Configurar AP D-Link DAP-1353 para prestar servicio en dos VLAN diferentes | Algo de Linux

miércoles, 6 de mayo de 2015

Configurar AP D-Link DAP-1353 para prestar servicio en dos VLAN diferentes

El punto de acceso D-Link DAP-1353 ofrece soporte Multi SSID, lo que nos va a permitir difundir hasta un máximo de 4 redes inalámbricas diferentes utilizando un único punto de acceso. Ésto es algo verdaderamente interesante porque podemos definir diferentes mecanismos de seguridad para cada SSID.

Por ejemplo, en mi centro tengo definido una seguridad WPA2 Enterprise para los usuarios que se conectan a la intranet del centro vía wifi y quien autoriza el acceso es un servidor freeradius que consulta los usuarios en el servidor ldap:


Como sabemos que en un futuro no muy lejano los usuarios deberán traer su propio dispositivo para conectarse a la red, y aún no nos han contado cuál va a ser la infraestructura de que dispondremos, me ha parecido conveniente montar un servidor que permita el acceso de dispositivos ajenos al centro garantizando una cierta seguridad y control, de tal manera que los usuarios de estos dispositivos se conectarán mediante puntos de acceso abiertos a través de un portal cautivo. 

Naturalmente, todo ésto requiere unos cuantos cambios y supone un trabajo extra al que no puedo dedicarle todo el tiempo que me gustaría, pero poco a poco lo iré terminando.

De momento, necesito que los equipos portátiles del centro se puedan seguir conectando mediante WPA2 Enterprise; básicamente porque necesito que establezcan conexión inalámbrica en el inicio, sin tener que esperar a que el usuario acceda a través del portal cautivo. Pero también quiero que sea posible conectar cualquier equipo de forma inalámbrica, independientemente del sistema operativo de que éste disponga (y las complicaciones que tienen algunos para conectarse con determinados tipos de seguridad, como los Apple o algunas versiones de Windows)

Para mantener ambos modos de acceso, en los D-Link DAP-1353 he definido un nuevo SSID con modo de seguridad Abierta sin contraseña y lo he asociado a la VLAN en la que se conectarán los dispositivos externos que vayan a acceder a la red de forma inalámbrica:


Lo realmente interesante de todo ésto es que podemos asignar una Vlan diferente para cada SSID, de tal manera que la seguridad WPA2 Enterprise siga utilizándose en la red interna y se permita un acceso sin contraseña en la Vlan 3, donde tengo un portal cautivo para controlar el acceso de los usuarios:


En la Vlan 1 dejaremos los puertos Mgmt, LAN y Primary sin etiquetar (untagged) y el resto (MSSID y WDS) los marcaremos como no miembros:


En la Vlan 3 (la Vlan que he definido para el acceso inalámbrico) dejaremos los puertos de la siguiente manera:
  • Mgmt: Not member.
  • LAN: Tagged.
  • S-1: Untagged.
  • Y el resto (MSSID y WDS) los marcaremos como no miembros.
Es decir, que en la Vlan 3 el puerto S-1 que se corresponde con el Multi-SSID1, lo dejaremos sin etiquetar para recibir el tráfico de esta Vlan en este SSID. Y el puerto LAN será tagged para permitir el tráfico de la Vlan entre el Punto de Acceso y el Switch donde está conectado y cuyo puerto se encuentra etiquetado para recibir tráfico de las dos Vlan:

Publicado por primera vez en http://enavas.blogspot.com.es

No hay comentarios: