Cómo configurar VLAN de administración para conmutadores y AP Omada (para escenario SOHO)

Knowledgebase
Configuration Guide
Controller
Vlan
ACL
07-17-2024
131

Contenido

Objetivo

Requisitos

Introducción

Configuración

Verificación

Conclusión

 

 

Objetivo

Este artículo presentará cómo configurar VLAN de administración independientes para los switches y AP administrados por Omada y una VLAN de cliente distinta de la VLAN 1 y aislarlas con los clientes conectados.

Requisitos

  • Controlador Omada (controlador de software/controlador de hardware/controlador basado en la nube, versión 5.9 y superior)
  • Switches Omada Smart, L2+ y L3
  • AP Omada
  • Puerta de enlace Omada

Introducción

Al configurar la red, muchos clientes desean cambiar las VLAN de administración para el controlador, la puerta de enlace, el AP y el switch, y luego configurar otra VLAN para los clientes, de esta manera, se administran diferentes tipos de dispositivos en diferentes VLAN y los clientes conectados no podrán acceder a los dispositivos, lo que mejora la seguridad de la red.

Esta guía se adapta a la configuración de una red completamente nueva para el uso en escenarios SOHO, lo que significa que no tiene ninguna configuración como VLAN de administración antes, y también la escala de la red es simple y típica. Si desea configurar un conjunto de redes comerciales profesionales o ya tiene un conjunto de configuraciones de red y desea integrar los dispositivos Omada en la red, consulte Cómo configurar VLAN de administración para switches y puntos de acceso Omada (para escenarios comerciales) .

Normalmente las topologías son como las siguientes, conectando el controlador directamente al gateway:

 

Como se muestra en la topología, el objetivo final es apagar la VLAN 1 de la red, configurar la VLAN20 para el uso de los clientes, todos los clientes conectados obtendrán una dirección IP en 192.168.20.x/24, configurar la VLAN 30 para la administración del switch y los switches usarán una IP de administración en 192.168.30.x/24, VLAN 40 para la administración de AP y los AP usarán una IP de administración en 192.168.40.x/24, para la puerta de enlace y el controlador, su VLAN seguirá siendo predeterminada, pero cambiará a otra ID de VLAN, también puede cambiar las direcciones IP para ellos.

A continuación se muestran los pasos de configuración detallados basados en el ejemplo mostrado en las topologías anteriores.

Configuración

Paso 1. Adopte la puerta de enlace en la VLAN predeterminada.

Paso 2. Cree las VLAN necesarias.

Primero, cree la VLAN 20 del cliente, la VLAN 30 de administración del switch y la VLAN 40 de administración del AP. Vaya a Configuración – Redes cableadas – LAN - Redes , haga clic en Crear nueva LAN .

 

A continuación se muestra un ejemplo de la administración de switches VLAN 30. Su propósito debe configurarse como Interfaz . En Interfaces LAN , marque todos los puertos LAN que esté utilizando y luego configure su IP, subred y servidor DHCP. Puede configurar el nombre, la ID de VLAN y la IP de subred como desee. Haga clic en Guardar después de terminar.

 

Luego cree la VLAN de los clientes y la VLAN de administración de AP siguiendo el mismo método.

Paso 3. Configure la VLAN predeterminada.

Después de eso, haga un cambio en la VLAN predeterminada, haga clic en Editar en VLAN predeterminada, cambie su ID de VLAN y su IP de subred para omitir la VLAN 1 en la red, aquí elijo cambiarla a VLAN 10, 192.168.10.x/24 y habilitar el servidor DHCP en esta red.

 

El resultado final debería ser así:

 

Hasta ahora, ha creado las VLAN en la red y también las interfaces en la puerta de enlace. Y la dirección IP de la puerta de enlace se cambiará a 192.168.10.1. Después de eso, deberá reiniciar el controlador de hardware para activar el procedimiento DHCP y obtener la dirección IP de 192.168.10.x/24 para poder volver a adoptar la puerta de enlace. Si está utilizando un controlador de software, simplemente desconecte la PC para obtener la dirección IP nuevamente o configure una IP estática para su PC. Ahora, la página del dispositivo debería verse así:

Paso 4. Adoptar todos los switches y puntos de acceso.

Después de adoptar los switches y los puntos de acceso, todos deberían obtener la dirección IP de la VLAN predeterminada, cuya subred es 192.168.10.x/24.

Paso 5. Configure la VLAN de administración para los switches.

Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Config – Interfaz VLAN , habilite la Interfaz VLAN de administración del switch, haga clic en Aplicar .

 

Ahora que la interfaz VLAN de administración del switch está habilitada en el switch, configure la VLAN de administración del switch. Haga clic en el botón Editar de la VLAN de administración del switch.

 

Marque la casilla Habilitar para configurar esta VLAN como la VLAN de administración. Después de configurarla como VLAN de administración, puede configurar su IP de respaldo, lo que significa que cuando el dispositivo no pueda obtener una dirección IP a través de DHCP, volverá a esta dirección IP, lo que garantiza la administración de este dispositivo. Aquí la configuré como 192.168.30.10, incluida en la VLAN de administración del switch. Haga clic en Aplicar para guardar la configuración.

 

Apague la interfaz VLAN predeterminada para finalizar el cambio de VLAN de administración, haga clic en Aplicar para guardar la configuración.

 

Espere un momento para que las configuraciones se entreguen al dispositivo; es posible que el switch vuelva a adoptarse durante este procedimiento. Verá que la dirección IP del switch se ha cambiado a la nueva VLAN después de finalizar la conmutación de la VLAN de administración.

Paso 6. Configure la VLAN de administración para los AP.

Vaya a Dispositivos , haga clic en el EAP para ingresar a su página de configuración privada. Vaya a Configuración – Servicios y configure la VLAN de administración como Personalizada , luego elija la VLAN correspondiente y haga clic en Aplicar para guardar la configuración.

 

Espere un momento, luego de ejecutarse la configuración, encontrará que se ha cambiado la dirección IP del AP.

Paso 7. Configure los perfiles de puerto en los switches para el uso de la VLAN de los clientes.

Para garantizar que todos los clientes cableados obtengan una dirección IP de la VLAN de los clientes, debemos cambiar el perfil de puerto de todos los puertos de enlace descendente en los switches que se conectan directamente a los dispositivos finales al perfil de VLAN de los clientes.

Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Puertos , seleccione los puertos de enlace descendente que se conectan directamente a los dispositivos finales, luego haga clic en Editar seleccionados para cambiar por lotes sus perfiles de puerto.

 

Cambie los perfiles de estos puertos al perfil que se crea automáticamente después de crear la VLAN de los clientes, haga clic en Aplicar para guardar la configuración.

 

Paso 8. Configure SSID VLAN para clientes inalámbricos.

Vaya a Configuración – Redes inalámbricas – WLAN , haga clic en Crear nueva red inalámbrica para crear un SSID para los clientes inalámbricos.

 

Establezca un nombre y una contraseña para este SSID, luego haga clic para expandir la Configuración avanzada , configure la VLAN en Personalizada , luego en Agregar VLAN , seleccione la VLAN de los clientes que hemos creado, haga clic en Aplicar para guardar la configuración.

 

Paso 9. Cree una regla de ACL para evitar que los clientes accedan al controlador y a los dispositivos de red.

 

Vaya a Configuración – Seguridad de red – ACL – ACL de puerta de enlace , haga clic en Crear nueva regla para crear una nueva regla de ACL.

 

Introduzca un nombre como Descripción para esta regla, en Dirección , seleccione LAN -> LAN , en Política , seleccione Denegar , luego seleccione todos los Protocolos , en Origen y Destino , configure el Tipo como Red , luego elija la VLAN de los clientes como origen y todas las demás VLAN de administración como destino. Haga clic en Crear para crear esta regla que niega a los clientes el acceso al controlador y a otros dispositivos de red.

 

 

Al configurar esta regla de ACL, cuando los dispositivos cliente estén conectados y obtengan la dirección IP de 192.168.20.x/24, no podrán acceder al controlador ni al switch, lo que mejora la seguridad de la red.

 

Paso 10. Configure la opción DHCP 138 en todos los servidores DHCP.

La opción DHCP 138 se utiliza para informar a los clientes la dirección IP del controlador Omada al ofrecer una dirección IP durante el procedimiento DHCP, aunque todos los dispositivos se adoptaron correctamente y podrían comunicarse con el controlador ahora, pueden perder la conexión con el controlador Omada después de un reinicio, por lo que se necesita la opción DHCP 138, después de la configuración, los dispositivos aún podrían obtener la dirección IP del controlador después de un reinicio, lo que garantiza su gestión estable.

Vaya a Configuración – Redes cableadas – LAN – Redes , haga clic en Editar en la interfaz, desplácese hacia abajo y expanda Opciones de DHCP avanzadas, ingrese la dirección IP del controlador en la columna Opción 138, haga clic en Guardar para aplicar la configuración.

1

 

Verificación

Después de esta configuración, el gateway, los switches y los APs están en diferentes VLAN de administración.

 

La PC cableada conectada al switch obtiene la dirección IP de la VLAN 192.168.20.x/24 del cliente:

 

El teléfono conectado de forma inalámbrica está obteniendo la dirección IP de los clientes VLAN 192.168.20.x/24:

 

El cliente no puede acceder a los dispositivos de red administrados:

Conclusión

Hasta ahora hemos presentado cómo configurar una nueva red y usar diferentes redes VLAN para administrar puertas de enlace, switches, AP, luego conectar clientes en una VLAN específica y aislarlos con los dispositivos de red.

Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.

Evalúa este documento

Documentos relacionados