Divida su Red y garantice la seguridad BYOD con la solución Omada SDN
Introducción
Hoy en día, un número cada vez mayor de empresas permiten e incluso animan a sus empleados a trabajar con dispositivos móviles personales. La tendencia BYOD (Bring Your Own Device) sin duda devolverá la vitalidad al mundo empresarial. Sin embargo, no es un trabajo fácil para el personal aprovechar al máximo la conveniencia de BYOD sin comprometer los estándares de seguridad. La amenaza para la seguridad de la red aumenta a medida que el personal mueve sus dispositivos por la oficina. Es particularmente el caso de las grandes empresas con múltiples departamentos. La solución SDN de Omada se ocupa de estos problemas aprovechando las funciones de SSID múltiple y las políticas de ACL flexibles.
Para obtener más información sobre la solución SDN de Omada, consulte: https://www.tp-link.com/omada-sdn/
Escenario de aplicación
Tomemos un ejemplo para explicar esto en detalle. Una empresa tiene dos departamentos en un edificio: R&D y Marketing. A cada departamento se le asigna una subred y una VLAN individuales. El departamento de R&D se encuentra en el segmento de subred VLAN 10 y 172.31.10.0/24. El departamento de Marketing está en el segmento de subred VLAN 20 y 172.31.20.0/24. En este escenario, el personal puede llevar sus dispositivos inalámbricos personales al trabajo y conectarse a la red de su departamento, pero no a la red del otro departamento por motivos de seguridad.
Se puede utilizar un conjunto completo de productos de la solución Omada SDN (como el router ER605, el switch TL-SG3428MP y los Puntos de acceso EAP610) para construir la red. Todos los dispositivos están configurados y monitoreados en una plataforma central: el controlador Omada OC300. Puede acceder y administrar el OC300 utilizando su interfaz de usuario web en su computadora.
Estos son los pasos para dividir la red y garantizar la seguridad BYOD mediante la interfaz de usuario web de OC300.
Paso 1. Configure una WAN
Paso 2. Configure una LAN y VLAN
Paso 3. Configurar Wi-Fi
Paso 4. Configure una ACL
Paso 1. Configure una WAN
Vamos a configurar una conexión WAN para el router, que es la conexión a Internet.
1. Vaya a Configuración/ Settings > Redes cableadas/ Wired Networks > Internet. Seleccione el tipo de conexión y configure los parámetros según su ISP. Haga clic en Aplicar para finalizar la configuración. Si obtiene una IP dinámica de su ISP. Debe seleccionar IP dinámica.
Si obtiene una IP estática de su ISP. Debe seleccionar IP estática e ingresar la dirección IP, la máscara de subred, la puerta de enlace predeterminada y el servidor DNS proporcionado por el ISP.
Paso 2. Configure una LAN y VLAN
Primero, verifique la configuración de LAN predeterminada.
1. Vaya a Configuración > Redes cableadas > LAN. Desde ahí, puede ver la configuración de LAN predeterminada.
2. Haga clic . Los parámetros para LAN se muestran en la siguiente tabla. Puede mantener la configuración predeterminada para LAN (VLAN 1).
Parámetro |
Valor |
Nombre |
LAN |
Objetivo |
Interfaz |
Interfaz |
Todos los puertos |
VLAN |
1 |
Gateway/Subnet |
192.168.0.1/24 |
DHCP Server |
Permitir |
DHCP Range |
192.168.0.1 – 192.168.0.254 |
Divida la red local en dos VLAN más y segmentos IP para diferentes departamentos.
3. Para crear la VLAN 10. Haga clic en + Crear nueva LAN. Configure los parámetros en la siguiente tabla.Haga clic en Guardar.
Parameter |
Value |
Name |
R&D |
Objetivo |
Interface |
Interface |
Todos los puertos |
VLAN |
10 |
Gateway/Subnet |
172.31.10.1/24 |
DHCP Server |
Habilitar |
DHCP Rango |
172.31.10.1 - 172.31.10.254 |
3. Para crear la VLAN 20. Haga clic en + Crear nueva LAN. Configure los parámetros en la siguiente tabla.Haga clic en Guardar.
Parametros |
Valor |
Nombre |
Marketing |
Objetivo |
Interfaz |
Interfaz |
Todos los puertos |
VLAN |
20 |
Gateway/Subnet |
172.31.20.1/24 |
DHCP Server |
Enable |
DHCP Range |
172.31.20.1 - 172.31.20.254 |
Para que las VLAN tengan efecto. Debe configurar perfiles de puerto sobre la configuración de VLAN y luego aplicarlos a los puertos del Switch según corresponda. Los perfiles de puerto que necesita se muestran en la siguiente figura.
4. Vaya a Perfil. El controlador creó automáticamente todos los perfiles que necesita de acuerdo con su configuración de VLAN, incluidos All, LAN, R&D y Marketing.
Debe aplicar los perfiles de puerto a los puertos de acuerdo con la siguiente tabla.
5. Vaya a Configuración Switch/Switch Settings. Ahí está el switch en la lista. Haga clic en . Por ejemplo, si desea aplicar el perfil de R&D al puerto 4 y al puerto 6. Seleccione los dos puertos en la lista de puertos y haga clic en Editar seleccionados/ Edit Selected. A continuación, establezca R&D como perfil y haga clic en Aplicar//Apply. En este método, puede aplicar los perfiles a otros puertos de switch.
Paso 3. Configurar Wi-Fi
En este ejemplo, debe crear múltiples SSID para diferentes departamentos en diferentes VLAN, a saber, personal de R&D/ I + D en VLAN 10 y personal de Marketing en VLAN 20. El Wi-Fi para cada departamento se aplica a todos los EAP y cubre toda la oficina por defecto/ default. Sin embargo, debe distribuir diferentes conjuntos de SSID y contraseñas al personal de cada departamento para conectarse a la VLAN correspondiente.
1. Para crear un SSID para el personal de R&D/ I+D en la VLAN 10. Vaya a Redes inalámbricas/Wireless Networks y haga clic en + Crear nueva red inalámbrica/ Create New Wireless. Configure los parámetros en la siguiente tabla. Haga clic en Guardar/ Save.
Parámetros |
Valor |
Nombre de Red (SSID) |
R&D Personal |
Banda |
2.4GHz, 5GHz |
Securidad |
WPA-Personal |
Clave de Securidad |
Personalice la contraseña de la red Inalambrica. |
SSID Broadcast |
Habilitar |
VLAN |
Habilitar la VLAN y establecer la VLAN ID como 10. |
2. Para crear el SSID para el Personal de Marketing/ Marketing Staff en la VLAN 20. Vaya a Redes inalámbricas/ Wireless Networks y haga clic en + Crear nueva red inalámbrica/ Create New Wireless Network. Configure los parámetros en la siguiente tabla. Haga clic en Guardar.
Parametros |
Valor |
|
Nombre de Red (SSID) |
Personal de Marketing/ Marketing Staff |
|
Banda |
2.4GHz, 5GHz |
|
Seguridad |
WPA-Personal |
|
Clave de Seguridad |
Personalice la contraseña de la red Inalambrica. |
|
VLAN |
Enable VLAN and set the VLAN ID as 20. |
3. De forma predeterminada, la configuración de Wi-Fi se aplica a todos los EAP. Para verificar esto. Vaya a Dispositivos y seleccione el EAP. Luego, vaya a la pestaña Configuración y haga clic en WLAN. Puede confirmar que la configuración de Wi-Fi se aplica al EAP.
Paso 4. Configure una ACL
Debe crear una regla de ACL para dividir las VLAN (también los departamentos) entre sí. De lo contrario, los clientes en diferentes VLAN aún podrán acceder entre sí a través de las interfaces de VLAN.
Vaya a Seguridad de red / Network Security > Cambiar ACL y haga clic en + Crear nueva regla/ Create New Rule. Configure los parámetros en la siguiente tabla. Haga clic en Aplicar/ Apply.
Parámetros |
Valor |
Nombre |
R&D and Marketing |
Estado |
Habilitar |
Politica |
Denegar/ Deny |
Protocols |
Todos |
Bi-Directional |
Habilitar |
Fuente |
Seleccione la red como tipo y elija R&D comola fuente. |
Destino |
Seleccione Red como Tipo y elija Marketing como destino. |
Tipo de encuedernación |
Puertos |
Puertos |
Todos los puertos |
Finalmente, ha completado la configuración y se cumplen todos los requisitos de la red:
1) Hay redes cableadas e inalámbricas para cada departamento.
2) La red local se divide en diferentes departamentos (VLAN). Cada departamento opera independientemente del otro.Pero ambos departamentos pueden acceder a Internet.
3) La seguridad BYOD está garantizada. El Wi-Fi de cada departamento se aplica a todos los EAP y cubre toda la oficina. Sin embargo, distribuiremos diferentes conjuntos de SSID y contraseñas al personal de cada departamento para conectarse a la VLAN correspondiente.