Puntos de Acceso y VLAN

Aplica A: Puntos de Acceso administrados en WatchGuard Cloud (AP130, AP230W, AP330, AP332CR, AP430CR, AP432) Este tema se aplica a los puntos de acceso Wi-Fi 6 que administra en WatchGuard Cloud (AP130, AP230W, AP330, AP332CR, AP430CR, AP432).

Puede utilizar VLAN (Virtual LAN) con sus puntos de acceso Wi-Fi in WatchGuard Cloud. Si tiene varios puntos de acceso conectados a la misma red física, puede utilizar VLAN para separar lógicamente el tráfico entre SSID.

Por ejemplo, puede crear VLAN para separar el tráfico de la red Wi-Fi privada de confianza y la red Wi-Fi para invitados, o separar el tráfico en función de las VLAN de su red cableada existente.

Las VLAN le permiten mejorar la seguridad, administrar el acceso y reducir el tráfico de difusión de sus redes.

Acerca de las VLAN Dinámicas

Con el firmware v2.2 o superior del punto de acceso y la autenticación WPA2 o WPA3 Enterprise, también puede usar VLAN Dinámicas que le permiten asignar VLAN dinámicamente a un cliente inalámbrico en función de la información devuelta sobre el usuario desde un servidor RADIUS después de la autenticación exitosa.

Esto reduce la administración necesaria para asignar conexiones a VLAN específicas porque las VLAN se asignan automáticamente en función de la membresía de usuario o grupo del usuario en el servidor RADIUS, como un NPS de Active Directory (Servidor de Políticas de Redes).

Para más información, vaya a Configurar VLAN Dinámica de Punto de Acceso.

Acerca de la Configuración de la VLAN

Una VLAN puede ser etiquetada o no etiquetada. Una VLAN etiquetada utiliza un ID de VLAN específico que se agrega a un paquete de red, según el estándar IEEE 802.1Q. Este ID de VLAN permite que el tráfico sea manejado correctamente por conmutadores de red u otros dispositivos de red que tengan el etiquetado de VLAN 802.1Q habilitado en sus puertos. El tráfico de red solo se puede comunicar a otros puertos del conmutador que estén configurados con este ID de VLAN.

Una VLAN no etiquetada significa que al tráfico de red no se le asigna un ID de VLAN específico. Cuando el tráfico no etiquetado llega al conmutador de red u otro dispositivo de puerta de enlace, el tráfico se maneja como parte de la VLAN predeterminada o nativa, como VLAN 0, y se puede comunicar a cualquier otro puerto del dispositivo a otros conmutadores de red o dispositivos.

Si habilita el etiquetado VLAN para SSID en un punto de acceso WatchGuard, o habilita una VLAN de administración etiquetada para un punto de acceso, también debe habilitar VLAN en el conmutador de red, el Firebox u otro dispositivo de puerta de enlace al que se conecte el punto de acceso.

En la configuración predeterminada cuando agrega un punto de acceso a WatchGuard Cloud, el punto de acceso requiere una VLAN no etiquetada para conectarse a la red y comunicarse con WatchGuard Cloud.

• Para obtener más información sobre cómo configurar el etiquetado VLAN en un conmutador de red, vaya a Configurar VLAN en un Conmutador de Red Administrado.
• Para obtener más información acerca de las VLAN en un Firebox, vaya a Configurar las VLAN en un Firebox.
• Para obtener más información general sobre las VLAN, el Etiquetado y los Fireboxes de WatchGuard, vaya a Acerca de las Redes Virtuales de Área Local (VLAN).

Ejemplo de VLAN de Red Inalámbrica

Para separar el tráfico entre sus redes Wi-Fi privadas y para invitados, puede asignar estos ID de VLAN para el tráfico de administración del punto de acceso y para sus SSID inalámbricos privados y para invitados:

• VLAN de Administración — En la mayoría de los entornos, el tráfico de VLAN de administración de puntos de acceso normalmente no está etiquetado para evitar la desconexión de los puntos de acceso del acceso de administración inalámbrica. En la configuración predeterminada, cuando agrega un punto de acceso a WatchGuard Cloud, el punto de acceso requiere una conexión a una red VLAN no etiquetada para conectarse a Internet y comunicarse con WatchGuard Cloud.
  
  Si desea usar una VLAN de administración etiquetada para su implementación de punto de acceso, asegúrese de que el punto de acceso ya esté conectado a la red y se comunique con WatchGuard Cloud en una VLAN no etiquetada antes de cambiar la VLAN de administración a una VLAN etiquetada.
  En este ejemplo, podemos usar el ID de VLAN 10 para las comunicaciones de administración con el punto de acceso.

• Red Wi-Fi Privada (ID de VLAN 20) — VLAN Etiquetada para el SSID privado para conexiones inalámbricas a su red de confianza.

• Red Wi-Fi para Invitados (ID de VLAN 30) — VLAN Etiquetada para el SSID de invitados para acceso inalámbrico de un invitado a Internet.

Configurar una VLAN de Administración en un Punto de Acceso

Antes de configurar una VLAN etiquetada para administrar comunicaciones a un punto de acceso, asegúrese de que el punto de acceso pueda conectarse inicialmente a la red e Internet desde una red VLAN no etiquetada.

En su configuración predeterminada, el punto de acceso requiere una conexión a una red VLAN no etiquetada para conectarse a WatchGuard Cloud y recibir una configuración.

Para configurar una VLAN etiquetada para comunicaciones de administración a un punto de acceso, desde WatchGuard Cloud:

1. Conecte el punto de acceso a una red con una VLAN no etiquetada que tenga acceso a la red y a Internet.
   Esto permite que el punto de acceso mantenga una conexión a la red después de recibir la configuración de WatchGuard Cloud.
2. Seleccione Configurar > Dispositivos.
3. Seleccione un punto de acceso administrado en la nube.
4. Seleccione Configuración del Dispositivo.
5. Desde el mosaico Ajustes, seleccione Ajustes de Dispositivo.

6. Seleccione la casilla de selección Habilitar VLAN de Administración.
7. Seleccione un ID de VLAN del 1 al 4094.
   En este ejemplo, utilizamos la VLAN 10.
8. Haga clic en Guardar.
9. Implemente la configuración al punto de acceso.

Si la red VLAN de administración no etiquetada no tiene acceso a Internet, debe configurar manualmente los ajustes de VLAN de punto de acceso para la VLAN de administración desde la CLI de punto de acceso (Interfaz de Línea de Comandos). Cuando guarda la configuración en el punto de acceso desde la CLI y el dispositivo está configurado en la VLAN correcta, el dispositivo puede conectarse a WatchGuard Cloud y recibir la configuración de la nube. Para más información, vaya a Interfaz de Línea de Comandos del Punto de Acceso.

10. Actualice sus dispositivos de red, como su conmutador de red, el Firebox u otros dispositivos de red, para usar el mismo ID de VLAN etiquetada.

Configurar VLAN en un SSID

Para configurar una VLAN etiquetada en un SSID de red inalámbrica, desde WatchGuard Cloud:

1. Seleccione Configurar > Dispositivos.
2. Seleccione un punto de acceso administrado en la nube.
3. Seleccione Configuración del Dispositivo.
4. En el mosaico Redes Wi-Fi, seleccione SSID.
5. Seleccione un SSID existente para su red Wi-Fi privada, o cree un nuevo SSID.
6. En la sección Red de la configuración inalámbrica, seleccione la casilla de selección Habilitar VLAN.
7. Seleccione un ID de VLAN del 1 al 4094.
   En este ejemplo, utilizamos la VLAN 20 para la red Wi-Fi privada.

8. Haga clic en Guardar.
9. Repita estos pasos para establecer el ID de VLAN para su red Wi-Fi para invitados en 30.

10. Implemente la configuración al punto de acceso.
11. Actualice sus dispositivos de red, como su conmutador de red, el Firebox u otros dispositivos de red, para usar los mismos ID de VLAN etiquetada.

Configurar las VLAN en un Firebox

Si conecta su punto de acceso a una interfaz Firebox, debe configurar VLAN en las interfaces del Firebox para habilitar el etiquetado VLAN para sus SSID.

En el caso de la interfaz Firebox donde conecte su punto de acceso, configure el Tipo de Interfaz a VLAN. Luego, configure las VLANs que se usarán para el punto de acceso.

Para obtener información sobre cómo crear una VLAN en un Firebox, vaya a Configurar VLAN del Firebox.

• Configure las VLAN en el Firebox que utiliza cada SSID para enviar tráfico etiquetado a la interfaz VLAN.
• Si su conexión de administración de puntos de acceso está configurada como una VLAN no etiquetada (sin ID de VLAN de administración configurado), configure una VLAN en el Firebox que la conexión de administración de puntos de acceso utilice para enviar tráfico no etiquetado a la interfaz de VLAN.
• Si habilita una VLAN de administración etiquetada para su punto de acceso, configure una VLAN en el Firebox que la conexión de administración de punto de acceso utilice para enviar tráfico etiquetado a la interfaz de la VLAN.
• Habilite el servidor DHCP o la retransmisión DHCP para cada VLAN.
• El punto de acceso obtiene una dirección IP del servidor DHCP en la VLAN utilizada para las comunicaciones de administración.
• Los clientes inalámbricos que se conecten a un SSID obtienen una dirección IP del servidor DHCP en la VLAN para esa SSID.

Configurar VLAN en un Conmutador de Red Administrado

Si habilita el etiquetado VLAN y desea conectar su punto de acceso a un conmutador administrado, también debe configurar las VLANs en el conmutador. El conmutador debe ser compatible con el etiquetado VLAN 802.1Q.

En el conmutador, debe:

1. Agregar VLAN con los mismos ID que las VLAN que configuró en el punto de acceso y los SSID.
2. Configure las interfaces del conmutador que se conectan al punto de acceso para enviar y recibir tráfico etiquetado para las VLAN asignadas a cada SSID.
3. Si habilita una VLAN de administración etiquetada para su punto de acceso, configure las interfaces del conmutador que se conectan al punto de acceso para enviar y recibir tráfico etiquetado a fin de administrar el punto de acceso.

Consulte la documentación para su conmutador de red para obtener instrucciones sobre cómo habilitar y configurar las VLAN en su conmutador.

Si ha habilitado el etiquetado VLAN en los SSID en su punto de acceso, no conecte el punto de acceso a un conmutador que no sea compatible con el etiquetado VLAN 802.1Q.

Temas Relacionados

Configurar los Ajustes de SSID del Punto de Acceso

Configurar los Ajustes de Dispositivo del Punto de Acceso