Contents

Temas Relacionados

Acerca del Aislamiento de Cliente de AP

Cuando configura un SSID para el dispositivo AP, puede opcionalmente habilitar el aislamiento de cliente. La configuración de aislamiento de cliente le permite controlar si los clientes inalámbricos pueden comunicarse directamente entre sí a través de un dispositivo AP. El aislamiento de cliente previene el tráfico directo entre los clientes inalámbricos que se conectan al mismo SSID en el mismo radio.

También puede utilizar el aislamiento de cliente para prevenir el tráfico entre clientes inalámbricos que utilizan el mismo SSID en diferentes dispositivos AP, pero esto requiere una configuración adicional con VLANs, como se describe en las siguientes secciones.

Recomendamos que habilite el aislamiento de cliente para SSIDs en dispositivos AP que proporcionan una red inalámbrica de invitado para clientes inalámbricos que no son de confianza entre sí.

Aislamiento de Cliente para un Solo Dispositivo AP

Para habilitar el aislamiento de cliente en un dispositivo AP, marque la casilla de selección Habilitar el aislamiento de cliente en la configuración de SSID.

Para obtener más información, consulte Configurar los SSID del Dispositivo AP de WatchGuard.

Aislamiento de Cliente para Múltiples Dispositivos AP

Cuando el aislamiento de cliente está habilitado en un solo dispositivo AP que utiliza el mismo SSID que otro dispositivo AP, el tráfico aún puede pasar entre los clientes inalámbricos que están conectados a otros dispositivos AP. Para implementar eficazmente el aislamiento de cliente para un SSID utilizado por más de un dispositivo AP, también debe asegurarse de que todo el tráfico entre los dispositivos AP pase por el Firebox. El Firebox puede entonces utilizar VLANs para aplicar al tráfico las políticas compatibles con la configuración de aislamiento de cliente.

Puede utilizar una VLAN con aislamiento de cliente para prevenir el tráfico directo entre los clientes inalámbricos que utilizan el mismo SSID mientras están conectados a diferentes dispositivos AP.

Para implementar el aislamiento de cliente para más de un dispositivo AP, debe:

  1. Agregar una VLAN y configurarla para aplicar políticas de firewall al tráfico interno de VLAN.

Para asegurarse de que el mismo grupo de direcciones IP se utilice para los clientes inalámbricos que se conectan a la SSID en cualquier dispositivo AP, debe configurar una VLAN. Para que el roaming inalámbrico funcione correctamente, todos los SSID deben estar en la misma red. Al configurar la VLAN para aplicar las políticas para el tráfico interno de la VLAN, el Firebox aplica políticas de firewall al tráfico de VLAN de una interfaz con el destino de la misma VLAN en otra interfaz.

  1. Para cada dispositivo AP, configure una interfaz VLAN para administrar el tráfico VLAN no etiquetado.
    O bien, habilitar el etiquetado de VLAN de comunicaciones en la configuración del dispositivo AP y seleccionar una ID de VLAN que se usará para las comunicaciones de administración.
  1. Configurar los ajustes del SSID para habilitar el aislamiento de cliente.

No es necesario habilitar el etiquetado de la VLAN en los ajustes del SSID si las interfaces de VLAN se configuran para administrar el tráfico no etiquetado.

  1. Conectar cada dispositivo AP directamente a una interfaz VLAN en el Firebox.

Esto garantiza que todo el tráfico entre los dispositivos AP pase a través del Firebox.

Dado que las políticas de firewall predeterminadas niegan automáticamente el tráfico entre los dispositivos AP en dos interfaces diferentes, usted no tiene que crear una política para negar explícitamente ese tráfico. Por ejemplo, si configura una VLAN en la zona de seguridad Opcional, el Firebox niega automáticamente los paquetes entre dos interfaces como paquetes no controlados porque no responden a ninguna de las políticas de firewall configuradas. Para evitar el tráfico entre dispositivos AP, asegúrese de no agregar una política que permita el tráfico de Opcional a Opcional.

También puede habilitar el etiquetado VLAN en el SSID y configurar las interfaces VLAN para administrar el tráfico etiquetado, pero no se requiere el etiquetado de VLAN para el aislamiento de cliente. Si habilita el etiquetado VLAN, debe configurar dos VLANs: una para el tráfico SSID etiquetado y otra para el tráfico no etiquetado de comunicaciones de administración. O bien, puede habilitar una VLAN y configurar el AP para habilitar el etiquetado VLAN de comunicaciones de administración para esa VLAN en la configuración del dispositivo AP.
Para obtener más información, consulte Configurar VLAN para los dispositivos AP WatchGuard.

Ejemplo — Aislamiento de Cliente y Roaming

Este ejemplo muestra cómo implementar el aislamiento de cliente para una red inalámbrica de invitados con dos dispositivos AP100 que utilizan el mismo SSID.

Paso 1 — Configurar la VLAN

Primero, configure las interfaces VLAN y las VLAN para los dispositivos AP.

Para configurar las VLAN, desde la Fireware Web UI:Closed
  1. Configure dos interfaces Firebox como interfaces VLAN.
    Por ejemplo, las dos interfaces de VLAN podrían tener esta configuración:
    • Nombres de las Interfaces — AP100-1 y AP100-2
    • Tipo de Interfaz — VLAN
  2. Cree una VLAN a utilizar para el tráfico a un SSID.
    Por ejemplo, la VLAN podría tener esta configuración:
    • Nombre — AP100-Guest
    • ID de VLAN — 20
    • Zona de Seguridad — Opcional
    • Dirección IP — 10.0.20.1/24
    • Configuración de etiquetas VLAN — Tráfico no etiquetado para las interfaces VLAN AP100-1 y AP100-2
    • Aplicar las políticas de firewall al tráfico interno en VLAN — Habilitado
    • Red — Grupo de Direcciones de Servidor DHCP: 10.0.20.10 a 10.0.20.100
Para configurar las VLAN, desde Policy Manager:Closed
  1. Cree una VLAN para aplicar el etiquetado VLAN para el tráfico a un SSID.
    Por ejemplo, la VLAN podría tener estas propiedades:
    • Nombre (Alias) — AP100-Guest
    • ID de VLAN — 20
    • Zona de Seguridad — Opcional
    • Dirección IP — 10.0.20.1/24
    • Grupo de Direcciones de Servidor DHCP — 10.0.20.10 a 10.0.20.100
    • Aplicar las políticas de firewall al tráfico interno en VLAN — Habilitado
  1. Configure una interfaz VLAN en el primer dispositivo AP.
    Por ejemplo, la primera VLAN podría tener estas propiedades:
    • Nombre de Interfaz — AP100-1
    • Tipo de Interfaz — VLAN
    • Tráfico no etiquetado enviado y recibido para la VLAN AP100-Guest (10.0.20.1/24)
  1. Configure una interfaz VLAN en el segundo dispositivo AP.
    Por ejemplo, la segunda VLAN podría tener estas propiedades:
    • Nombre de Interfaz — AP100-2
    • Tipo de Interfaz — VLAN
    • Tráfico no etiquetado enviado y recibido para la VLAN AP100-Guest (10.0.20.1/24)

Para obtener más información sobre cómo configurar una VLAN, consulte Definir una Nueva VLAN.

Paso 2 — Configurar el SSID

A continuación, habilite el aislamiento de cliente en la configuración del SSID.

Para habilitar el aislamiento de cliente, desde Fireware Web UI:Closed
  1. Agregue o edite un SSID para su red inalámbrica para invitados.
  2. Marque la casilla de selección Habilitar el aislamiento de cliente.

Dado que la VLAN AP-Guest en este ejemplo es una VLAN no etiquetada, no tiene que habilitar el etiquetado VLAN en la configuración del SSID.

Para habilitar el aislamiento de cliente, desde Policy Manager:Closed
  1. Agregue o edite un SSID para su red inalámbrica para invitados.
  2. Marque la casilla de selección Habilitar el aislamiento de cliente.

Dado que la VLAN AP-Guest en este ejemplo es una VLAN no etiquetada, no tiene que habilitar el etiquetado VLAN en la configuración del SSID.

Para más información sobre la configuración del SSID, consulte Configurar los SSID del Dispositivo AP de WatchGuard.

Paso 3 — Conectar los Dispositivos AP a las Interfaces VLAN

Después de ajustar las interfaces VLAN y la configuración de SSID:

  1. Conecte los dispositivos AP a las interfaces VLAN.
  2. Descubra y enlace cada dispositivo AP.
  3. Configure ambos dispositivos AP para utilizar el SSID que configuró.

Para obtener más información sobre el descubrimiento y enlace, consulte Descubrimiento y conexión con el dispositivo AP WatchGuard.

Acerca de Este Ejemplo

Este ejemplo de configuración evita el tráfico inalámbrico directo entre clientes inalámbricos que se conectan a la SSID AP100-Guest. Los dos componentes principales de esta configuración son:

  • Aislamiento de cliente — La configuración de aislamiento de cliente en el SSID se asegura de que los clientes inalámbricos que se conectan al mismo radio no se puedan conectar directamente entre sí.
  • VLAN — La configuración del firewall y de la VLAN se asegura de que el tráfico no pueda pasar entre los clientes inalámbricos que se conectan a la SSID AP100-Guest en diferentes dispositivos AP.

Este ejemplo muestra cómo configurar el aislamiento de cliente para dos dispositivos AP. Para agregar un tercer dispositivo AP, configure otra interfaz VLAN para manejar el tráfico VLAN no etiquetado para la VLAN definida. A continuación, conecte el dispositivo AP a la interfaz VLAN y configúrelo para utilizar el SSID definido.

Vea también

Configurar los SSID del Dispositivo AP de WatchGuard

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.