Implementando redes VLAN en ambiente Wireless con switches de distribución, acceso y Firewall.

Procedimiento a seguir para la creación e implementación de redes Vlan´s en un dispositivo WatchGuard AP-100 el cual estará conectado a un Switch Netgear que conecta en modo trunk un Switch D-link y este a su vez a un Firebox WatchGuard T10 cómo dispositivo borde de red.  

Dispositivos:

• WatchGuard AP-100
• Switch Netgear GS108T (distribución)
• D-link DG-200 (acceso)
• Firewall WatchGuard Firebox T10

Objetivos:

• Lograr la aplicación de SSIDs en dispositivo WatchGuard AP-100, esquema de conectividad TCP/IP, segmentación de tráfico a través de estas.
• Tráfico gestionado InterVlan desde dispositivo borde de red (Firebox) WatchGuard T10
• Gestión de redes inalámbricas desde servicio GWC (Gateway Wireless Controller) de dispositivo WatchGuard Firebox T10.

Laboratorio en marcha:

Tenemos un Firebox T10 el cual funcionará como dispositivo de borde proporcionándole acceso a internet y seguridad a todos los dispositivos de la red interna, este está conectado a un Switch D-link DG200 de 48 puertos y este a su vez está conectado a otro Switch Marca Netgear GS108T de 8 puertos Giga, en este último switch se conectará el WatchGuard AP-100 en el cual se crearán tres (3) identificadores de red wireless con sus SSIDs: Laboratorio1, Laboratorio2 y Administración AP respectivamente. La configuración a realizar  empezando por el Firebox WatchGuard T-10 y Switches (llamemos de acceso al D-link y distribución al NetGear) será la siguiente:

1. En el Firebox se crearan las tres (3) Vlan´s antes mencionadas, la Vlan llamada Administración AP servirá para administrar el dispositivo AP-100.
2. Se configurará la interfaz del Firebox WatchGuard que conecta al Switch D-Link DG200 como Interfaz Vlan.
3. Se configurará el Firebox WatchGuard para que envíe y reciba tráfico etiquetado de las Vlan´s Laboratorio1 y Laboratorio2, el tráfico de la Vlan Administración AP se configurara para que no sea etiquetado.
4. Se crearán estas mismas vlan en los Switch´s y en el AP-100
5. Se configurará el Switch D-link DG200 para que admita el tráfico de las vlan´s creadas por los puertos que conectan al Switch Netgear y al Firebox WatchGuard.
6. En el Switch Netgear GS108T no hace falta configurar los puertos para que admitan estas Vlan´s ya que por defecto los puertos están configurados para admitir tráfico etiquetado y no etiquetado.
7. El hecho de que todos los puertos acepten todo tipo de tráfico por defecto no significa que al conectar un host a un puerto este tomará una dirección IP, se debe configurar el puerto para que sea miembro de una Vlan específica.

El Diseño de la topología se muestra en la figura 1.

Capturas de configuración en los Switch´s

D-link DG-200 (Distribución)

Paso 1: Habilitar Vlan Asymmetric

Podemos estar en una red y configurarle al Switch una dirección IP de esa red, acceder al Switch crear las redes Vlan´s, asignarle los puertos correspondientes a cada Vlan y aún así podemos seguir teniendo administración del Switch, esto lo hacemos habilitando Vlan Asymmetric.

Observación: Si le hemos configurado una dirección IP a nuestro Switch de nuestra red y no configuramos Vlan Asymmetric perderemos la configuración cuando configuremos los puertos troncales ya que nuestra red no pertenecerá a ninguna red vlan creada en el Switch, el tráfico que pasara por ese enlace será etiquetado a excepción de la vlan de administración en este caso debemos conectar un Pc directamente al Switch y configurarnos un IP en el mismo rango del Switch.

Interfaz de creación de Vlan´s.

Ip de administración del Switch D-Link DG-300

Switch Netgear GS108T

Creación de Vlan´s

Se configuran los puertos 6 y 7 para que permitan el tráfico no etiquetado de la Vlan 99 (administración del servicio Gateway Wireless Controller para gestión del AP-100). Estos puertos conectan con el Swtich D-Link DG-300 y con el WatchGuard AP-100.

Vlan 100, se configuran los puertos 6 y 7 para permitir tráfico etiquetado de la Vlan 100.

Vlan 200, al igual que con la Vlan 100 se configuran los puertos 6 y 7 para que permita el trafico etiquetado de la Vlan 200.

Podemos visualizar que todos los puertos admiten todo tipo de tráfico (etiquetado y no etiquetado inclusive modo troncal), por lo que no es necesario configurar  los puertos que llevan a otros Switch como troncales.

Dirección IP de administración del Switch Netgear.

Lo importante de este tipo de configuraciones es que podemos lograr una interacción con medios de diferentes marcas e inclusive modos de configuración, la seguridad de las redes inalámbricas y sus controles de acceso en todo momento serán gestionadas por el dispositivo de borde Firebox WatchGuard (recuerde que este también permite tráfico en capa 3).

El el dispositivo switch principal (acceso) se manejan las diferentes redes VLANs de la red corporativa, manteniendo la centralización y acceso de trafico correspondiente.

Establecer estaciones de aislamiento le permite que los dispositivos inalámbricos conectados en una misma red no cursen tráfico entre sí le ayuda a mitigar tráfico innecesario y potencialmente inseguro. 

Esta misma configuración se puede adaptar en una infraestructura aún con sólo el AP-100 de WatchGuard y el Firebox WatchGuard.

Carlos Palomo.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526