Cómo configurar VLAN de administración para conmutadores y AP Omada (para escenario empresarial)
Contenido
En este artículo se configurarán redes VLAN de administración independientes para switches y puntos de acceso, y se conservará la VLAN predeterminada (cambiando su ID de VLAN y la IP de subred) para los clientes que están aislados de las redes VLAN de administración. También se presenta el método para agregar dispositivos a una red en funcionamiento.
- Controlador Omada (controlador de software/controlador de hardware/controlador basado en la nube, versión 5.9 y superior)
- Interruptores Omada Smart, L2+ y L3
- AP Omada
- Puerta de entrada de Omada
Al configurar la red, muchos clientes desean cambiar las VLAN de administración para el controlador, la puerta de enlace, el AP y el switch, y luego configurar otra VLAN para los clientes, de esta manera, se administran diferentes tipos de dispositivos en diferentes VLAN y los clientes conectados no podrán acceder a los dispositivos, lo que mejora la seguridad de la red.
Esta guía se adapta a la configuración de una empresa y agrega el método para integrar nuevos dispositivos en la red en funcionamiento. Para una configuración de red doméstica simple y a pequeña escala, consulte Cómo configurar VLAN de administración para switches y puntos de acceso Omada (para escenarios SOHO) .
Generalmente las topologías son como las siguientes, se utiliza el switch central para manejar todo el reenvío de Capa 3 y se configura el servidor DHCP en el switch central, el gateway solo será responsable de manejar el tráfico de Internet hacia el switch central:
Como se muestra en la topología, el objetivo final es apagar la VLAN 1 de la red, configurar la VLAN20 para el uso de los clientes, todos los clientes conectados obtendrán una dirección IP en 192.168.20.x/24, configurar la VLAN 30 para la administración del switch y los switches usarán una IP de administración en 192.168.30.x/24, VLAN 40 para la administración de AP y los AP usarán una IP de administración en 192.168.40.x/24, para el router, el switch central y el controlador, su VLAN seguirá siendo predeterminada, pero cambiará a otra ID de VLAN, también puede cambiar las direcciones IP para ellos.
A continuación se muestran los pasos de configuración detallados basados en el ejemplo mostrado en las topologías anteriores.
Paso 1. Conecte el controlador de hardware en el switch central y conecte la PC de administración en el controlador de hardware, luego adopte el switch central, actualmente el servidor DHCP aún no está configurado, por lo que el switch central y el controlador de hardware están usando la dirección IP de respaldo, que es 192.168.0.1 para el switch central y 192.168.0.253 para el controlador de hardware, configure la dirección IP estática de su PC en la subred 192.168.0.x/24 para acceder al controlador de hardware y proceder con la adopción.
Paso 2. Cree las VLAN necesarias.
Primero, cree la VLAN 20 del cliente, la VLAN 30 de administración del switch y la VLAN 40 de administración del AP. Vaya a Configuración – Redes cableadas – LAN - Redes , haga clic en Crear nueva LAN .
A continuación se muestra el ejemplo de la VLAN 20 de clientes, su propósito debe configurarse como VLAN y aplicarse solo en switches .
Luego cree las VLAN de administración de AP y switch siguiendo el mismo método.
El resultado final debería ser así:
Paso 3. Habilite las interfaces en el switch central.
Vaya a Dispositivos , haga clic en el switch central para ingresar a su página de configuración privada, vaya a Configuración – Interfaz VLAN , habilite todas las interfaces, haga clic en Aplicar para guardar.
Como se muestra en la topología, utilizaremos el núcleo MGMT, 192.168.50.x/24 como la VLAN de administración del switch central, la dirección IP del controlador y la PC de administración también estarán en esta red. Por lo tanto, lo que debemos hacer es configurar el perfil del puerto que se conecta al controlador como "Core MGMT", que es el perfil creado automáticamente para esta VLAN, una vez habilitado, este puerto del switch solo se incluirá en la VLAN de Core MGMT. Luego, configure Core MGMT como la VLAN de administración del switch central.
Paso 4. Configure el perfil del puerto en el puerto del switch central que se conecta al controlador.
Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Puertos , haga clic en Editar en otro puerto al que desee conectar el controlador (distinto del puerto al que está conectado el controlador ahora), cambiaremos el controlador a este puerto después de cambiar la VLAN de administración del switch central, en este ejemplo, elijo mover el controlador al puerto 3, por lo que cambiaré el perfil del puerto 3.
Seleccione el perfil como “Core MGMT” y haga clic en Aplicar .
Paso 5. Cambie la VLAN de administración del switch central.
Vaya a Dispositivos , haga clic en el switch central para ingresar a su página de configuración privada, vaya a Configuración – Interfaz VLAN , haga clic en Editar en la VLAN de administración que estamos a punto de configurar.
Marque la casilla Habilitar para configurar esta VLAN como la VLAN de administración. Después de configurarla como VLAN de administración, configure el Modo de dirección IP como Estático y, a continuación, configure una dirección IP estática para ella; en este ejemplo, la configuré como 192.168.50.1. Para el Modo DHCP , configúrelo como Ninguno . Haga clic en Aplicar para guardar la configuración.
Paso 6. Cambie la dirección IP del controlador y la PC de administración.
Ahora, la dirección IP del switch central se cambiará a 192.168.50.x/24, por lo que debemos configurar la dirección IP estática del controlador y la PC de administración en la misma subred para continuar administrando los dispositivos.
La forma de configurar la dirección IP estática en el controlador de hardware es:
Vaya a Vista global – Configuración – Configuración del controlador , establezca la Configuración de red como Estática y luego configure la dirección IP, en este ejemplo es 192.168.50.100.
Después de configurar la dirección IP del controlador de hardware, también es necesario cambiar la dirección IP de la PC de administración. Después de configurar la dirección IP de la PC de administración, ingrese la nueva dirección IP del controlador de hardware para ingresar nuevamente a la GUI del controlador.
Paso 7. Conecte el controlador al puerto con el perfil de puerto correcto.
En los pasos anteriores, hemos cambiado el perfil del puerto de un nuevo puerto de switch a “Core MGMT”; ahora, después de cambiar la dirección IP del controlador y la PC de administración, debemos conectar el controlador a ese puerto para garantizar la comunicación entre el controlador y el switch central. Después de este paso, el switch central debería volver a adoptarse correctamente en el controlador.
Paso 8. Configure la interfaz VLAN predeterminada.
Vaya a Configuración – Redes cableadas – LAN – Redes , haga clic en Editar en VLAN predeterminada.
Cambie su ID de VLAN y la IP de subred para omitir la VLAN 1 en la red, en este ejemplo cambió a VLAN 10, para la Puerta de enlace/Subred , configúrela en 192.168.10.x/24, en este ejemplo, la configuré como 192.168.10.2, que es la dirección IP de la puerta de enlace, esto ayudará a adoptar la puerta de enlace Omada en el controlador más adelante, si no tiene una puerta de enlace Omada, también puede ingresar la dirección IP de la puerta de enlace aquí. Finalmente, deshabilite el servidor DHCP.
El resultado final debería ser así:
Paso 9. Configure el resto de interfaces y servidores DHCP en Core Switch.
A continuación, debemos configurar las interfaces y el servidor DHCP para las otras cuatro VLAN. Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Configuración – Interfaz VLAN , haga clic en el botón Editar en cada VLAN para ingresar a la página de configuración.
Para cada interfaz VLAN, primero debemos configurar una dirección IP estática en el switch central. Establezca el modo de dirección IP como estático y establezca una dirección IP estática para esta interfaz. Establezca el modo DHCP como servidor DHCP y configure el grupo de direcciones. Tenga en cuenta que la puerta de enlace debe configurarse como este switch central porque el reenvío de capa 3 lo realiza este.
Por ejemplo, en SW MGMT VLAN 30, configuraré la dirección IP de la interfaz del switch central como 192.168.30.1, el pool es 192.168.30.1/24, DNS y la puerta de enlace predeterminada son ambas 192.168.30.1. La opción 138 de DHCP se utiliza para informar a los dispositivos la dirección IP del controlador durante el procedimiento DHCP, esto es necesario configurarlo porque finalmente todos los dispositivos de red no estarán en la misma VLAN, necesitan la opción 138 de DHCP para encontrar el controlador y ser adoptados. En este ejemplo, la dirección IP del controlador es 192.168.50.100. Haga clic en Aplicar para guardar la configuración.
Finalizar la configuración de los clientes, predeterminados, SW MGMT y AP MGMT VLAN como se presentó.
Paso 10. Adoptar todos los switches y puntos de acceso.
Después de adoptar los switches y los puntos de acceso, todos deberían obtener la dirección IP de la VLAN predeterminada, cuya subred es 192.168.10.x/24.
Paso 11. Configure la VLAN de administración para los switches.
Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Config – Interfaz VLAN , habilite la Interfaz VLAN de administración del switch, haga clic en Aplicar .
Ahora que la interfaz VLAN de administración del switch está habilitada en el switch, configure la VLAN de administración del switch. Haga clic en el botón Editar de la VLAN de administración del switch.
Marque la casilla Habilitar para configurar esta VLAN como la VLAN de administración. Después de configurarla como VLAN de administración, puede configurar su IP de respaldo, lo que significa que cuando el dispositivo no pueda obtener una dirección IP a través de DHCP, volverá a esta dirección IP, lo que garantiza la administración de este dispositivo. Aquí la configuré como 192.168.30.10, incluida en la VLAN de administración del switch. Haga clic en Aplicar para guardar la configuración.
Apague la interfaz VLAN predeterminada para finalizar el cambio de VLAN de administración, haga clic en Aplicar para guardar la configuración.
Espere un momento para que las configuraciones se entreguen al dispositivo; es posible que el switch vuelva a adoptarse durante este procedimiento. Verá que la dirección IP del switch se ha cambiado a la nueva VLAN después de finalizar la conmutación de la VLAN de administración.
Paso 12. Configure la VLAN de administración para los AP.
Vaya a Dispositivos , haga clic en el EAP para ingresar a su página de configuración privada. Vaya a Configuración – Servicios y configure la VLAN de administración como Personalizada , luego elija la VLAN correspondiente y haga clic en Aplicar para guardar la configuración.
Espere un momento, luego de ejecutarse la configuración, encontrará que se ha cambiado la dirección IP del AP.
Paso 13. Configure los perfiles de puerto en los switches para el uso de la VLAN de los clientes.
Para garantizar que todos los clientes cableados obtengan una dirección IP de la VLAN de los clientes, debemos cambiar el perfil de puerto de todos los puertos de enlace descendente en los switches que se conectan directamente a los dispositivos finales al perfil de VLAN de los clientes.
Vaya a Dispositivos , haga clic en el switch para ingresar a su página de configuración privada, vaya a Puertos , seleccione los puertos de enlace descendente que se conectan directamente a los dispositivos finales, luego haga clic en Editar seleccionados para cambiar por lotes sus perfiles de puerto.
Cambie los perfiles de estos puertos al perfil que se crea automáticamente después de crear la VLAN de los clientes, haga clic en Aplicar para guardar la configuración.
Paso 14. Configure SSID VLAN para clientes inalámbricos.
Vaya a Configuración – Redes inalámbricas – WLAN , haga clic en Crear nueva red inalámbrica para crear un SSID para los clientes inalámbricos.
Establezca un nombre y una contraseña para este SSID, luego haga clic para expandir la Configuración avanzada , configure la VLAN en Personalizada , luego en Agregar VLAN , seleccione la VLAN de los clientes que hemos creado, haga clic en Aplicar para guardar la configuración.
Paso 15. Cree grupos de IP y reglas de ACL para evitar que los clientes accedan al controlador y a los dispositivos de red.
Actualmente en el controlador, estas VLAN se crean como VLAN de capa 2 y luego se habilitan las interfaces VLAN en el switch central, por lo que no se incluyen en las redes; primero debemos crear grupos de IP para poder crear reglas de ACL basadas en ellos.
Vaya a Configuración – Perfiles – Grupos , haga clic en Crear nuevo grupo .
Necesitamos crear un grupo de IP para cada subred, en este ejemplo, hay cuatro subredes, Default, Clients, SW MGMT y AP MGMT, ingrese el nombre, seleccione Type como IP Group , para IP Subnet , ingrese la dirección de red de cada subred. Por ejemplo, la subred IP del grupo Default es 192.168.10.1/24. Haga clic en Apply para guardar la configuración.
El resultado final debería ser así:
Vaya a Configuración – Seguridad de red – ACL – Cambiar ACL , haga clic en Crear nueva regla para crear una nueva regla de ACL.
Introduzca un nombre como Descripción para esta regla. En Política , elija Denegar y, a continuación, seleccione todos los Protocolos . En Origen y Destino , establezca el Tipo como Grupo de IP y, a continuación, elija el grupo de clientes como origen y todos los demás grupos de administración como destino. Aplique esta regla en todos los puertos. Haga clic en Crear para crear esta regla que niega a los clientes el acceso al controlador y a otros dispositivos de red.
Al configurar esta regla de ACL, cuando los dispositivos cliente estén conectados y obtengan la dirección IP de 192.168.20.x/24, no podrán acceder al controlador ni al switch, lo que mejora la seguridad de la red.
Paso 16. Adopte el Gateway en el controlador Omada (en caso de que tenga Omada Gateway).
Si tiene una puerta de enlace Omada, también puede adoptarla en el controlador Omada para una mejor administración. Pero aquí ya hemos cambiado la ID de VLAN predeterminada a 10, mientras que la puerta de enlace tendrá el servidor DHCP habilitado de forma predeterminada y se configurará como 192.168.0.1, esto hará que la puerta de enlace no se adopte, por lo que debemos realizar una configuración previa en la puerta de enlace antes de adoptarla en el controlador Omada.
Ingrese a la interfaz web del gateway accediendo a 192.168.0.1, configure un nombre de usuario y contraseña para el mismo, luego vaya a Red – LAN – LAN , haga clic en Editar en la red predeterminada.
Cambie esta red a VLAN 10 y la dirección a 192.168.10.x/24, por ejemplo, aquí la cambio a 192.168.10.2. Además, hemos habilitado el servidor DHCP en el switch central, por lo que en el gateway, deshabilitamos el servidor DHCP desmarcando la casilla Habilitar de Estado . Haga clic en Aceptar para guardar la configuración.
Después de cambiar su dirección IP, también necesitará cambiar la dirección IP de su PC a la subred 192.168.10.x/24 para acceder nuevamente a la interfaz web de la puerta de enlace.
Vaya a Herramientas del sistema – Configuración del controlador , en URL de información del controlador , ingrese la dirección IP del controlador: 192.168.50.100, haga clic en Guardar .
Después de configurar la dirección IP del controlador, también se necesita una ruta estática para que la puerta de enlace encuentre el controlador. Vaya a Transmisión – Enrutamiento – Ruta estática y haga clic en Agregar para crear una nueva ruta estática.
Complete la dirección IP de destino con la dirección IP del controlador, que es 192.168.50.100 en este ejemplo, y configure el siguiente salto como la dirección IP de la interfaz VLAN predeterminada del switch central, que es 192.168.10.1. Para Interfaz , seleccione LAN. Haga clic en Aceptar para crear.
Después de la preconfiguración, conecte la puerta de enlace a un puerto en el switch central cuyo perfil de puerto esté configurado como "Todos", y verá la puerta de enlace pendiente con la dirección IP 192.168.10.2 en la lista de dispositivos, adóptela con el nombre de usuario y la contraseña que haya configurado.
Paso 17. Configure rutas estáticas en el switch central.
No importa si tiene una puerta de enlace Omada o no, es necesario configurar rutas estáticas en el switch central y reenviar todo el tráfico de Internet a la puerta de enlace, porque todo el reenvío de capa 3 lo realiza el switch central y la puerta de enlace predeterminada para cada red se configura como el switch central.
Vaya a Dispositivos y haga clic en el switch para ingresar a su página de configuración privada. En Configuración > Ruta estática, haga clic en Agregar para agregar una nueva ruta estática.
Marque esta opción para cambiar el Estado a Habilitado . Dado que estamos tratando con todo el tráfico de Internet, puede configurar la IP/subred de destino en 0.0.0.0 y el siguiente salto en la puerta de enlace en 192.168.10.2. Para otro tráfico, primero se buscarán rutas predeterminadas más precisas, por lo que solo debe ingresar 1 para Distancia y hacer clic en Aplicar para guardar la configuración.
El resultado debería ser así:
Después de configurar la ruta estática en el switch central, también debemos configurar una ruta estática inversa en la puerta de enlace para asegurarnos de que todo el tráfico de Internet se reenvíe al switch central. En el switch central, configuramos el destino como 0.0.0.0/0 y el siguiente salto como 192.168.10.2, por lo que en la puerta de enlace, debemos configurar una inversa. Como las subredes en esta red son 192.168.10.x/24, 192.168.20.x/24, 192.168.30.x/24, 192.168.40.x/24 y 192.168.50.x/24, necesitamos 5 rutas estáticas y el siguiente salto como 192.168.10.1, que es la interfaz VLAN predeterminada del switch central.
Si no utiliza la puerta de enlace Omada, simplemente configure estas rutas estáticas en su puerta de enlace. Si tiene la puerta de enlace Omada y ya la adoptó, siga el paso 15 para configurar una ruta estática en la puerta de enlace.
Paso 18. Configure rutas estáticas en el gateway (en caso de tener gateway Omada).
Vaya a Configuración>Transmisión>Enrutamiento>Ruta estática y haga clic en Crear nueva ruta.
Aquí, la ruta estática para 192.168.50.0/24 se ha configurado en la configuración previa de la puerta de enlace, por lo que solo necesitamos configurar cuatro rutas estáticas más aquí. Para las cuatro rutas estáticas, la IP/subred de destino debe configurarse como 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24 y 192.168.40.0/24, configure el tipo de ruta como Próximo salto y el Próximo salto como 192.168.10.1. Haga clic en Crear para crear una ruta estática.
El resultado final debería ser así:
Paso 19. Agregar más switches y puntos de acceso a la red. (Opcional)
Para agregar más switches y puntos de acceso a la red, simplemente conéctelos al puerto del switch cuyo perfil esté configurado como “Todos” y podrán obtener con éxito la dirección IP de la VLAN predeterminada 192.168.10.x/24. Una vez adoptados, cambie su VLAN de administración de la misma manera que en los pasos anteriores.
Después de esta configuración, el gateway, los switches y los APs están en diferentes VLAN de administración.
La PC cableada conectada al switch obtiene la dirección IP de la VLAN 192.168.20.x/24 del cliente:
El teléfono conectado de forma inalámbrica está obteniendo la dirección IP de los clientes VLAN 192.168.20.x/24:
El cliente no puede acceder a los dispositivos de red administrados:
Hasta ahora hemos presentado cómo configurar una red a gran escala y utilizar diferentes redes VLAN para administrar puertas de enlace, switches centrales, otros switches y puntos de acceso, y luego conectar clientes en una VLAN específica y aislarlos con los dispositivos de red. También se presenta el método para agregar más dispositivos a la red en ejecución e integrar puertas de enlace de Omada u otro proveedor.
Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.