En prácticamente todas las empresas y organizaciones es necesario ofrecer acceso a Internet para visitantes o invitados. Aunque es posible simplemente extender crear una WLAN (red inalámbrica) independiente para controlar el acceso, no es una buena práctica en términos de seguridad ya que aunque se logre aislar el tráfico de esta WLAN, forzosamente tiene que salir a través del ruteador principal y consumir recursos y/o licencias del mismo.
La mejor solución a esta necesidad es utilizar VLANs (Virtual Local Area Network) para separar el tráfico completamente de los invitados y darles su propia salida a Internet. A continuación vemos el diagrama correspondiente:
No se requieren conocimientos avanzados de redes sino Esta configuración no está limitada a redes para invitados sino se puede utilizar cada vez que se desee aislar el tráfico de una red inalámbrica de las demás dentro de la red corporativa.
Las ventajas que nos ofrece esta solución, en orden de importancia son:
a) Mayor seguridad.- el tráfico de cada red inalámbrica viaja en forma aislada a través de la red LAN corporativa
b) Menor congestión.- debido a que las VLANs separan dominios de broadcast,
c) Mayor eficiencia.- los usuarios de cada red solo tendrán acceso a los dispositivos que requieren, consumiendo menos ancho de banda, licencias y ciclos de procesamiento de los demás dispositivos en la red
REDES VLAN
Para separa y aislar el tráfico de redes WLAN no se requieren conocimientos avanzados de redes sino tan solo entender en comportamiento básico de VLANs.
Este comportamiento se puede resumir en los siguientes cinco puntos:
• Una VLAN no es más que la agrupación virtual de dos o más puertos de un switch, o un switch dentro del switch
• Por defecto, todos los puertos de un switch forman parte de la VLAN 1. Para formar una VLAN nueva primero hay que definirla con un id único (por ejemplo 10)
• Agregar cada puerto que se desee que forme parte de esta nueva VLAN mediante la página o comando de membresía VLAN (varía dependiendo del fabricante): Un puerto sí puede formar parte de más de una VLAN.
• Existe la posibilidad de etiquetar (tag) los paquetes tanto de entrada como salida al puerto con una VLAN específica. En la entrada, el etiquetado de paquetes que no forman parte de una VLAN, es decir, que vienen sin etiquetar, es forzoso y siempre se van a etiquetar al valor de PVID () definido para ese puerto en la sección correspondiente. Solo se puede definir un PVID por puerto y el valor por omisión es siempre 1.
• En la salida el etiquetado es opcional y se define en la misma sección de membresía de la VLAN colocando una T junto a la VLAN con la que se desee etiquetar los paquetes salientes de ese puerto. De esta forma todos los paquetes salientes por ese puerto se etiquetarán con la VLAN correspondiente y solo podrán viajar a los puertos que forman parte de la misma VLAN. Solo se puede etiquetar con un valor de VLAN si el puerto forma parte de más de una VLAN.
Con estas simples reglas podemos controlar el flujo de paquetes entrantes y salientes a nuestra VLAN sin importar si los dispositivos que conectamos tienen funcionalidad de VLAN o no. La mayoría de los dispositivos de usuario no la tienen (PCs, impresoras, modems, etc.) solo algunos switches, routers, firewalls y APs.
REQUERIMIENTOS
En cuanto a equipo, se requieren los siguientes equipos:
1) Un switch con capacidad de crear y administrar VLANs. Esto se conoce como soporte al protocolo 802.11Q
2) Un AP (o sistema WiFi) con capacidad de etiquetar los paquetes de una red WLAN (o SSID como también se le conoce) con una VLAN específica
3) Una salida alternativa (diferente a la principal) a Internet que no pase por el firewall o ruteador. Puede ser de cualquier proveedor, lo importante es que tenga un servidor DHCP
PROCESO
Para este ejemplo estaré utilizando un switch de 8 puertos NetGear modelo ProSafe GS108T, un AP ZoneFlex 7363 y un controlador ZoneDirector ZD1000 de Ruckus Wireless.
Los equipos Ruckus Wireless tienen la capacidad de etiquetar los paquetes de cierta WLAN (red inalámbrica) de manera que viajen sobre una VLAN diferente a la corporativa. De esta manera se cumplen dos objetivos importanes:
a) los invitados puede tener un acceso alternativo a Internet y no consumer licencias
b) se conectan a una red VLAN independiente a la corporativa, aumentand seguridad
Sin embargo, y ya que el controlador es independiente del AP, es necesario que no queden aislados el uno del otro y se puedan comunicar por lo que deben compartir la misma VLAN de administración.
CONFIGURACIÓN
Para lograr esta solución tenemos que seguir lo siguiente cinco pasos:
1. Asignar una VLAN a la WLAN que se desea aislar
En el caso de equipos Ruckus Wireless es necesario entrar a la configuración de la WLAN (Configure->WLAN->Advanced Options) en la controladora. Ahí está la opción para asignar una VLAN a una WLAN particular:
2. Conectar el AP, controlador y módem de salida al switch
Buscar 3 puertos disponibles en los switches y tomar nota de ellos para configurales la VLAN. En caso de que el AP se conecte a un switch diferente (por ejemplo en otro piso), lo únco que varía es que hay que agregar los puertos intermedios también a la VLAN de Invitados y etiquetarlos (T) para que todos lo paquetes de Internet viajen etiquetados de regreso hasta el AP.
3. Crear una nueva VLAN y asignarle los puertos del modem y AP (VLAN Membership).
Primero creamos una nueva VLAN con un id=10 bajo la opción VLAN Configuración:
Ahora hay que asignar los puertos que queremos formen parte de ella. En nuestro caso son los puertos 1 y 2. La nomenclatura varia de un switch a otro pero en términos generales se utiliza la opción de Membership (membresía) o Port to VLAN en el caso de switches Cisco. Hay que asignar mediante una U o T los puertos 1 y 2 de nuestra VLAN 10 como vemos en el diagrama inferior. Observe que tenemos seleccionada la VLAN 10. Lo importante es que no indique PVID, ya que esa es otra opción.
En nuestro ejemplo el módem se conectará al puerto 1 y el AP al puerto 2. Recuerde que el puerto etiquetará los paquetes de salida si tiene una “T”. En este caso todos los paquetes de salida al AP que no vengan etiquetados se les etiquetará con la VLAN 10 (para que los paquetes que vienen de Internet puedan regresar a la VLAN de invitados).
Ahora debemos quitar el puerto del modem (puerto 1) de la VLAN 1 (default), para evitar que el tráfico proveniente de Internet se vaya a la red corporativa. Observe cómo ahora seleccionamos la VLAN 1:
4. Cambiar el PVID en el puerto de salida a Internet
Esto lo realizamos para que el tráfico proveniente del módem sea etiquetado con la VLAN 10. En nuestro caso es el puerto no. 1. Se realiza bajo la opción de Port PVID Configuration (NetGear) o Interface Settings (Cisco).
Simplemente seleccionamos el número de VLAN que deseamos para el tráfico entrante a ese puerto. Si existe la opción de configurar el modo VLAN, debemos dejar el modo default de Trunk.
5. Opcional: Cambiar la IP del módem o router con salida a Internet
Aunque no es obligatorio, es recomendable cambiar la IP del módem y su DHCP a una subred diferente a la corporativa para que sea más fácil comprobar cuando un usuario está en la red de Invitados
6. Probar
Conectarse informa inalámbrica a la red de Invitados definida previamente en el controlador. Si todo está configurado correctamente debemos recibir una IP via DHCP del rango configurado en el módemo o ruteador de salida y debemos poder ver que ese usuario está conectado a la VLAN 10 en la consola del controlador ZoneDirector (Monitor -> Active users).
CONCLUSIÓN
Con un poco de conocimiento del funcionamiento de VLANs y sin equipo especial es relativamente sencillo utilizar VLAN para separar o segmentar tráfico en la LAN.
De esta forma no es necesario sacrificar seguridad en la red corporativa para poder dar servicio Internet a invitados o visitantes.