Upload
ajbarroso
View
49
Download
0
Tags:
Embed Size (px)
Citation preview
Modelos implicados
Web SmartDES-1210-08P/28/28P/52DGS-1210-08P/10P/16/20/24/28/24P/28P/48/52
SmartProDGS-1500-20/28/28P/52
X-Stack DGS-3120-24TC/24PC/24SC/48TC/48PC
DAP series
DAP-2553 DAP-2360 DAP-2590 DAP-2690
DAP-3690
Los servidores comunes (Mail Server, data server, Internet Access servers) deben ser accesibles por todos los grupos de usuarios, pero el acceso entre grupos no estará permitido (por cuestiones de rendimiento de la red o de seguridad)
Solution L3: Switch L3 + ACL para limitar el acceso entre grupos
Solución L2: 802.1q Asymmetric VLAN o Traffic Segmentation
Switch
Internet Router yServers
V2 V3 V4
Objetivo
• Compartir un Router y Servidores de archivos y aplicaciones
• Segmentar los grupos de trabajo
Servers y Router 192.168.1.x/24Gw: 192.168.1.254
192.168.2.x/24Gw: 192.168.2.254
192.168.3.x/24Gw:192.168.3.254
Vlan1Vlan2Vlan3
LAYER 3 SWITCH. El switch es capaz de enrutar entre todas las VLAN al disponer de la tabla de rutas para ello.
Opción1: Layer 3 Routing
Objetivo: • Sólo la Red1 (192.168.1.x) con los Servidores y el Router pueden ser accesibles por las redes 2 y 3• Las Redes 2 y 3 no deben ser accesibles entre ellas
Método:• El switch L3 dispondrá de la tabla de rutas de cada una de las subredes. • Los paquetes a diferentes subredes serán enrutados basados en la tabla de rutas del switch.• Mediante ACL se bloqueará el acceso entre las redes 2 y3
192.168.3.254 192.168.2.254 192.168.1.254
Servers and gateway192.168.1.x/24Gw192.168.1.254
192.168.2.x/24Gw192.168.2.254
192.168.3.x/24Gw192.168.3.254
Vlan1Vlan2Vlan3
SWITCH L2 y ROUTER CON SOPORTE DE VLANs. Las decisones de routing se harán en el router.
Opción2: Vlan Routing en el Router
Vlan1: 192.168.1.1Vlan2: 192.168.2.1Vlan3: 192.168.3.1
Objetivo: • Sólo la Red1 (192.168.1.x) con los Servidores y el Router pueden ser accesibles por las redes 2 y 3• Las Redes 2 y 3 no deben ser accesibles entre ellas
Método:• Todas las VLANs estarán definidas en el Router. • Los paquetes a diferentes subredes serán enrutados basados en la tabla de rutas del router• Mediante reglas de Firewall, el router debe bloquear el tráfico entre las redes 2 y 3
Opción3: Asymmetric VLAN
Asymmetric VLAN• Es una solución de Layer 2 • Más económica que las anteriores soluciones• Los servidores (como servidor de correo, data server, Internet
access servers) pueden ser accedidos por todos los grupos de usuarios, pero el acceso entre grupos no está permitido.
Ejemplo: Asymmetric VLAN
-V2 and V3 pueden acceder a V1 para llegar a los servidores-V2 and V3 puede acceder al router y disponer de acceso a
internet usando la misma subred ip-No hay acceso entre V2 and V3
Opción3: Asymmetric VLAN
VLAN2Red Corporativa
192.168.3.xGw192.168.3.1
VLAN3Red Invitados192.168.3.x
Gw192.168.3.1
SSID_AVLAN2Red CorporativaSeguridad WPA2192.168.3.xGw 192.168.3.1
SSID_B VLAN3Red InvitadosAbierta192.168.3.xGw 192.168.3.1
VLAN1 Red Común
Internet Gateway 192.168.3.1Impresora
Punto de AccesoDAP series
Escenario
Configuración Asymmetric VLAN en el switch Configuration > 802.1Q VLANEnable asymmetric VLAN
Escenario – Switch
1. Creación de VLANs y asignación a los puertos de acceso de cada una en modo UNTAG. Configuration > 802.1Q VLAN
VLAN 1 (común): Debe estar en todos los puertos en modo UNTAG.
Escenario – Switch
VLAN 2 y 3: • Deben estar en los puertos de la zona común en modo UNTAG.• En los puertos de acceso de cada VLAN en modo UNTAG.
Configuration > 802.1Q VLANAdd VIDVlan 2
Escenario – Switch
Escenario – Switch
VLAN 2 y 3: • Deben estar en los puertos de la zona común en modo UNTAG.• En los puertos de acceso de cada VLAN en modo UNTAG.
Configuration > 802.1Q VLANAdd VIDVlan 3
2. Asignación del PVID correspondiente a cada puerto:
Configuration > 802.1Q VLANPVID Settings
• Los puertos comunes llevarán el PVID de la vlan común (vlan1).• Los puertos de cada grupo llevarán su PVID.
Escenario – Switch
3. Configuración de puertos para conexión de puntos de acceso DAP series.
Configuration > 802.1Q VLANEn el puerto donde se conectará el punto de acceso debe pertenecer a las VLANs en modo TAG
Escenario – Switch
Configuración del punto de acceso DAP series Configuración del SSID principal (VLAN2)Basic Settings > Wireless
Escenario – Punto de Acceso
De esta forma, un equipo conectado a una SSID verá los recursos de su VLAN y tendrá acceso a internet, pero no podrá acceder al otro SSID/VLAN.
Desde la VLAN 2 (host 192.168.3.100) se puede acceder a la VLAN1 (Gateway 192.168.3.1)
pero no hay visibilidad con la VLAN 3 (host 192.168.3.200)
Resultado
Internet Router y
servidores
V2 V3
Resultado
Shared Router and Application Server
V1
Los servidores comunes (Mail Server, data server, Internet Access servers) deben ser accesibles por todos los grupos de usuarios, pero el acceso entre grupos no estará permitido (por cuestiones de rendimiento de la red o de seguridad)