Contents

Temas Relacionados

Implementación de Dispositivos AP con VLANs y Red de Invitados

Si tiene un entorno de red complejo con requisitos de seguridad y políticas para usuarios inalámbricos, puede habilitar las VLAN en los SSIDs para su red inalámbrica. Las VLAN le permiten aplicar políticas de seguridad inalámbrica a cada SSID en el Firebox y separar el tráfico de red para cada SSID en una VLAN dedicada.

Con este escenario de implementación, existen dos métodos principales que puede utilizar para conectar físicamente su dispositivo WatchGuard AP a la red:

  • Conectar el dispositivo AP directamente al Firebox en una red de Confianza, Opcional o Personalizada configurada como una interfaz VLAN. Usted crea VLAN en el Firebox para un control de dispositivos AP, y para cada SSID inalámbrico.

Diagrama de red de dos dispositivos AP conectados a dos interfaces de Firebox

  • Conectar el dispositivo AP a un conmutador de red controlado y configurado con la información de la VLAN para los SSID relacionados. También puede configurar las mismas VLAN en el Firebox, de modo que pueda utilizar las VLAN en políticas de firewall para cada SSID.

Diagrama de red de dos dispositivos AP conectados a un conmutador conectado a un Firebox

Implementación de AP y Políticas de Firebox

Los usuarios inalámbricos que se conectan al SSID para una VLAN específica pueden tener acceso a otros recursos en la misma VLAN, pero que no tienen automáticamente el acceso a los recursos conectados a otras interfaces o VLAN en la misma zona de seguridad, tales como de confianza, personalizada u opcional. Debe crear políticas adicionales de Firebox si desea permitir el tráfico a otras interfaces y VLAN.

Interfaz Personalizada y Seguridad Inalámbrica de Invitados

Se recomienda la zona de seguridad de la interfaz Personalizada para la interfaz inalámbrica de invitados. De manera predeterminada, no se incluyen las interfaces Personalizadas en las políticas de firewall, por lo que se trata de un punto inicial seguro para prevenir las conexiones inalámbricas de usuarios invitados a los recursos de una red De confianza u Opcional. Debe crear específicamente políticas de acceso a la zona de seguridad personalizada, incluido el acceso de salida y el acceso a otras interfaces y redes.

Tipos de VLAN requeridas

Para habilitar el etiquetado VLAN en sus SSID de dispositivo AP, existen dos tipos de VLAN que debe crear:

  • VLAN etiquetadas para SSIDs: el dispositivo AP utiliza VLAN etiquetadas para separar el tráfico inalámbrico de cada SSID. Debe crear una VLAN etiquetada para cada SSID que configure en su red inalámbrica.
  • VLAN no etiquetada para control de dispositivo AP — El Controlador Inalámbrico de Puerta de Enlace en el Firebox descubre y controla todos los dispositivos WatchGuard AP por medio de una conexión de administración especial. Debe crear una VLAN separada y sin etiquetar para utilizar con conexiones de administración para sus dispositivos AP. La dirección IP de administración del dispositivo AP no puede ser una dirección IP en una VLAN etiquetada.

Si habilita el etiquetado VLAN para la comunicación de administración en la configuración del dispositivo AP, el Firebox puede usar una VLAN etiquetada para las conexiones de administración al dispositivo AP. Aun así se requiere una VLAN no etiquetada para la conexión inicial a un dispositivo AP que aún no se ha enlazado.

Puede escoger entre dos métodos distintos para configurar las VLAN en base al sitio donde conecte el dispositivo AP en su red:

  • Conectar el dispositivo AP directamente a un Firebox — Para conectar el dispositivo AP directamente al Firebox, debe configurar las VLAN en la interfaz del Firebox al que se conecta el dispositivo AP.
    1. En Firebox, cree una VLAN para la administración de dispositivos AP y otras VLAN para todos los SSID inalámbricos.
    2. Configure la interfaz del Firebox para enviar y recibir tráfico etiquetado para las VLAN para cada uno de los SSID, y para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones del dispositivo AP.
  • Conectar el dispositivo AP a un conmutador administrado — Para conectar el dispositivo AP a un conmutador administrado, se configuran las VLAN en las interfaces de conmutador administradas y en la interfaz del Firebox a la cual se conecta el conmutador.
    1. En Firebox, cree una VLAN para la administración de dispositivos AP y otras VLAN para todos los SSID inalámbricos.
    2. Configure la interfaz del Firebox para enviar y recibir tráfico etiquetado para las VLAN para cada uno de los SSID, y para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones del dispositivo AP.
    3. En el conmutador, configure las interfaces que se conectan al Firebox y al dispositivo AP para enviar y recibir tráfico etiquetado para las VLAN para cada uno de los SSID. Configure las mismas interfaces en el conmutador para enviar y recibir tráfico no etiquetado para la VLAN de comunicaciones de administración del dispositivo AP.

Para obtener más información sobre cuándo y cómo configurar las VLAN para usar con dispositivos WatchGuard AP, consulte Configurar VLAN para los dispositivos AP WatchGuard.

Para obtener más información sobre cómo activar las VLAN etiquetadas y sin etiquetar en interfaces de conmutador, consulte la documentación para su conmutador.

Crear VLAN en Firebox

En este ejemplo de configuración, creamos tres VLAN:

VLAN para acceso inalámbrico de confianza

  • Descripción — se utiliza para la red primaria inalámbrica de confianza.
  • ID de VLAN — 10
  • Tipo de interfaz — De confianza
  • Dirección IP — 10.0.10.1/24
  • Alcance DHCP — 10.0.10.2 - 10.0.10.20

VLAN para acceso invitado inalámbrico

  • Descripción — Se utiliza para la red inalámbrica invitada.
  • ID de VLAN — 20
  • Tipo de interfaz — Personalizada
  • Dirección IP — 10.0.20.1/24
  • Alcance DHCP — 10.0.20.2 - 10.0.20.20

Recomendamos la zona de seguridad de la interfaz personalizada para la interfaz inalámbrica de invitados porque por defecto la interfaz personalizada no tiene políticas de acceso y es un punto de partida seguro para evitar que los usuarios inalámbricos invitados tengan acceso a una red de confianza u opcional.

VLAN No Etiquetada para Administración de Dispositivo AP

  • Descripción — Se utiliza para descubrimiento y administración de dispositivos AP por el Controlador Inalámbrico de Puerta de Enlace.
  • ID de VLAN — 30
  • Tipo de interfaz — De confianza
  • Dirección IP — 10.0.30.1/24
  • Alcance DHCP — 10.0.30.2 - 10.0.30.20

Crear una VLAN para el SSID Inalámbrico de Confianza

Para crear una VLAN para el SSID inalámbrico de confianza en su Firebox, desde Fireware Web UI:Closed
  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.
  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN10.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para la red inalámbrica de confianza.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 10.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN inalámbrica de confianza, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese10.0.10.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.10.2 y 10.0.10.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, etiquetamos el tráfico VLAN inalámbrico de confianza.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.
Para crear una VLAN para el SSID inalámbrico de confianza en su Firebox, desde Policy Manager:Closed
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.
  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN10.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para la red inalámbrica de confianza.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 10.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN inalámbrica de confianza, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese10.0.10.1/24.
  6. Seleccione Utilizar Servidor DHCP y haga clic en Agregar
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.10.2 y 10.0.10.20.
  8. Haga clic en Aceptar para guardar la configuración de esta VLAN.

Crear una VLAN para el SSID Inalámbrico Invitado

Para crear una VLAN para el SSID inalámbrico de confianza en su Firebox, desde Fireware Web UI:Closed
  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.
  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN20.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para la red inalámbrica de invitados.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 20.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN inalámbrica invitada, Personalizada.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese, 10.0.20.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.20.2 y 10.0.20.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, etiquetamos el tráfico VLAN inalámbrico de invitados.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.
Para crear una VLAN para el SSID inalámbrico invitado en el Firebox, desde Policy Manager:Closed
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.
  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN20.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para la red inalámbrica invitada.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 20.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.

Para este ejemplo, seleccione Personalizada. Le recomendamos la zona Personalizada porque el tráfico para una interfaz personalizada no se permite a través de Firebox a no ser que específicamente configure políticas para permitirlo. Esto es importante para la seguridad de la red inalámbrica de invitados para asegurarse de que los usuarios invitados no puedan acceder a una red de confianza u opcional.

Cuando use la zona de seguridad Personalizada, debe agregar específicamente la red inalámbrica de invitados a su política Saliente para permitir el acceso a los usuarios inalámbricos invitados.

  1. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para este ejemplo, ingrese 10.0.20.1/24.
  2. Seleccione Utilizar Servidor DHCP y haga clic en Agregar
  3. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para este ejemplo, ingrese 10.0.20.2 y 10.0.20.20.
  4. Haga clic en Aceptar para guardar la configuración VLAN.

Crear una VLAN para Administración de Dispositivo AP

Para crear una VLAN para conexiones de administración de dispositivo AP en el Firebox, desde Fireware Web UI:Closed
  1. Seleccione Red > VLAN.
  2. Haga clic en Agregar.
  1. En el cuadro de texto Nombre, ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN30.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para conexiones de administración AP.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 30.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN de comunicaciones del dispositivo AP, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para esta VLAN, ingrese, 10.0.30.1/24.
  6. En la pestaña Red, agregue un servidor DHCP.
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para esta VLAN, ingrese 10.0.30.2 y 10.0.30.20.
  8. Seleccione los ajustes de etiqueta VLAN para su interfaz VLAN. En este ejemplo, no etiquetamos el tráfico VLAN de comunicaciones del AP.
  9. Haga clic en Guardar para guardar la configuración de esta VLAN.

Cuando esté completo, las configuraciones del ejemplo VLAN se debe ver así:

Para crear una VLAN para conexiones de administración de dispositivo AP en el Firebox, desde Policy Manager:Closed
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña VLAN.
  3. Haga clic en Agregar.
  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para esta VLAN.
    Para este ejemplo, ingrese VLAN30.
  2. En el cuadro de texto Descripción, ingrese un comentario descriptivo para esta VLAN.
    Para este ejemplo, ingrese VLAN para conexiones de administración AP.
  3. En el cuadro de texto ID de VLAN, ingrese un número de ID de VLAN.
    Para este ejemplo, ingrese 30.
  4. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad para esta VLAN y SSID.
    Para este ejemplo, seleccione la interfaz VLAN de comunicaciones del dispositivo AP, De confianza.
  5. En el cuadro de texto Dirección IP, escriba la dirección IP para la interfaz VLAN en notación diagonal.
    Para este ejemplo, ingrese 10.0.30.1/24.
  6. Seleccione Utilizar Servidor DHCP y haga clic en Agregar
  7. En los cuadros de texto IP de Inicio e IP de Finalización, ingrese las direcciones IP para el alcance DHCP.
    Para este ejemplo, ingrese 10.0.30.2 y 10.0.30.20.
  8. Haga clic en Aceptar para guardar la configuración VLAN.

Cuando esté completo, las configuraciones del ejemplo VLAN se debe ver así:

Agregar VLAN a una Interfaz de Red (Policy Manager)

Si utiliza Policy Manager, debe agregar estas VLAN a una interfaz de red y seleccionar las opciones de etiquetado.

Para agregar VLAN a una interfaz de red, desde Policy Manager:Closed
  1. Seleccione Red > Configuración.
  2. Seleccione la pestaña Interfaces.
  3. Seleccione la interfaz de red que se utilizará para las VLAN y haga clic en Configurar.
    Aparece el cuadro de diálogo Configuración de interfaz para la interfaz seleccionada.
  1. En el cuadro de texto Nombre de Interfaz, ingrese un nombre para esta interfaz VLAN.
  2. En el cuadro de texto Descripción de interfaz, ingrese una descripción para esta interfaz de VLAN.
  3. En la lista desplegable Tipo de interfaz, seleccione VLAN.
  4. Para recibir datos VLAN etiquetados en esta interfaz de red, marque la casilla de selección Enviar y recibir tráfico etiquetado para VLAN seleccionadas.
  5. Seleccione la casilla de selección Miembro para cada VLAN etiquetada que se incluirá en esta interfaz.
    Para este ejemplo, seleccione VLAN10 y VLAN20.
    Solo se etiquetan las VLAN de SSID. La VLAN de comunicaciones del dispositivo AP debe permanecer sin etiquetar.
  6. Para configurar la interfaz para que reciba datos sin etiquetar, seleccione la casilla de selección Enviar y recibir tráfico sin etiquetar para las VLAN seleccionadas.
    Para enviar y recibir datos no etiquetados para la VLAN de comunicaciones de AP, debe seleccionar esta opción.
  7. En la lista desplegable, seleccione la VLAN de comunicaciones del dispositivo AP, VLAN30, como la VLAN no etiquetada.
  8. Haga clic en Aceptar.
  9. Guarde el archivo de configuración en el Firebox.

Agregar los SSIDs al Controlador Inalámbrico de Puerta de Enlace

Para agregar SSID al Controlador Inalámbrico de Puerta de Enlace para este ejemplo de implementación, desde Fireware Web UI:Closed
  1. Seleccione Red > Controlador Inalámbrico de Puerta de Enlace.
  2. Seleccione la casilla de selección Activar Controlador Inalámbrico de Puerta de Enlace.
  3. En la pestaña SSIDs, haga clic en Agregar.
  1. En el cuadro de texto Nombre de red (SSID), ingrese De confianza.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.
    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 10.
  4. En la pestaña Puntos de Acceso, seleccione los dispositivos AP que desea que usen este SSID.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Guardar para guardar la configuración del SSID.
  8. En la pestaña SSIDs, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.
  1. En el cuadro de texto Nombre de red (SSID), ingrese Invitado.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.
    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 20.
  4. En la pestaña Puntos de Acceso, seleccione los dispositivos AP que desea que usen este SSID.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Guardar para guardar la configuración del SSID.
Para agregar SSID al Controlador Inalámbrico de Puerta de Enlace para este ejemplo de implementación, desde Policy Manager:Closed
  1. Seleccione Red > Controlador Inalámbrico de Puerta de Enlace.
    Aparece el cuadro de diálogo Controlador Inalámbrico de Puerta de Enlace, con la pestaña de SSIDs seleccionada.
  2. Seleccione la casilla de selección Activar Controlador Inalámbrico de Puerta de Enlace.
  3. En la pestaña SSIDs, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.
  1. En el cuadro de texto Nombre de red (SSID), ingrese De confianza.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.
    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 10.
  4. En la pestaña Puntos de Acceso, mueva los dispositivos AP con los cuales desee utilizar este SSID desde la lista Disponible a la lista Miembro.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Aceptar para guardar la configuración del SSID.
    Aparece el cuadro de diálogo Controlador Inalámbrico de Puerta de Enlace, con el SSID de confianza en la lista SSID.
  8. En la pestaña SSIDs, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SSID, con la pestaña Configuraciones seleccionada.
  1. En el cuadro de texto Nombre de red (SSID), ingrese Invitado.
  2. Seleccione la casilla de selección Activar etiquetado de VLAN.
    Esto es un requisito ya que esta VLAN de SSID debe estar etiquetada.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione 20.
  4. En la pestaña Puntos de Acceso, mueva los dispositivos AP con los cuales desee utilizar este SSID desde la lista Disponible a la lista Miembro.
  5. Seleccione la pestaña Seguridad.
  6. Configure sus ajustes de cifrado de seguridad inalámbrica para este SSID.
  7. Haga clic en Aceptar.
    Aparece el cuadro de diálogo Controlador Inalámbrico de Puerta de Enlace, con el SSID de confianza e invitado en la lista SSID.
  1. Haga clic en Aceptar para guardar la configuración del Controlador Inalámbrico de Puerta de Enlace.
  2. Guarde el archivo de configuración en el Firebox.

Después de haber configurado los SSID, puede enlazar cualquier dispositivo AP adicional con el Firebox, y asignar estos SSID a los radios en cada dispositivo AP.

Vea también

Acerca de la configuración del dispositivo AP

Configurar Dispositivos AP con el Controlador Inalámbrico de Puerta de Enlace

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.