Segmentacin de trafico inalambrico

mediante VLANS
By FastWeb on Abr 16 in Tecnologia

inShare

En prcticamente todas las empresas y organizaciones es necesario ofrecer acceso a Internet para
visitantes o invitados. Aunque es posible simplemente extender crear una WLAN (red inalmbrica)
independiente para controlar el acceso, no es una buena prctica en trminos de seguridad ya que
aunque se logre aislar el trfico de esta WLAN, forzosamente tiene que salir a travs del ruteador principal
y consumir recursos y/o licencias del mismo.

La mejor solucin a esta necesidad es utilizar VLANs (Virtual Local Area Network) para separar el trfico
completamente de los invitados y darles su propia salida a Internet. A continuacin vemos el diagrama
correspondiente:

No se requieren conocimientos avanzados de redes sino Esta configuracin no est limitada a redes para
invitados sino se puede utilizar cada vez que se desee aislar el trfico de una red inalmbrica de las
dems dentro de la red corporativa.

Las ventajas que nos ofrece esta solucin, en orden de importancia son:

a) Mayor seguridad.- el trfico de cada red inalmbrica viaja en forma aislada a travs de la red LAN
corporativa

b) Menor congestin.- debido a que las VLANs separan dominios de broadcast,

c) Mayor eficiencia.- los usuarios de cada red solo tendrn acceso a los dispositivos que requieren,
consumiendo menos ancho de banda, licencias y ciclos de procesamiento de los dems dispositivos en la
red
 REDES VLAN

Para separa y aislar el trfico de redes WLAN no se requieren conocimientos avanzados de redes sino
tan solo entender en comportamiento bsico de VLANs.

Este comportamiento se puede resumir en los siguientes cinco puntos:

Una VLAN no es ms que la agrupacin virtual de dos o ms puertos de un switch, o un switch dentro
del switch

Por defecto, todos los puertos de un switch forman parte de la VLAN 1. Para formar una VLAN nueva
primero hay que definirla con un id nico (por ejemplo 10)

Agregar cada puerto que se desee que forme parte de esta nueva VLAN mediante la pgina o comando
de membresa VLAN (vara dependiendo del fabricante): Un puerto s puede formar parte de ms de una
VLAN.

Existe la posibilidad de etiquetar (tag) los paquetes tanto de entrada como salida al puerto con una
VLAN especfica. En la entrada, el etiquetado de paquetes que no forman parte de una VLAN, es decir,
que vienen sin etiquetar, es forzoso y siempre se van a etiquetar al valor de PVID () definido para ese
puerto en la seccin correspondiente. Solo se puede definir un PVID por puerto y el valor por omisin es
siempre 1.

En la salida el etiquetado es opcional y se define en la misma seccin de membresa de la VLAN

colocando una T junto a la VLAN con la que se desee etiquetar los paquetes salientes de ese puerto. De
esta forma todos los paquetes salientes por ese puerto se etiquetarn con la VLAN correspondiente y solo
podrn viajar a los puertos que forman parte de la misma VLAN. Solo se puede etiquetar con un valor de
VLAN si el puerto forma parte de ms de una VLAN.

Con estas simples reglas podemos controlar el flujo de paquetes entrantes y salientes a nuestra VLAN sin
importar si los dispositivos que conectamos tienen funcionalidad de VLAN o no. La mayora de los
dispositivos de usuario no la tienen (PCs, impresoras, modems, etc.) solo algunos switches, routers,
firewalls y APs.

REQUERIMIENTOS

En cuanto a equipo, se requieren los siguientes equipos:

1) Un switch con capacidad de crear y administrar VLANs. Esto se conoce como soporte al protocolo
802.11Q

2) Un AP (o sistema WiFi) con capacidad de etiquetar los paquetes de una red WLAN (o SSID como
tambin se le conoce) con una VLAN especfica

3) Una salida alternativa (diferente a la principal) a Internet que no pase por el firewall o ruteador. Puede
ser de cualquier proveedor, lo importante es que tenga un servidor DHCP
 PROCESO

Para este ejemplo estar utilizando un switch de 8 puertos NetGear modelo ProSafe GS108T, un AP
ZoneFlex 7363 y un controlador ZoneDirector ZD1000 de Ruckus Wireless.

Los equipos Ruckus Wireless tienen la capacidad de etiquetar los paquetes de cierta WLAN (red
inalmbrica) de manera que viajen sobre una VLAN diferente a la corporativa. De esta manera se
cumplen dos objetivos importanes:

a) los invitados puede tener un acceso alternativo a Internet y no consumer licencias

b) se conectan a una red VLAN independiente a la corporativa, aumentand seguridad

Sin embargo, y ya que el controlador es independiente del AP, es necesario que no queden aislados el
uno del otro y se puedan comunicar por lo que deben compartir la misma VLAN de administracin.

CONFIGURACIN

Para lograr esta solucin tenemos que seguir lo siguiente cinco pasos:

1. Asignar una VLAN a la WLAN que se desea aislar

En el caso de equipos Ruckus Wireless es necesario entrar a la configuracin de la WLAN (Configure-

>WLAN->Advanced Options) en la controladora. Ah est la opcin para asignar una VLAN a una WLAN
particular:
2. Conectar el AP, controlador y mdem de salida al switch

Buscar 3 puertos disponibles en los switches y tomar nota de ellos para configurales la VLAN. En caso de
que el AP se conecte a un switch diferente (por ejemplo en otro piso), lo nco que vara es que hay que
agregar los puertos intermedios tambin a la VLAN de Invitados y etiquetarlos (T) para que todos lo
paquetes de Internet viajen etiquetados de regreso hasta el AP.

3. Crear una nueva VLAN y asignarle los puertos del modem y AP (VLAN Membership).

Primero creamos una nueva VLAN con un id=10 bajo la opcin VLAN Configuracin:

Ahora hay que asignar los puertos que queremos formen parte de ella. En nuestro caso son los puertos 1
y 2. La nomenclatura varia de un switch a otro pero en trminos generales se utiliza la opcin de
Membership (membresa) o Port to VLAN en el caso de switches Cisco. Hay que asignar mediante una U
o T los puertos 1 y 2 de nuestra VLAN 10 como vemos en el diagrama inferior. Observe que tenemos
seleccionada la VLAN 10. Lo importante es que no indique PVID, ya que esa es otra opcin.
En nuestro ejemplo el mdem se conectar al puerto 1 y el AP al puerto 2. Recuerde que el puerto
etiquetar los paquetes de salida si tiene una T. En este caso todos los paquetes de salida al AP que no
vengan etiquetados se les etiquetar con la VLAN 10 (para que los paquetes que vienen de Internet
puedan regresar a la VLAN de invitados).

Ahora debemos quitar el puerto del modem (puerto 1) de la VLAN 1 (default), para evitar que el trfico
proveniente de Internet se vaya a la red corporativa. Observe cmo ahora seleccionamos la VLAN 1:
4. Cambiar el PVID en el puerto de salida a Internet

Esto lo realizamos para que el trfico proveniente del mdem sea etiquetado con la VLAN 10. En nuestro
caso es el puerto no. 1. Se realiza bajo la opcin de Port PVID Configuration (NetGear) o Interface
Settings (Cisco).

Simplemente seleccionamos el nmero de VLAN que deseamos para el trfico entrante a ese puerto. Si
existe la opcin de configurar el modo VLAN, debemos dejar el modo default de Trunk.

5. Opcional: Cambiar la IP del mdem o router con salida a Internet

Aunque no es obligatorio, es recomendable cambiar la IP del mdem y su DHCP a una subred diferente a
la corporativa para que sea ms fcil comprobar cuando un usuario est en la red de Invitados

6. Probar

Conectarse informa inalmbrica a la red de Invitados definida previamente en el controlador. Si todo est
configurado correctamente debemos recibir una IP via DHCP del rango configurado en el mdemo o
ruteador de salida y debemos poder ver que ese usuario est conectado a la VLAN 10 en la consola del
controlador ZoneDirector (Monitor -> Active users).
 CONCLUSIN

Con un poco de conocimiento del funcionamiento de VLANs y sin equipo especial es relativamente
sencillo utilizar VLAN para separar o segmentar trfico en la LAN.

De esta forma no es necesario sacrificar seguridad en la red corporativa para poder dar servicio Internet a
invitados o visitantes.

En prcticamente todas las empresas y organizaciones es necesario ofrecer acceso a Internet para
visitantes o invitados. Aunque es posible simplemente extender crear una WLAN (red inalmbrica)
independiente para controlar el acceso, no es una buena prctica en trminos de seguridad ya que
aunque se logre aislar el trfico de esta WLAN, forzosamente tiene que salir a travs del ruteador principal
y consumir recursos y/o licencias del mismo.

La mejor solucin a esta necesidad es utilizar VLANs (Virtual Local Area Network) para separar el trfico
completamente de los invitados y darles su propia salida a Internet. A continuacin vemos el diagrama
correspondiente:
No se requieren conocimientos avanzados de redes sino Esta configuracin no est limitada a redes para
invitados sino se puede utilizar cada vez que se desee aislar el trfico de una red inalmbrica de las
dems dentro de la red corporativa.

Las ventajas que nos ofrece esta solucin, en orden de importancia son:

a) Mayor seguridad.- el trfico de cada red inalmbrica viaja en forma aislada a travs de la red LAN
corporativa

b) Menor congestin.- debido a que las VLANs separan dominios de broadcast,

c) Mayor eficiencia.- los usuarios de cada red solo tendrn acceso a los dispositivos que requieren,
consumiendo menos ancho de banda, licencias y ciclos de procesamiento de los dems dispositivos en la
red

REDES VLAN

Para separa y aislar el trfico de redes WLAN no se requieren conocimientos avanzados de redes sino
tan solo entender en comportamiento bsico de VLANs.

Este comportamiento se puede resumir en los siguientes cinco puntos:

Una VLAN no es ms que la agrupacin virtual de dos o ms puertos de un switch, o un switch dentro
del switch
 Por defecto, todos los puertos de un switch forman parte de la VLAN 1. Para formar una VLAN nueva
primero hay que definirla con un id nico (por ejemplo 10)

Agregar cada puerto que se desee que forme parte de esta nueva VLAN mediante la pgina o comando
de membresa VLAN (vara dependiendo del fabricante): Un puerto s puede formar parte de ms de una
VLAN.

Existe la posibilidad de etiquetar (tag) los paquetes tanto de entrada como salida al puerto con una
VLAN especfica. En la entrada, el etiquetado de paquetes que no forman parte de una VLAN, es decir,
que vienen sin etiquetar, es forzoso y siempre se van a etiquetar al valor de PVID () definido para ese
puerto en la seccin correspondiente. Solo se puede definir un PVID por puerto y el valor por omisin es
siempre 1.

En la salida el etiquetado es opcional y se define en la misma seccin de membresa de la VLAN

colocando una T junto a la VLAN con la que se desee etiquetar los paquetes salientes de ese puerto. De
esta forma todos los paquetes salientes por ese puerto se etiquetarn con la VLAN correspondiente y solo
podrn viajar a los puertos que forman parte de la misma VLAN. Solo se puede etiquetar con un valor de
VLAN si el puerto forma parte de ms de una VLAN.

Con estas simples reglas podemos controlar el flujo de paquetes entrantes y salientes a nuestra VLAN sin
importar si los dispositivos que conectamos tienen funcionalidad de VLAN o no. La mayora de los
dispositivos de usuario no la tienen (PCs, impresoras, modems, etc.) solo algunos switches, routers,
firewalls y APs.

REQUERIMIENTOS

En cuanto a equipo, se requieren los siguientes equipos:

1) Un switch con capacidad de crear y administrar VLANs. Esto se conoce como soporte al protocolo
802.11Q

2) Un AP (o sistema WiFi) con capacidad de etiquetar los paquetes de una red WLAN (o SSID como
tambin se le conoce) con una VLAN especfica

3) Una salida alternativa (diferente a la principal) a Internet que no pase por el firewall o ruteador. Puede
ser de cualquier proveedor, lo importante es que tenga un servidor DHCP

PROCESO

Para este ejemplo estar utilizando un switch de 8 puertos NetGear modelo ProSafe GS108T, un AP
ZoneFlex 7363 y un controlador ZoneDirector ZD1000 de Ruckus Wireless.

Los equipos Ruckus Wireless tienen la capacidad de etiquetar los paquetes de cierta WLAN (red
inalmbrica) de manera que viajen sobre una VLAN diferente a la corporativa. De esta manera se
cumplen dos objetivos importanes:

a) los invitados puede tener un acceso alternativo a Internet y no consumer licencias

b) se conectan a una red VLAN independiente a la corporativa, aumentand seguridad

Sin embargo, y ya que el controlador es independiente del AP, es necesario que no queden aislados el
uno del otro y se puedan comunicar por lo que deben compartir la misma VLAN de administracin.

CONFIGURACIN

Para lograr esta solucin tenemos que seguir lo siguiente cinco pasos:

1. Asignar una VLAN a la WLAN que se desea aislar

En el caso de equipos Ruckus Wireless es necesario entrar a la configuracin de la WLAN (Configure-

>WLAN->Advanced Options) en la controladora. Ah est la opcin para asignar una VLAN a una WLAN
particular:

2. Conectar el AP, controlador y mdem de salida al switch

Buscar 3 puertos disponibles en los switches y tomar nota de ellos para configurales la VLAN. En caso de
que el AP se conecte a un switch diferente (por ejemplo en otro piso), lo nco que vara es que hay que
agregar los puertos intermedios tambin a la VLAN de Invitados y etiquetarlos (T) para que todos lo
paquetes de Internet viajen etiquetados de regreso hasta el AP.

3. Crear una nueva VLAN y asignarle los puertos del modem y AP (VLAN Membership).

Primero creamos una nueva VLAN con un id=10 bajo la opcin VLAN Configuracin:
Ahora hay que asignar los puertos que queremos formen parte de ella. En nuestro caso son los puertos 1
y 2. La nomenclatura varia de un switch a otro pero en trminos generales se utiliza la opcin de
Membership (membresa) o Port to VLAN en el caso de switches Cisco. Hay que asignar mediante una U
o T los puertos 1 y 2 de nuestra VLAN 10 como vemos en el diagrama inferior. Observe que tenemos
seleccionada la VLAN 10. Lo importante es que no indique PVID, ya que esa es otra opcin.

En nuestro ejemplo el mdem se conectar al puerto 1 y el AP al puerto 2. Recuerde que el puerto

etiquetar los paquetes de salida si tiene una T. En este caso todos los paquetes de salida al AP que no
vengan etiquetados se les etiquetar con la VLAN 10 (para que los paquetes que vienen de Internet
puedan regresar a la VLAN de invitados).
Ahora debemos quitar el puerto del modem (puerto 1) de la VLAN 1 (default), para evitar que el trfico
proveniente de Internet se vaya a la red corporativa. Observe cmo ahora seleccionamos la VLAN 1:

4. Cambiar el PVID en el puerto de salida a Internet

Esto lo realizamos para que el trfico proveniente del mdem sea etiquetado con la VLAN 10. En nuestro
caso es el puerto no. 1. Se realiza bajo la opcin de Port PVID Configuration (NetGear) o Interface
Settings (Cisco).
Simplemente seleccionamos el nmero de VLAN que deseamos para el trfico entrante a ese puerto. Si
existe la opcin de configurar el modo VLAN, debemos dejar el modo default de Trunk.

5. Opcional: Cambiar la IP del mdem o router con salida a Internet

Aunque no es obligatorio, es recomendable cambiar la IP del mdem y su DHCP a una subred diferente a
la corporativa para que sea ms fcil comprobar cuando un usuario est en la red de Invitados

6. Probar

Conectarse informa inalmbrica a la red de Invitados definida previamente en el controlador. Si todo est
configurado correctamente debemos recibir una IP via DHCP del rango configurado en el mdemo o
ruteador de salida y debemos poder ver que ese usuario est conectado a la VLAN 10 en la consola del
controlador ZoneDirector (Monitor -> Active users).

CONCLUSIN

Con un poco de conocimiento del funcionamiento de VLANs y sin equipo especial es relativamente
sencillo utilizar VLAN para separar o segmentar trfico en la LAN.

De esta forma no es necesario sacrificar seguridad en la red corporativa para poder dar servicio Internet a
invitados o visitantes.