Implementar Dispositivos AP a través de una BOVPN con un Controlador Inalámbrico de Puerta de Enlace

Archivos de configuración creados con — Policy Manager v11.12

Archivos de configuración creados para — Fireware v11.12

---

Caso de Uso

Una empresa desea implementar las mismas redes inalámbricas para los empleados internos y los invitados en la ubicación de la sede, así como en las ubicaciones remotas de sucursales, usando Puntos de Acceso (AP) de WatchGuard.

Puede usar un Controlador Inalámbrico de Puerta de Enlace en un Firebox de WatchGuard en cada sucursal y usar la misma configuración que la del Firebox en su sede. Esto es útil para implementaciones pequeñas con pocas sucursales, pero en este ejemplo, la compañía quiere usar un Controlador Inalámbrico de Puerta de Enlace en el Firebox desde la ubicación de la sede para descubrir y administrar todos los dispositivos AP en la sede y en las sucursales remotas a través de VPNs de sucursal (BOVPN).

Esta solución está prevista para su uso con dispositivos AP administrados localmente en un Controlador Inalámbrico de Puerta de Enlace en un Firebox. WatchGuard también proporciona una solución de administración de Nube Wi-Fi que le permite administrar sus redes inalámbricas empresariales en todas las ubicaciones de la compañía con administración basada en la nube. Para más información, consulte Nube Wi-Fi de WatchGuard.

Esta configuración de ejemplo se proporciona como una guía básica. Su entorno de red real puede requerir una configuración adicional.

Descripción de la Solución

Puede usar un Controlador Inalámbrico de Puerta de Enlace en un Firebox en la ubicación de la sede para administrar los dispositivos AP instalados localmente y también en ubicaciones de sucursales remotas a través de una VPN de sucursal.

Cómo Funciona

Todos los dispositivos AP se deben emparejar con el Controlador Inalámbrico de Puerta de Enlace desde su ubicación en la sede y luego deben asignarse las direcciones IP estáticas apropiadas para la instalación en las sucursales remotas. Cuando los dispositivos AP remotos se instalan en las sucursales, el Controlador Inalámbrico de Puerta de Enlace en la ubicación de la sede podrá comunicarse con y administrar los dispositivos AP a través de la VPN de la sucursal.

Archivos de Configuración de Ejemplo

Para su referencia, hemos incluido archivos de configuración de ejemplo con este documento. Para examinar los detalles de los archivos de configuración de ejemplo, puede abrirlos con Policy Manager. Estos archivos de configuración se incluyen en los archivos wireless_BOVPN_single_SSID_configs.zip y wireless_BOVPN_two_SSID_configs.zip.

• Firebox M200 con un SSID Único a través de una BOVPN - M200_ADV_WIFI_BOVPN_SINGLE SSID.xml.
• Firebox T50-W con un SSID Único a través de una BOVPN — T50W_BO_ADV_BOVPN_SINGLE SSID.xml.
• Firebox M200 con Dos SSIDs a través de una BOVPN — M200_WIFI_BOVPN_TWO SSID.xml.
• Firebox T50-W con Dos SSIDs a través de una BOVPN — T50W_WIFI_BOVPN_TWO SSID.xml.

Requisitos

Esta configuración de ejemplo tiene estos requisitos:

• Realice un sondeo inalámbrico para optimizar el uso del canal y proporcionar suficiente cobertura inalámbrica en la sucursal remota.
• Asegúrese de que el Firebox que aloja el Controlador Inalámbrico de Puerta de Enlace tenga el tamaño adecuado para administrar el número de dispositivos AP para la ubicación de la sede y todas las sucursales.
• Esta configuración de ejemplo es para un Firebox de WatchGuard que ejecuta Fireware v11.12 o posterior. Las sucursales remotas pueden usar firewalls de terceros como extremos BOVPN. Los Firewalls deben permitir el puerto TCP 443 y UDP 2829 a través de la VPN para la administración de dispositivos AP.
• Los Firebox de WatchGuard deben tener una suscripción válida de Live Security.

Configuración para un SSID Único y Dos SSIDs

En este ejemplo, la empresa tiene una sede con un Firebox M200 y una sucursal remota con un Firebox T50W enlazados con una VPN de sucursal.

El primer ejemplo usa un SSID único para la difusión de los usuarios invitados desde la ubicación de la sede y la ubicación remota de la sucursal. El segundo ejemplo usa dos SSIDs, uno para la difusión de usuarios internos y otro para usuarios invitados desde la ubicación de la sede y la ubicación remota de la sucursal.

El Controlador Inalámbrico de Puerta de Enlace en el Firebox M200 administra un único dispositivo AP en la red inalámbrica en la ubicación de la sede. Todos los dispositivos AP que se instalarán en la sucursal remota se emparejan con el Controlador Inalámbrico de Puerta de Enlace, y luego se les asigna una dirección IP estática para que puedan descubrirse cuando se instalen en la ubicación remota.

Explicación de la Configuración

La zona Wi-Fi LAN en oficinas remotas usa: 10.x.y.0, donde x está vinculada al sitio e y a la zona inalámbrica.

SSID Único

• LAN de confianza de la Sede: 10.220.1.0/24
• Zona Wi-Fi de la Sede: 10.220.6.0/24
• LAN de confianza de la Sucursal: 10.50.1.0/24
• Zona Wi-Fi de la Sucursal: 10.50.6.0/24

SSID único a través de una BOVPN configurado con dos ubicaciones, controlado por la sede

Dos SSIDs

• LAN de confianza de la Sede: 10.220.1.0
• Red Wi-Fi de Invitados de la Sede: 10.220.50.0
• Red Wi-Fi Interna de la Sede: 10.220.55.0
• LAN de confianza de la Sucursal: 10.50.1.0
• Red Wi-Fi de Invitados de la Sucursal: 10.50.50.0
• Red Wi-Fi Interna de la Sucursal: 10.50.55.0

Dos SSIDs a través de una BOVPN configurados con dos ubicaciones, controlados por la sede

Todos los dispositivos AP que se instalarán en la sucursal remota se emparejan primero con el Controlador Inalámbrico de Puerta de Enlace en la ubicación de la sede. Los APs de WatchGuard deben estar conectados a una red de confianza u opcional en el Firebox que tiene DHCP habilitado. Para obtener instrucciones sobre cómo emparejar un AP con el Controlador Inalámbrico de Puerta de Enlace, consulte Descubrimiento y conexión con el dispositivo AP WatchGuard.

Punto de Acceso emparejado en el Controlador Inalámbrico de Puerta de Enlace

Después de descubrir y emparejar un AP de WatchGuard con un Controlador Inalámbrico de Puerta de Enlace, puede asignar una dirección IP estática en lugar de la dirección DHCP predeterminada para permitir una administración más fácil de los dispositivos AP a través de la VPN. La dirección IP estática se debe configurar en la misma red definida en la ubicación de la sucursal remota.

En este ejemplo, editamos la configuración del dispositivo AP emparejado, cambiamos el nombre del AP para reflejar la nueva ubicación, y cambiamos la configuración de red para que el AP use una dirección IP estática para la red inalámbrica remota.

Cuando guarde la configuración, perderá la conectividad con el dispositivo AP porque la dirección IP asignada es para la red de la sucursal remota.

Ahora puede entregar los APs a sus respectivas sucursales para su instalación en su nueva red. Cuando los APs estén conectados en la red de la sucursal remota, podrá administrarlos desde el Controlador Inalámbrico de Puerta de Enlace en la ubicación de la sede.

Si el AP tiene conectividad, aparecerá como Conectado en el Controlador Inalámbrico de Puerta de Enlace en el Firebox en la ubicación de la sede.

Conclusión

Puede repetir estos procedimientos para múltiples APS que se entregarán a sucursales remotas. Debe implementar y emparejar los dispositivos AP en la ubicación de la sede y luego asignar direcciones IP estáticas para sus redes de destino previstas.

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.