Foro en Español

Reply
Regular Contributor I

Activar control-plane-security

Buenas,

 

Al pasar de VC a WLC me encontre con el siguiente problema:

 

Active el control-plane-security y al activar los ap's quedaron en DOWN durante 30min. al ver que no se descargaban el certificado, desactive el control-plane-security.

 

Actualmente esta la conf. asi:

 

#show control-plane-security

 

Control Plane Security Profile

------------------------------

Parameter                    Value

---------                    -----

Control Plane Security          Disabled

Auto Cert Provisioning          Enabled

Auto Cert Allow All               Enabled

Auto Cert Allowed Addresses  N/A

 

Una vez provisionados, volvi a activar el control-plane-security y se volvieron a quedar en down sin hacer nada.

 

Queremos activar el CPSec por temas de seguridad. Que puede estar pasando para que no se descargen el certificado y los ap's se levanten?. A parte tenemos un grupo "default" sin configuración por si se conectara un AP no propage ningún SSID.

Contributor II

Re: Activar control-plane-security

Asegúrese de agregar todas las direcciones MAC Punto de acceso en la lista blanca al habilitar la seguridad plano

Islam Zidan │ Professional Services Engineer | ACCP,ACMP,CWDP,CWNA,CCNP,MCITP,Competia A+
If you Found My Post Helping you kindly Give KUDOS and if it solved your question Kindly hit Accept as a solution box.
Moderator

Re: Activar control-plane-security

Hola

 

Si tenéis marcada la casilla de "auto-cert-provisioning" y tenéis un "allow-all" a nivel de redes permitidas, el controller debería haber provisionado el certificado de los APs.

 

Sería interesante ver los logs de lo que estuvo ocurriendo en ese periodo, porque si los AP han estado intentando conectarse al controller, deberíais haber un log con información sobre este tema. Si hubiera un firewall en el camino, sería interesante también poder ver los logs de ese firewall, ya que cuando se habilita CPsec los AP levantan un túnel IPSec contra el controlador para cifrar el tráfico de gestión.

 

Si no os aclaráis demasiado bien con los logs, anonimizadlos y mostradlos por aquí, a ver si os podemos echar una mano.

 

En cualquier caso, ya que mencionáis el tema de la seguridad, conviene mencionar lo siguiente:

  • Con CPsec habilitado, sólo los AP con un certificado válido pueden conectarse al controlador. Ahora bien, si marcamos la casilla de "auto-cert-provisioning" cualquier AP (de Aruba, claro está) podría recibir un certificado del controller. Por tanto, es importante que, una vez se hayan provisionado todos los certificados, desmarquemos esta casilla. A partir de este momento, como bien apuntaba Islam Zidan, para asociar un AP nuevo habría que darlo de alta manualmente en la "whitelist" de Campus APs.
  • Con CPsec habilitado se cifra el tráfico de gestión entre los AP y el controller dentro de un túnel IPSec.
  • En modo túnel, el tráfico entre los clientes y el controlador irá cifrado en cualquier caso, ya que es el controlador quien descifra el WPA2/AES de las redes inalámbricas
  • En cualquier caso, siempre es una buena práctica tener un grupo por defecto en el que se no se radie ningún SSID (a mí me gusta dejarlo en modo "monitor"). De esta manera, aunque no tuviéramos CPsec habilitado, un AP "pirata" (insisto, de marca Aruba) no radiaría ningún SSID, por mucho que se pudiera conectar al controlador.

 

Una última cosa que debéis tener en cuenta sobre el modo CPsec es que es obligatorio tenerlo activado si queremos tener algún SSID de tipo campus en modo D-tunnel o en modo bridge.

 

Espero haber podido aclarar un poquito en qué consiste el cpsec.


Saludos!

 

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II

Re: Activar control-plane-security

Tuve un caso igual con una controladora y abrí un caso con soporte de Aruba.

Tras conectarse remotamente varias veces el ingeniero de Aruba tuvieron que entrar en modo soporte (un passowrd que solo conecen ellos) para acceder al sistema de ficheros y borrar el directorio TPM, que es donde la controladora guarda los certificados.

Reiniciaron y se solucionó el problema.

Supongo que al reiniciar se recreó el directorio TPM y los certificados por defecto.

Regular Contributor I

Re: Activar control-plane-security

Buenas Samuel,

 

Dejo los log's de la controlladora. Si no entiendo mal el log, creo que el problema esta porque no están dado de alta las mac's en la whitelist

Moderator

Re: Activar control-plane-security

Sí, está clarísimo viendo los logs. Deberían asociarse en cuanto añadas los AP a la whitelist.

 

De todas formas, si tienes marcado el "check" de "auto-cert-provisioning" y tienes un "allow-all" en las redes permitidas, te agradecería si pudieras sacar un "show tech-support" y enviarselo a soporte para que lo analicen. Copiame si quieres en el caso.

 

Saludos

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: