D-Link Webinar Cmo aislar una red de invitados

Products involved

Web Smart DES-1210-08P/28/28P/52 DGS-1210-10P/16/24/48 DGS-1224TP

SmartPro DGS-1500-20/28/28P/52

X-Stack DGS-312024TC/24PC/24SC/48TC/48PC

DAP-2553

DAP-2360

DAP-2590
DAP series

DAP-2690

DAP-3690

Challenges
Shared Router and Application Server
Internet Router and Servers

L3 Switch V2 V3 V4

Shared Servers (Mail Server, data server, Internet Access servers) can be access by all user groups, but the access between groups are not allowed (for the performance or security consideration) L2 solution: 802.1q Asymmetric VLAN or Traffic Segmentation L3 solution: L3 switch + ACL to limit the access between group.

Option1: Layer 3 Routing

LAYER 3 SWITCH. The switch can connect the different vlans
Vlan3

Vlan2

Vlan1

.254

.254

.254

192.168.3.x/24 Gw192.168.3.254

192.168.2.x/24 Gw192.168.2.254

Servers and gateway 192.168.1.x/24 Gw192.168.1.254

Objective: Only Net1 (192.168.1.x) Servers and Internet Router can be accessed by Net2, Net3 Net2, Net3 cannot access each other Principle: L3 switch will create 3 local routes in the Routing table. Packets to the different subnet will be routed based on the routing table. ACL will block the access between Net2 and Net3

Option2: Asymmetric VLAN

Asymmetric VLAN Overview
Layer 2 Solution: Asymmetric VLAN Stared servers (such as mail server, data server, Internet access servers) can be accessed by all user groups, but access between groups are not allowed (for performance or security considerations).

Option2: Asymmetric VLAN

Example : Asymmetric VLAN
Objective and Requirement -V2 and V3 can access V1 for shared server -V2 and V3 can access Internet Gateway for Internet access using same network IP -No access between V2 and V3

Escenario
SSID_AVLAN2 Red Corporativa Seguridad WPA2 192.168.3.x Gw 192.168.3.1 Punto de Acceso DAP series SSID_B VLAN3 Red Invitados Abierta 192.168.3.x Gw 192.168.3.1

VLAN1 Red Comn Internet Gateway 192.168.3.1 Servidores pblicos

VLAN2 Red Corporativa 192.168.3.x Gw192.168.3.1

VLAN3 Red Invitados 192.168.3.x Gw192.168.3.1

Escenario Switch
Configuracin Asymmetric VLAN en el switch
Configuration > 802.1Q VLAN Enable asymmetric VLAN

Escenario Switch
1. Creacin de VLANs y asignacin a los puertos de acceso de cada una en modo UNTAG.
Configuration > 802.1Q VLAN VLAN 1 (comn): Debe estar en todos los puertos en modo UNTAG.

Escenario Switch
VLAN 2 y 3: Deben estar en los puertos de la zona comn en modo UNTAG. En los puertos de acceso de cada VLAN en modo UNTAG. Configuration > 802.1Q VLAN Add VID Vlan 2

Escenario Switch
VLAN 2 y 3: Deben estar en los puertos de la zona comn en modo UNTAG. En los puertos de acceso de cada VLAN en modo UNTAG. Configuration > 802.1Q VLAN Add VID Vlan 3

Escenario Switch
2. Asignacin del PVID correspondiente a cada puerto:
Configuration > 802.1Q VLAN PVID Settings Los puertos comunes llevarn el PVID de la vlan comn (vlan1). Los puertos de cada grupo llevarn su PVID.

Escenario Switch
3. Configuracin de puertos para conexin de puntos de acceso DAP series.
Configuration > 802.1Q VLAN En el puerto donde se conectar el punto de acceso debe pertenecer a las VLANs en modo TAG

Escenario Switch
El resultado de las vlan quedar as. Configuration > 802.1Q VLAN

Escenario Punto de Acceso

Configuracin del punto de acceso DAP series
Configuracin del SSID principal (VLAN2) Basic Settings > Wireless

Escenario Punto de Acceso

Configuracin del SSID secundario (VLAN3) Advanced Settings > Multi-SSID

Escenario Punto de Acceso

Mapeo de cada SSID con su correspondiente VLAN: Advanced Settings > VLAN

Escenario Punto de Acceso

Mapeo de cada SSID con su correspondiente VLAN: Advanced Settings > VLAN

Escenario Punto de Acceso

Configuracin del PVID para cada SSID Advanced Settings > VLAN

Resultado
De esta forma, un equipo conectado a una SSID ver los recursos de su VLAN y tendr acceso a internet, pero no podr acceder al otro SSID/VLAN. Desde la VLAN 2 (host 192.168.3.100) se puede acceder a la VLAN1 (Gateway 192.168.3.1)

pero no hay visibilidad con la VLAN 3 (host 192.168.3.200)

Resultado
Shared Router and Application Server
Internet V1 Router and Servers

V2

V3

Shared Servers (Mail Server, data server, Internet Access servers) can be access by all user groups, but the access between groups are not allowed (for the performance or security consideration) L2 solution: 802.1q Asymmetric VLAN

D-Link Webinars y Promos!

ABRIL 2012 Fecha 20/04/12 (11h ESP / 10h PT) 27/04/12 (11h ESP / 10h PT) 04/05/12 (11h ESP / 10h PT) MAYO 2012 Fecha 11/05/12 (11h ESP / 10h PT)

Tema Novedades Wifi: AP's de Exterior, SmartBeam, Cloud AP Taller: Invitados en mi red, cmo segmentarlos? Novedades Vigilancia IP Profesional: NVR's, Cmaras y D-View

18/05/12 ( 11h ESP / 10h PT) 25/05/12 ( 11h ESP/ 10h PT)
JUNIO 2012 Fecha 01/06/12 ( 11h ESP/ 10h PT)

Tema Taller: Saca el mximo partido al Cloud con las soluciones NAS/SAN de D-Link mydlink cloud Taller: Interconexin de Usuarios y Sedes Remotas

Tema Storage Concept: Quieres conocer tipos de Raid, Snapshot, Backups, Cloud?