Configurar VLAN para AP WatchGuard
Puede usar las VLANs y el etiquetado de VLAN para los SSIDs en sus AP WatchGuard. Para obtener información general sobre las VLANs y el WatchGuard Firebox, consulte Acerca de las Redes Virtuales de Área Local (VLAN).
Si habilita el etiquetado VLAN para SSIDs en un AP WatchGuard, o si habilita el etiquetado VLAN de comunicaciones de administración para un AP, también debe habilitar las VLANs en la red a la cual se conecta el AP. De forma predeterminada, el tráfico de comunicaciones de administración al AP no está etiquetado, por lo que se recomienda agregar una VLAN no etiquetada para el tráfico de administración, como se describe en esta sección. Si prefiere usar una VLAN etiquetada para el tráfico de administración, asegúrese de configurar el AP para etiquetar el tráfico de administración, y de establecer la ID de la VLAN de comunicaciones en la configuración del Punto de Acceso a la VLAN que desea utilizar para el tráfico de administración.
La VLAN etiquetada de comunicaciones de administración se usa solo después de que el AP se enlaza al Gateway Wireless Controller en un Firebox. Un AP no enlazado no puede responder al tráfico de VLAN etiquetado.
Cuándo Habilitar el Etiquetado de VLAN en SSID
Existen un par de razones por las que quizás le convenga habilitar el etiquetado de VLAN en los SSID AP:
Para configurar políticas de firewall distintas para SSIDs que se conecten a la misma red
Si configura varios SSIDs para los APs y desea establecer distintas políticas de firewall para cada SSID, puede habilitar el etiquetado de VLAN en el SSID y luego utilizar la ID VLAN asociada con cada SSID en políticas específicas a cada SSID. Por ejemplo, podría agregar una política de filtrado de paquetes HTTP distinta para cada SSID que especifique la VLAN asociada con ese SSID.
Para separar el tráfico en la misma red física a distintas redes lógicas
Si tiene varios APs conectados a la misma red física, el etiquetado VLAN le da la capacidad de examinar de modo separado el tráfico para los clientes inalámbricos conectados a cada SSID. Por ejemplo, si ejecuta un analizador de red, puede utilizar las etiquetas VLAN para ver el tráfico para la ID de la VLAN asociada a un SSID.
O bien puede configurar todos los APs con un SSID para la red de confianza, y un SSID distinto para la red personalizada/opcional. Puede configurar una VLAN de confianza y una VLAN opcional o personalizada para separar el tráfico para los clientes inalámbricos que se conectan a las redes de confianza y opcional/personalizada. Una red personalizada es más segura que la red opcional ya que no le conviene que los clientes inalámbricos que no son de confianza tengan acceso a sus redes opcionales si hay recursos de confianza en esa red.
Configurar las VLAN en el Firebox
Para habilitar el etiquetado VLAN en los SSIDs del AP, debe configurar las VLANs en la interfaz del Firebox en donde planea conectar los APs.
Para la interfaz del Firebox en donde planea conectar el AP, configure el Tipo de Interfaz a VLAN. Luego, configure las VLANs que se usarán con el AP.
- Configure las VLAN que utiliza cada SSID para enviar tráfico etiquetado a la interfaz VLAN.
- Configure una VLAN que la conexión de administración del AP utiliza para enviar tráfico no etiquetado hacia la interfaz VLAN.
- Habilite el servidor DHCP o la retransmisión DHCP para cada VLAN.
- El AP obtiene una dirección IP del servidor DHCP en la VLAN utilizada para las comunicaciones de administración.
- Los clientes inalámbricos que se conecten a un SSID obtienen una dirección IP del servidor DHCP en la VLAN para esa SSID.
Si configura un AP que existe en múltiples VLANs, el AP solicitará una dirección IP de DHCP en cada VLAN.
Por ejemplo, si desea crear dos SSID que usan etiquetas VLAN, puede crear tres VLAN con las ID de VLAN 10, 20, y 30.
- ID de VLAN 10, en la zona de Confianza — Para el SSID para conexiones inalámbricas a la red de confianza
- ID de VLAN 20, en la zona Personalizada u Opcional — Para el SSID para acceso invitado inalámbrico a Internet. Una zona Personalizada es más segura.
- ID de VLAN 30, en la zona De Confianza — Para comunicaciones de administración al AP
Para obtener información sobre cómo crear una VLAN, consulte Definir una nueva VLAN.
Después de crear las VLANs, configura la interfaz del Firebox a la cual se conectan los APs como una interfaz VLAN.
Para configurar la interfaz a la cual se conectan los APs, en Policy Manager:
- Edite la interfaz a la cual se conectan sus APs.
- En la lista desplegable Tipo de interfaz, seleccione VLAN.
- Configure la interfaz para enviar y recibir tráfico etiquetado para cada una de las VLAN para sus SSIDs.
- Configure la interfaz para enviar y recibir tráfico no etiquetado para la VLAN para las comunicaciones de administración al AP.
Para obtener más información acerca de cómo configurar la interfaz VLAN, consulte Asignar Interfaces a una VLAN.
Cambiar una Interfaz De confianza u Opcional a una Interfaz VLAN
En algunos casos, tal vez desee cambiar su interfaz primaria de red cableada De confianza u Opcional a una interfaz de VLAN para adaptar su configuración VLAN inalámbrica.
Por ejemplo, es posible que haya configurado originalmente sus APs inalámbricos para que estén en una interfaz inalámbrica De Confianza que se encuentra en una subred diferente a su interfaz de red cableada De Confianza. Esto significa que sus clientes inalámbricos no se pueden conectar a dispositivos como servidores o impresoras de su LAN De confianza.
Puede cambiar su interfaz de red cableada De confianza u Opcional a una VLAN, y luego asignar la VLAN como no etiquetada a la red cableada existente; y posteriormente, en su interfaz de VLAN inalámbrica, asignar esa misma VLAN como una VLAN etiquetada. Se requiere un conmutador compatible con VLAN, o los puntos de acceso inalámbricos se deben conectar directamente al Firebox.
Recomendamos usar Policy Manager para realizar esta tarea. Fireware Web UI requiere de una conexión de administración a su interfaz de confianza que se debe deshabilitar temporalmente durante el procedimiento.
Para cambiar su interfaz De confianza u Opcional a una interfaz VLAN en Policy Manager:
- Conéctese al dispositivo Firebox con WatchGuard System Manager.
- Abre el Policy Manager.
- Vaya a Red > Configuración y configure la interfaz De confianza u Opcional que desee cambiar a una VLAN.
- Copie todos los ajustes de esta interfaz, incluyendo la dirección IP, la configuración de DHCP, y los ajustes en las pestañas IPv6, Secundaria, Control de Acceso a MAC y Avanzado.
- En la lista desplegable Tipo de Interfaz, seleccione VLAN y luego haga clic en Aceptar.
- Haga clic en Enviar y recibir tráfico etiquetado para las VLAN seleccionadas.
- Haga clic en Nueva VLAN.
- Configure el perfil de la nueva interfaz de VLAN de manera idéntica a como se configuró la interfaz De confianza con la misma dirección IP y otros ajustes, según lo descrito en el paso 4.
- Ingrese un Nombre o Alias para la VLAN nueva.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción del puente.
- En la lista de Zona de Seguridad, seleccione De confianza.
- Ingrese la dirección IP en notación diagonal para el uso de la VLAN. Asegúrese de que la configuración sea idéntica a la manera en que se configuró la interfaz De confianza u Opcional.
- Configure los ajustes de DHCP para la distribución de direcciones IP para la VLAN.
- Haga clic en Aceptar para guardar la configuración de la interfaz de VLAN.
- (Opcional). Si planea usar VLANs etiquetadas en esta interfaz, marque la casilla de selección Miembro para las VLANs inalámbricas y otras que desee usar en esta interfaz.
Si no tiene ninguna VLAN etiquetada, puede omitir este paso. - Haga clic en Aceptar para guardar la configuración de la interfaz.
Configurar VLAN en un conmutador controlado
Si habilita el etiquetado VLAN y desea conectar su AP a un conmutador administrado, también debe configurar las VLANs en el conmutador. El conmutador debe ser compatible con el etiquetado VLAN 802.1Q.
En el conmutador, debe:
- Agregue las VLAN con las mismas ID que las VLAN que configuró en el Firebox.
- Configure las interfaces del conmutador que se conectan al Firebox y al AP para enviar y recibir tráfico etiquetado para las VLANs asignadas a cada SSID.
- Configure las interfaces del conmutador que se conectan al Firebox y al AP para enviar y recibir tráfico etiquetado o no etiquetado para la administración del AP.
- Si el etiquetado VLAN de comunicaciones de administración no está habilitado en la configuración del AP, configure el conmutador para enviar y recibir tráfico no etiquetado para la VLAN que usted usa para la administración del AP.
- Si el etiquetado VLAN de comunicaciones de administración está habilitado para el AP, configure el conmutador para enviar y recibir tráfico etiquetado para la VLAN que usted usa para la administración del AP.
Para instrucciones sobre cómo activar y configurar las VLAN en su conmutador, consulte la documentación para su conmutador.
Si ha habilitado el etiquetado VLAN en los SSIDs en su AP, no conecte el AP a un conmutador que no sea compatible con el etiquetado VLAN 802.1Q.