Contents

Temas Relacionados

Acerca del Aislamiento de Cliente AP

Cuando configura un SSID para el AP, puede opcionalmente habilitar el aislamiento de cliente. El ajuste de aislamiento de cliente le permite controlar si los clientes inalámbricos pueden comunicarse directamente entre sí a través de un AP. El aislamiento de cliente previene el tráfico directo entre los clientes inalámbricos que se conectan al mismo SSID en el mismo radio.

También puede utilizar el aislamiento de cliente para prevenir el tráfico entre clientes inalámbricos que utilizan el mismo SSID en diferentes APs, pero esto requiere una configuración adicional con VLANs, como se describe en las siguientes secciones.

Recomendamos que habilite el aislamiento de cliente para SSIDs en APs que proporcionan una red inalámbrica de invitado para clientes inalámbricos que no son de confianza entre sí.

Aislamiento de Cliente para un Solo AP

Para habilitar el aislamiento de cliente en un AP, marque la casilla de selección Habilitar el aislamiento de cliente en los ajustes del SSID.

Para obtener más información, consulte Configurar los SSID de WatchGuard AP.

Aislamiento de Cliente para Múltiples APs

Cuando el aislamiento de cliente está habilitado en un solo AP que utiliza el mismo SSID que otro AP, el tráfico aún puede pasar entre los clientes inalámbricos que están conectados a otros APs. Para implementar eficazmente el aislamiento de cliente para un SSID utilizado por más de un AP, también debe asegurarse de que todo el tráfico entre los APs pase por el Firebox. El Firebox puede entonces utilizar VLANs para aplicar al tráfico las políticas compatibles con la configuración de aislamiento de cliente.

Puede utilizar una VLAN con aislamiento de cliente para prevenir el tráfico directo entre los clientes inalámbricos que utilizan el mismo SSID mientras están conectados a diferentes APs.

Para implementar el aislamiento de cliente para más de un AP, debe:

  1. Agregar una VLAN y configurarla para aplicar políticas de firewall al tráfico interno de VLAN.

Para asegurarse de que el mismo grupo de direcciones IP se utilice para los clientes inalámbricos que se conectan a la SSID en cualquier AP, debe configurar una VLAN. Para que el roaming inalámbrico funcione correctamente, todos los SSID deben estar en la misma red. Al configurar la VLAN para aplicar las políticas para el tráfico interno de la VLAN, el Firebox aplica políticas de firewall al tráfico de VLAN de una interfaz con el destino de la misma VLAN en otra interfaz.

  1. Para cada AP, configure una interfaz VLAN para administrar el tráfico VLAN no etiquetado.
    O bien, habilite el etiquetado de VLAN de comunicaciones en la configuración del AP y seleccione una ID de VLAN que se usará para las comunicaciones de administración.
  1. Configurar los ajustes del SSID para habilitar el aislamiento de cliente.

No es necesario habilitar el etiquetado de la VLAN en los ajustes del SSID si las interfaces de VLAN se configuran para administrar el tráfico no etiquetado.

  1. Conecte cada AP directamente a una interfaz VLAN en el Firebox.

Esto garantiza que todo el tráfico entre los APs pase a través del Firebox.

Dado que las políticas de firewall predeterminadas deniegan automáticamente el tráfico entre los APs en dos interfaces diferentes, usted no tiene que crear una política para negar explícitamente ese tráfico. Por ejemplo, si configura una VLAN en la zona de seguridad Opcional, el Firebox niega automáticamente los paquetes entre dos interfaces como paquetes no controlados porque no responden a ninguna de las políticas de firewall configuradas. Para evitar el tráfico entre APs, asegúrese de no agregar una política que permita el tráfico de Opcional a Opcional.

También puede habilitar el etiquetado VLAN en el SSID y configurar las interfaces VLAN para administrar el tráfico etiquetado, pero no se requiere el etiquetado de VLAN para el aislamiento de cliente. Si habilita el etiquetado VLAN, debe configurar dos VLANs: una para el tráfico SSID etiquetado y otra para el tráfico no etiquetado de comunicaciones de administración. O bien, puede habilitar una VLAN y configurar el AP para habilitar el etiquetado VLAN de comunicaciones de administración para esa VLAN en la configuración del AP.
Para obtener más información, consulte Configurar VLAN para WatchGuard AP.

Ejemplo — Aislamiento de Cliente y Roaming

Este ejemplo muestra cómo implementar el aislamiento de cliente para una red inalámbrica de invitados con dos dispositivos AP100 que utilizan el mismo SSID.

Paso 1 — Configurar la VLAN

Primero, configure las interfaces VLAN y las VLANs para los APs.

Para configurar las VLAN, desde la Fireware Web UI:Closed
  1. Configure dos interfaces Firebox como interfaces VLAN.
    Por ejemplo, las dos interfaces de VLAN podrían tener esta configuración:
    • Nombres de las Interfaces — AP100-1 y AP100-2
    • Tipo de Interfaz — VLAN
  2. Cree una VLAN a utilizar para el tráfico a un SSID.
    Por ejemplo, la VLAN podría tener esta configuración:
    • Nombre — AP100-Guest
    • ID de VLAN — 20
    • Zona de Seguridad — Opcional
    • Dirección IP — 10.0.20.1/24
    • Ajustes de etiquetas VLAN — Tráfico no etiquetado para las interfaces VLAN AP100-1 y AP100-2
    • Aplicar las políticas de firewall al tráfico interno en VLAN — Habilitado
    • Red — Grupo de Direcciones de Servidor DHCP: 10.0.20.10 a 10.0.20.100

Captura de pantalla de la configuración de la VLAN para la VLAN AP100-Guest

Para configurar las VLAN, desde Policy Manager:Closed
  1. Cree una VLAN para aplicar el etiquetado VLAN para el tráfico a un SSID.
    Por ejemplo, la VLAN podría tener estas propiedades:
    • Nombre (Alias) — AP100-Guest
    • ID de VLAN — 20
    • Zona de Seguridad — Opcional
    • Dirección IP — 10.0.20.1/24
    • Grupo de Direcciones de Servidor DHCP — 10.0.20.10 a 10.0.20.100
    • Aplicar las políticas de firewall al tráfico interno en VLAN — Habilitado

Captura de pantalla del cuadro de diálogo Editar VLAN para la VLAN AP100-Guest

  1. Configure una interfaz VLAN en el primer AP.
    Por ejemplo, la primera VLAN podría tener estas propiedades:
    • Nombre de Interfaz — AP100-1
    • Tipo de Interfaz — VLAN
    • Tráfico no etiquetado enviado y recibido para la VLAN AP100-Guest (10.0.20.1/24)

Captura de pantalla de la Configuración de Interfaz para la interfaz VLAN AP100-1

  1. Configurar una interfaz VLAN en el segundo AP.
    Por ejemplo, la segunda VLAN podría tener estas propiedades:
    • Nombre de Interfaz — AP100-2
    • Tipo de Interfaz — VLAN
    • Tráfico no etiquetado enviado y recibido para la VLAN AP100-Guest (10.0.20.1/24)

Para obtener más información sobre cómo configurar una VLAN, consulte Definir una Nueva VLAN.

Paso 2 — Configurar el SSID

A continuación, habilite el aislamiento de cliente en la configuración del SSID.

Para habilitar el aislamiento de cliente, desde Fireware Web UI:Closed
  1. Agregue o edite un SSID para su red inalámbrica para invitados.
  2. Marque la casilla de selección Habilitar el aislamiento de cliente.

Captura de pantalla de la configuración de  SSID de Cliente AP100

Dado que la VLAN AP-Guest en este ejemplo es una VLAN no etiquetada, no tiene que habilitar el etiquetado VLAN en la configuración del SSID.

Para habilitar el aislamiento de cliente, desde Policy Manager:Closed
  1. Agregue o edite un SSID para su red inalámbrica para invitados.
  2. Marque la casilla de selección Habilitar el aislamiento de cliente.

Captura de pantalla del cuadro de diálogo Editar SSID de Cliente AP100

Dado que la VLAN AP-Guest en este ejemplo es una VLAN no etiquetada, no tiene que habilitar el etiquetado VLAN en la configuración del SSID.

Para más información sobre la configuración del SSID, consulte Configurar los SSID de WatchGuard AP.

Paso 3 — Conecte los APs a las Interfaces VLAN

Después de ajustar las interfaces VLAN y la configuración de SSID:

  1. Conecte los APs a las interfaces VLAN.
  2. Descubra y enlace cada AP.
  3. Configure ambos APs para utilizar el SSID que configuró.

Para obtener más información sobre el descubrimiento y enlace, consulte Descubrimiento y Conexión con WatchGuard AP.

Acerca de Este Ejemplo

Este ejemplo de configuración evita el tráfico inalámbrico directo entre clientes inalámbricos que se conectan a la SSID AP100-Guest. Los dos componentes principales de esta configuración son:

  • Aislamiento de cliente — El ajuste de aislamiento de cliente en el SSID se asegura de que los clientes inalámbricos que se conectan al mismo radio no se puedan conectar directamente entre sí.
  • VLAN — La configuración del firewall y de la VLAN se asegura de que el tráfico no pueda pasar entre los clientes inalámbricos que se conectan a la SSID AP100-Guest en diferentes APs.

Este ejemplo muestra cómo configurar el aislamiento de cliente para dos APs. Para agregar un tercer AP, configure otra interfaz VLAN para manejar el tráfico VLAN no etiquetado para la VLAN definida. A continuación, conecte el AP a la interfaz VLAN y configúrelo para utilizar el SSID definido.

Ver también

Configurar los SSID de WatchGuard AP

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.