que la arquitectura es la misma que la de los AP autónomos y es que los AP que se usan son también autónomos. La diferencia esta en que todos los AP se gestionan, controlan y supervisan desde la nube.
Arquitectura Split-MAC (MAC Dividida)
Dado que los AP autónomos son justamente autónomos, toda la gestión, configuración, monitoreo, seguridad, etc., son configurados en cada uno de ellos.
Para solucionar estas limitaciones es necesario desplazar muchas funciones desde el AP autónomo hacia una ubicación centralizada.
Podemos ver en la siguiente imagen cómo desplazamos estas funciones en dos grupos: funciones de administración en la parte superior y funciones en tiempo real en la parte inferior.
Funciones en Tiempo Real: Los procesos en tiempo real implican enviar y recibir tramas 802.11, señales y mensajes de prueba. El cifrado de datos 802.11 también se maneja en tiempo real, por paquete. El AP debe interactuar con los clientes inalámbricos a bajo nivel, conocido como capa de Control de Acceso a Medios ó Media Access Control (MAC). Estas funciones deben permanecer con el hardware del AP, más cercano a los clientes.
Funciones de Gestión: Las funciones de gestión no son parte integral de manejar tramas en los canales de RF, pero son cosas que deben administrarse de forma centralizada. Por lo tanto, esas funciones se pueden mover a una plataforma ubicada en el centro, lejos del AP.
Cuando se dividen las funciones de un AP autónomo, el hardware del AP es conocido como Lightweight AP (AP Liguero) y realiza sólo las operaciones 802.11 en tiempo real.
Las funciones de gestión son usualmente realizadas por el Controlador de LAN Inalámbrica (WLC; Wireless LAN controller) que controla a los APs ligueros.
Para comunicar los APs ligueros con el WLC se tiene que crear un túnel usando el protocolo CAPWAP (Control and Provisioning of Wireless Access Points o en español, Control y Aprovisionamiento de Puntos de Acceso Inalámbricos) encapsulando los datos dentro de un paquete IP. Los datos dentro del túnel pueden ser erutados a través de la red.
Túnel CAPWAP
Existen dos túneles separados:
CAPWAP para el control de mensajes: Transporta el intercambio usado para configurar el AP y gestionar su operación. El mensaje de control tiene autenticación y encriptación, por tanto el AP tiene seguridad de que será controlado por el WLC apropiado.
CAPWAP para datos: Usado para los paquetes que viajan hacia y desde los clientes inalámbricos que están asociados con el AP. Los paquetes de datos son transportados a través del túnel de datos, pero no están encriptados por defecto. Cuando la encriptación de datos esta habilitada, los paquetes están protegidos con DTLS (Datagram Transport Layer Security ó en español, Seguridad de la Capa de Transporte de Datagramas).
