Implementación del AP con VLANs y Red de Invitados

Si tiene un entorno de red complejo con requisitos de seguridad y políticas para usuarios inalámbricos, puede habilitar las VLAN en los SSIDs para su red inalámbrica. Las VLAN le permiten aplicar políticas de seguridad inalámbrica a cada SSID en el Firebox y separar el tráfico de red para cada SSID en una VLAN dedicada.

Con este escenario de implementación, existen dos métodos principales que puede utilizar para conectar físicamente su AP WatchGuard a la red:

  • Conectar el AP directamente al Firebox en una red De Confianza, Opcional o Personalizada configurada como una interfaz VLAN. Usted crea VLANs en el Firebox para la administración de APs y para cada SSID inalámbrico.

Diagrama de red de dos dispositivos AP conectados a dos interfaces de Firebox

  • Conecte el AP a un conmutador de red administrado que esté configurado con la información de la VLAN para los SSIDs relacionados. También puede configurar las mismas VLAN en el Firebox, de modo que pueda utilizar las VLAN en políticas de firewall para cada SSID.

Diagrama de red de dos dispositivos AP conectados a un conmutador conectado a un Firebox

Implementación de AP y Políticas de Firebox

Los usuarios inalámbricos que se conectan al SSID para una VLAN específica pueden tener acceso a otros recursos en la misma VLAN, pero que no tienen automáticamente el acceso a los recursos conectados a otras interfaces o VLAN en la misma zona de seguridad, tales como de confianza, personalizada u opcional. Debe crear políticas adicionales de Firebox si desea permitir el tráfico a otras interfaces y VLAN.

Interfaz Personalizada y Seguridad Inalámbrica de Invitados

Se recomienda la zona de seguridad de la interfaz Personalizada para la interfaz inalámbrica de invitados. De manera predeterminada, no se incluyen las interfaces Personalizadas en las políticas de firewall, por lo que se trata de un punto inicial seguro para prevenir las conexiones inalámbricas de usuarios invitados a los recursos de una red De confianza u Opcional. Debe crear específicamente políticas de acceso a la zona de seguridad personalizada, incluido el acceso de salida y el acceso a otras interfaces y redes.

Tipos de VLAN requeridas

Para habilitar el etiquetado VLAN en sus SSIDs de AP, existen dos tipos de VLANs que debe crear:

  • VLANs etiquetadas para SSIDs — El AP utiliza VLANs etiquetadas para separar el tráfico inalámbrico de cada SSID. Debe crear una VLAN etiquetada para cada SSID que configure en su red inalámbrica.
  • VLAN No Etiquetada para la Administración de AP — El Gateway Wireless Controller en el Firebox descubre y administra todos los AP WatchGuard por medio de una conexión de administración especial. Debe crear una VLAN separada y no etiquetada para utilizarla con conexiones de administración para sus APs. La dirección IP de administración de APs no puede ser una dirección IP en una VLAN etiquetada.

Si habilita el etiquetado VLAN para las comunicaciones de administración en la configuración del AP, el Firebox puede usar una VLAN etiquetada para las conexiones de administración al AP. Aún así se requiere una VLAN no etiquetada para la conexión inicial a un AP que aún no se ha enlazado.

Puede seleccionar entre dos métodos distintos para configurar las VLANs según el sitio donde conecte el AP a su red:

  • Conectar el AP directamente a un Firebox — Para conectar su AP directamente al Firebox, debe configurar las VLANs en la interfaz del Firebox al que se conecta el AP.
    1. En Firebox, cree una VLAN para la administración de APs y otras VLANs para todos los SSIDs inalámbricos.
    2. Configure la interfaz del Firebox para enviar y recibir tráfico etiquetado para las VLANs para cada uno de los SSIDs, y para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones del AP.
  • Conectar el AP a un conmutador administrado — Para conectar el AP a un conmutador administrado, usted configura las VLANs en las interfaces de conmutador administradas y en la interfaz del Firebox a la cual se conecta el conmutador.
    1. En Firebox, cree una VLAN para la administración de APs y otras VLANs para todos los SSIDs inalámbricos.
    2. Configure la interfaz del Firebox para enviar y recibir tráfico etiquetado para las VLANs para cada uno de los SSIDs, y para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones del AP.
    3. En el conmutador, configure las interfaces que se conectan al Firebox y al AP para enviar y recibir tráfico etiquetado para las VLANs para cada uno de los SSIDs. Configure las mismas interfaces en el conmutador para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones de administración del AP.

Para obtener más información sobre cuándo y cómo configurar las VLANs para usarlas con AP WatchGuard, consulte Configurar VLAN para AP WatchGuard.

Para obtener más información sobre cómo activar las VLAN etiquetadas y sin etiquetar en interfaces de conmutador, consulte la documentación para su conmutador.

Crear VLAN en Firebox

En este ejemplo de configuración, creamos tres VLAN:

VLAN para acceso inalámbrico de confianza

  • Descripción — se utiliza para la red primaria inalámbrica de confianza.
  • ID de VLAN — 10
  • Tipo de interfaz — De confianza
  • Dirección IP — 10.0.10.1/24
  • Alcance DHCP — 10.0.10.2 - 10.0.10.20

VLAN para acceso invitado inalámbrico

  • Descripción — Se utiliza para la red inalámbrica invitada.
  • ID de VLAN — 20
  • Tipo de interfaz — Personalizada
  • Dirección IP — 10.0.20.1/24
  • Alcance DHCP — 10.0.20.2 - 10.0.20.20

Recomendamos la zona de seguridad de la interfaz personalizada para la interfaz inalámbrica de invitados porque por defecto la interfaz personalizada no tiene políticas de acceso y es un punto de partida seguro para evitar que los usuarios inalámbricos invitados tengan acceso a una red de confianza u opcional.

VLAN No Etiquetada para la Administración del AP

  • Descripción — Utilizado por el Gateway Wireless Controller para el descubrimiento y la administración del AP.
  • ID de VLAN — 30
  • Tipo de interfaz — De confianza
  • Dirección IP — 10.0.30.1/24
  • Alcance DHCP — 10.0.30.2 - 10.0.30.20

Crear una VLAN para el SSID Inalámbrico de Confianza

  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.

Screen shot of the VLAN Configuration page for VLAN10

  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.

    Para este ejemplo, ingrese VLAN10.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.

    Para este ejemplo, ingrese VLAN para la red inalámbrica de confianza.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.

    Para este ejemplo, ingrese 10.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.

    Para este ejemplo, seleccione la interfaz VLAN inalámbrica de confianza, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.

    Para esta VLAN, ingrese 10.0.10.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.10.2 y 10.0.10.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, etiquetamos el tráfico VLAN inalámbrico de confianza.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.

Screen shot of the New VLAN Configuration dialog box for VLAN10

  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.

    Para este ejemplo, ingrese VLAN10.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.

    Para este ejemplo, ingrese VLAN para la red inalámbrica de confianza.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.

    Para este ejemplo, ingrese 10.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.

    Para este ejemplo, seleccione la interfaz VLAN inalámbrica de confianza, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.

    Para esta VLAN, ingrese 10.0.10.1/24.
  6. Seleccione Utilizar Servidor DHCP y haga clic en Agregar.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.

    Para esta VLAN, ingrese 10.0.10.2 y 10.0.10.20.
  8. Haga clic en Aceptar para guardar la configuración de esta VLAN.

Crear una VLAN para el SSID Inalámbrico Invitado

  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.

Screen shot of the VLAN Configuration page for VLAN20

  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.

    Para este ejemplo, ingrese VLAN20.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para la red inalámbrica de invitados.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.

    Para este ejemplo, ingrese 20.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN inalámbrica invitada, Personalizada.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese 10.0.20.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.20.2 y 10.0.20.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, etiquetamos el tráfico VLAN inalámbrico de invitados.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.

Screen shot of the New VLAN Configuration dialog box for VLAN20

  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.

    Para este ejemplo, ingrese VLAN20.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.

    Para este ejemplo, ingrese VLAN para la red inalámbrica invitada.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.

    Para este ejemplo, ingrese 20.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.

Para este ejemplo, seleccione Personalizada. Le recomendamos la zona Personalizada porque el tráfico para una interfaz personalizada no se permite a través de Firebox a no ser que específicamente configure políticas para permitirlo. Esto es importante para la seguridad de la red inalámbrica de invitados para asegurarse de que los usuarios invitados no puedan acceder a una red de confianza u opcional.

Cuando use la zona de seguridad Personalizada, debe agregar específicamente la red inalámbrica de invitados a su política Saliente para permitir el acceso a los usuarios inalámbricos invitados.

  1. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.

    Para este ejemplo, ingrese 10.0.20.1/24.
  2. Seleccione Utilizar Servidor DHCP y haga clic en Agregar.
  3. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.

    Para este ejemplo, ingrese 10.0.20.2 y 10.0.20.20.
  4. Haga clic en Aceptar para guardar la configuración VLAN.

Crear una VLAN para la Administración del AP

  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.

Screen shot of the VLAN Configuration page for VLAN30

  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN30.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para conexiones de administración AP.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 30.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN de comunicaciones del AP, De Confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese 10.0.30.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.30.2 y 10.0.30.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, no etiquetamos el tráfico VLAN de comunicaciones del AP.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.

Cuando esté completo, las configuraciones del ejemplo VLAN se debe ver así:

Screen shot of the Network > VLAN tab with three VLANs configured

  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.

Screen shot of the VLAN Configuration dialog box for VLAN30

  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.

    Para este ejemplo, ingrese VLAN30.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.

    Para este ejemplo, ingrese VLAN para conexiones de administración AP.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.

    Para este ejemplo, ingrese 30.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN de comunicaciones del AP, De Confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.

    Para este ejemplo, ingrese 10.0.30.1/24.
  6. Seleccione Utilizar Servidor DHCP y haga clic en Agregar.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.

    Para este ejemplo, ingrese 10.0.30.2 y 10.0.30.20.
  8. Haga clic en Aceptar para guardar la configuración VLAN.

Cuando esté completo, las configuraciones del ejemplo VLAN se debe ver así:

Screen shot of the Network Configuration > VLAN tab with three VLANs configured

Agregar VLAN a una Interfaz de Red (Policy Manager)

Si utiliza Policy Manager, debe agregar estas VLAN a una interfaz de red y seleccionar las opciones de etiquetado.

  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña Interfaces.
  3. Seleccione la interfaz de red que se utilizará para las VLAN y haga clic en Configurar.
    Aparece el cuadro de diálogo Configuración de interfaz para la interfaz seleccionada.

Screen shot of the Interface Settings dialog box for the VLAN interface

  1. En el cuadro de texto Nombre de Interfaz, ingrese un nombre para esta interfaz VLAN.
  2. En el cuadro de texto Descripción de interfaz, ingrese una descripción para esta interfaz de VLAN.
  3. En la lista desplegable Tipo de interfaz, seleccione VLAN.
  4. Para recibir datos VLAN etiquetados en esta interfaz de red, marque la casilla de selección Enviar y recibir tráfico etiquetado para VLAN seleccionadas.
  5. Seleccione la casilla de selección Miembro para cada VLAN etiquetada que se incluirá en esta interfaz.
    Para este ejemplo, seleccione VLAN10 y VLAN20.
    Solo se etiquetan las VLAN de SSID. La VLAN de comunicación del AP debe permanecer sin etiquetar.
  6. Para configurar la interfaz para que reciba datos sin etiquetar, seleccione la casilla de selección Enviar y recibir tráfico sin etiquetar para las VLAN seleccionadas.
    Para enviar y recibir datos no etiquetados para la VLAN de comunicaciones de AP, debe seleccionar esta opción.
  7. En la lista desplegable, seleccione la VLAN de comunicación del AP, VLAN30, como la VLAN no etiquetada.
  8. Haga clic en Aceptar.
  9. Guarde el archivo de configuración en el Firebox.

Agregar SSID al Gateway Wireless Controller

  1. Seleccione Red > Gateway Wireless Controller.
  2. Marque la casilla de selección Gateway Wireless Controller.

  3. En la pestaña SSIDs, haga clic en Agregar.

Screen shot of the Add SSID page for the Trusted SSID

  1. En el cuadro de texto Nombre de red (SSID), ingrese De confianza.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.

    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 10.
  4. En la pestaña Puntos de Acceso, seleccione los APs que desea que usen este SSID.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Guardar para guardar la configuración del SSID.
  8. En la pestaña SSIDs, haga clic en Agregar.

    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.

Screen shot of the Add SSID page for the Guest SSID

  1. En el cuadro de texto Nombre de red (SSID), ingrese Invitado.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.
    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 20.
  4. En la pestaña Puntos de Acceso, seleccione los APs que desea que usen este SSID.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Guardar para guardar la configuración del SSID.
  1. Seleccione Red > Gateway Wireless Controller.

    Aparece el cuadro de diálogo Gateway Wireless Controller, con la pestaña SSID seleccionada.
  2. Marque la casilla de selección Gateway Wireless Controller.

  3. En la pestaña SSIDs, haga clic en Agregar.

    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.

Screen shot of the Add SSID dialg box for the Trusted SSID

  1. En el cuadro de texto Nombre de red (SSID), ingrese De confianza.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.

    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 10.
  4. En la pestaña Puntos de Acceso, mueva los APs con los cuales desea utilizar este SSID de la lista Disponible a la lista Miembro.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Aceptar para guardar la configuración del SSID.
    Aparece el cuadro de diálogo Gateway Wireless Controller, con el SSID De Confianza en la lista de SSID.
  8. En la pestaña SSIDs, haga clic en Agregar.

    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.

Screen shot of the Add SSID dialog box for the Guest SSID

  1. En el cuadro de texto Nombre de red (SSID), ingrese Invitado.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.

    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 20.
  4. En la pestaña Puntos de Acceso, mueva los APs con los cuales desea utilizar este SSID de la lista Disponible a la lista Miembro.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Aceptar.

    Aparece el cuadro de diálogo Gateway Wireless Controller, con los SSID De Confianza y de Invitados en la lista de SSID.

Screen shot of the SSIDs tab with two SSIDs configured on two VLANs

  1. Haga clic en Aceptar para guardar la configuración del Gateway Wireless Controller.
  2. Guarde el archivo de configuración en el Firebox.

Después de haber configurado los SSIDs, puede enlazar cualquier AP adicional con el Firebox, y asignar estos SSIDs a los radios en cada AP.

Ver También

Acerca de la Configuración del AP

Configurar AP con el Gateway Wireless Controller