6 may 2015

Configurar AP D-Link DAP-1353 para prestar servicio en dos VLAN diferentes

El punto de acceso D-Link DAP-1353 ofrece soporte Multi SSID, lo que nos va a permitir difundir hasta un máximo de 4 redes inalámbricas diferentes utilizando un único punto de acceso. Ésto es algo verdaderamente interesante porque podemos definir diferentes mecanismos de seguridad para cada SSID.

Por ejemplo, en mi centro tengo definido una seguridad WPA2 Enterprise para los usuarios que se conectan a la intranet del centro vía wifi y quien autoriza el acceso es un servidor freeradius que consulta los usuarios en el servidor ldap:


Como sabemos que en un futuro no muy lejano los usuarios deberán traer su propio dispositivo para conectarse a la red, y aún no nos han contado cuál va a ser la infraestructura de que dispondremos, me ha parecido conveniente montar un servidor que permita el acceso de dispositivos ajenos al centro garantizando una cierta seguridad y control, de tal manera que los usuarios de estos dispositivos se conectarán mediante puntos de acceso abiertos a través de un portal cautivo. 

Naturalmente, todo ésto requiere unos cuantos cambios y supone un trabajo extra al que no puedo dedicarle todo el tiempo que me gustaría, pero poco a poco lo iré terminando.

De momento, necesito que los equipos portátiles del centro se puedan seguir conectando mediante WPA2 Enterprise; básicamente porque necesito que establezcan conexión inalámbrica en el inicio, sin tener que esperar a que el usuario acceda a través del portal cautivo. Pero también quiero que sea posible conectar cualquier equipo de forma inalámbrica, independientemente del sistema operativo de que éste disponga (y las complicaciones que tienen algunos para conectarse con determinados tipos de seguridad, como los Apple o algunas versiones de Windows)

Para mantener ambos modos de acceso, en los D-Link DAP-1353 he definido un nuevo SSID con modo de seguridad Abierta sin contraseña y lo he asociado a la VLAN en la que se conectarán los dispositivos externos que vayan a acceder a la red de forma inalámbrica:


Lo realmente interesante de todo ésto es que podemos asignar una Vlan diferente para cada SSID, de tal manera que la seguridad WPA2 Enterprise siga utilizándose en la red interna y se permita un acceso sin contraseña en la Vlan 3, donde tengo un portal cautivo para controlar el acceso de los usuarios:


En la Vlan 1 dejaremos los puertos Mgmt, LAN y Primary sin etiquetar (untagged) y el resto (MSSID y WDS) los marcaremos como no miembros:


En la Vlan 3 (la Vlan que he definido para el acceso inalámbrico) dejaremos los puertos de la siguiente manera:
  • Mgmt: Not member.
  • LAN: Tagged.
  • S-1: Untagged.
  • Y el resto (MSSID y WDS) los marcaremos como no miembros.
Es decir, que en la Vlan 3 el puerto S-1 que se corresponde con el Multi-SSID1, lo dejaremos sin etiquetar para recibir el tráfico de esta Vlan en este SSID. Y el puerto LAN será tagged para permitir el tráfico de la Vlan entre el Punto de Acceso y el Switch donde está conectado y cuyo puerto se encuentra etiquetado para recibir tráfico de las dos Vlan:

Publicado por primera vez en http://enavas.blogspot.com.es
en No hay comentarios:

Algunas cuestiones básicas sobre VLAN

Aprovechando que un compañero me ha preguntado sobre el tema de las VLAN y que actualmente estoy trabajando con ellas, voy a comentar una serie de cuestiones básicas.

Para los que no lo sepan, una VLAN (Virtual Local Area Network) es una red lógica dentro de una red física, de tal manera que dentro de una red física vamos a poder crear diferentes redes lógicas que se encuentren aisladas entre sí.

Naturalmente, para poder crear VLAN's necesitamos que nuestros switches implemente esta facilidad.

Hay diferentes tipos de VLAN:
  • Vlan basadas en puerto (vlan de nivel 1): Permiten definir redes virtuales agrupando puertos en el switch o switches.
  • Vlan basadas en la dirección MAC (vlan de nivel 2): Permiten crear redes virtuales agrupando las direcciones MAC de los equipos que pertenecen a dicha red.
  • Vlan de nivel 3:
    • Vlan basadas en dirección IP: Permiten crear redes virtuales agrupando las direcciones IP de los equipos que pertenecen a la vlan.
    • Vlan basadas en protocolo: Permiten crear redes virtuales agrupando los equipos que comparten el mismo protocolo en la red.
Las más comunes y las que más solemos utilizar son las Vlan basadas en puerto. Por lo tanto, vamos a centrarnos en ellas:
  • En una Vlan basada en puerto, la VLAN 1 suele ser la vlan por defecto. A ella se encuentran asignados todos los puertos sin etiquetar (untagged).
  • Un puerto sin etiquetar (untagged) sólo puede pertenecer a una única VLAN.
  • Un puerto etiquetado (tagged) puede pertenecerá a más de una VLAN.
  • Utilizaremos puertos etiquetados para "propagar" una VLAN a través de varios switches. Las etiquetas permiten identificar las tramas de una VLAN entre diferentes switches.
  • Utilizaremos puertos sin etiquetar para conectar hosts, elementos de red sin soporte de VLAN y routers.
  • Habitualmente, los switches nos permiten configurar las VLAN desde una interfaz web o desde un terminal, por ejemplo conectándonos vía telnet. Configurar un switch desde terminal nos permite modificar mayor número de detalles que desde el interfaz web.
  • Los switches 3com tienen un interfaz web de configuración más intuitivo que los Dlink.
  • Cuando en un switch Dlink queremos asignar un puerto a un host de tal manera que sea un puerto sin etiquetar, debemos definir el identificador de la Vlan de este puerto en la sección "Port Vlan ID".
  • Los switches disponen de una opción para monitorizar las Vlan, de tal modo que podemos asegurarnos si la asignación de puertos a cada Vlan es correcta.
  • Es muy importante monitorizar las tablas de enrutamiento porque nos van a permitir comprobar a través de qué puertos se llega a las diferentes Vlan configuradas en los switches.
  • Si queremos utilizar un punto de acceso con MultiSSID que permita mostrar diferentes SSID y que cada SSID dé servicio en una red diferente, tendremos que configurar y asociar Vlan a los diferentes SSID.
  • En nuestro centro disponemos de una Vlan específica para la telefonía VoIP, además de otras Vlan's que definen diferentes redes de datos.
Publicado por primera vez en http://enavas.blogspot.com.es
en No hay comentarios: