Las redes cableadas e inalámbricas cada vez soportan más tipos de servicios (Empleados, Invitados, CCTV, VoIP...etc) cuyos requisitos son muy distintos. Por esta razón una buena práctica es segmentar la red en distintos direccionamientos IP, cada uno con una política o permisos distintos. Para poder utilizar distintas redes lógicas sobre una misma red o infraestructura física utilizamos las VLAN o redes de área local virtuales.
En este artículo explicaremos paso a paso como crear una red completa con varias VLANs para distintos servicios y también la creación de reglas de control de acceso para bloquear/permitir el tráfico entre ciertas subredes o dispositivos. Partimos de la siguiente topología formada por un router y dos switches de distintas gamas:
En primer lugar deberemos realizar el diseño de red a nivel lógico donde contemplemos la segmentación por servicio, los direccionamientos y los requisitos de comunicación.
Red de Gestión - VLAN Nativa - 192.168.110.1/24 - DHCP: 192.168.110.2-200
Red Empleados - VLAN 120 - 192.168.120.1/24 - DHCP: 192.168.120.2-200
Red Invitados - VLAN 130 - 192.168.130.1/24 - DHCP: 192.168.130.2-200
Red de CCTV - VLAN 140 - 192.168.140.1/24 - DHCP: 192.168.140.2-200
Comenzamos creando dichas VLAN en el router Reyee, para ello deberemos acceder a la interfaz web (EWEB) desde la plataforma Cloud de Reyee o también podemos hacerlo en local desde su IP por defecto 192.168.110.1
Desde la plataforma Cloud deberemos seguir estos pasos:
En local:
En la interfaz web nos dirigimos al apartado LAN siguiendo estos pasos y pulsamos Add:
Ahora se deben crear todas las subredes necesarias con los parámetros de red que se consideren. En nuestro caso crearemos las siguientes:
En el caso de la red/vlan para CCTV la crearemos sin servidor DHCP ya que se van a utilizar IPs estáticas.
Revisamos que estas VLANs estén configuradas en todos los puertos del router para que después puedan transmitirse hasta el Switch.
Accedemos al apartado de configuración del Switch NBS3200 realizando los siguientes pasos:
Ahora es necesario añadir todas las VLANs que vayamos a utilizar en este switch, es nuestro caso añadiremos todas las VLAN.
En primer lugar se debe configurar el puerto Uplink (puerto que comunica contra el router) para que reciba todas las VLAN. En este caso el Switch entiende las VLANs y los paquetes marcados y por lo tanto se debe configurar como Trunk añadiendo todas las VLAN creadas como Allowed.
Después pulsamos en Batch Edit y podremos aplicar una misma configuración de puertos a un rango de puertos. En este caso seleccionaremos los puertos 3~12 para conectar ordenadores que pertenecerán a la red de empleados. Debido a que los ordenadores (en general) no entienden las VLANs o el tráfico TAG, marcaremos los puertos de tipo Access y con la VLAN 120.
El puerto 13 será reservado para conectar el NVR de la solución CCTV. Como el NVR tampoco entiende las VLANs o el tráfico TAG, configuraremos un puerto de tipo Access con la VLAN 140.
Por último en el puerto 48 es el puerto que irá conectado al siguiente Switch PoE RG-ES218GC-P. A través de este puerto se deberán pasar todas las VLANs para poder distribuirlas en el siguiente Switch. Por lo tanto configuraremos el Puerto como Trunk y permitiremos las VLANs que queremos pasar:
Ahora se procederá a configurar el Switch PoE RG-ES218GC-P, para ello realizaremos estos pasos:
En los switches de la Serie ESW es necesario habilitar el Soporte VLAN para que puedan trabajar distinguiendo los paquetes según su marcado, podemos habilitar esta función en el siguiente botón:
En este punto es necesario añadir las VLANs con las que va a trabajar el Switch, para ello se deben seguir estos pasos:
El Switch RG-ES218GC-P recibirá todo el tráfico de las distintas VLANs a través de su puerto 1, por lo tanto este puerto será de tipo Trunk con los siguientes parámetros:
En este caso destinaremos el rango de puertos 3~8 a ordenadores que estarán en la red de empleados y con se ha explicado anteriormente estos deberán ser de tipo Access con VLAN 120
El rango de puertos 9~14 se destinará a la conexión de cámaras para la red CCTV que tampoco entienden el tráfico marcado por las VLAN
Por último en el puerto 16 se encuentra conectado un Punto de Acceso a través del cual se quiere propagar dos SSID o redes inalámbricas. Una será para la red de Invitados y otra para la red de Empleados. El Punto de Acceso si que entiende el tráfico marcado y de hecho lo necesita para poder enviar cada paquete por el SSID correcto, por lo tanto en este caso el puerto será Trunk.
En el apartado Wireless crearemos dos SSID, uno para la red Empleados asociado a la VLAN 120 y otro para la red de Invitados asociado a la VLAN 130. La red de Invitados la crearemos en el apartado Guest Wi-Fi para que se le aplique el Isolation.
Por último si uno de nuestros requisitos es bloquear el tráfico entre ciertas subredes/vlans, podemos hacerlo desde el apartado Access Control. Para el ejemplo vamos realizar la siguiente configuración:
- Bloquear el tráfico desde la red de invitados a la red de gestión, de empleados y de CCTV.
¿Le ha sido útil este artículo?
¡Qué bien!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Sus comentarios se han enviado
Agradecemos su esfuerzo e intentaremos corregir el artículo