Foro en Español

Reply
Regular Contributor I
Posts: 192
Registered: ‎03-27-2014

Visibilidad entre diferentes vlans

Buenas,

 

Tenemos un controlador que hace de nivel 3 para diferentes oficinas. Necesitamos que estos direccionamientos no tengan visibilidad entre ellos. Existe alguna opcion? Hemos visto que se puede denegar la visibilidad entre usuarios de una misma red, pero nos interesaria separar la visibilidad entre redes (como una vrf). 

 

Gracias,

Contributor I
Posts: 24
Registered: ‎09-25-2015

Re: Visibilidad entre diferentes vlans

Buenas;

 

 Si la controladora es la que hace de default gateway para esas redes, seria necesario crear una ACL para denegar el acceso por Rol. 

 

 Si en la controladora no es el defatult gateway puedes desabilitar la opcion inter-vlan routing. 

 

Un saludo.

 

Angel de la Encarnacion.

 

ACMP, ACCP, ACDX#544

 

Regular Contributor I
Posts: 192
Registered: ‎03-27-2014

Re: Visibilidad entre diferentes vlans

Buenas,

 

El GW lo tendra el controlador. Pero el problema esta en que solo se irradiara un unico SSID para las diferentes sedes, de forma que por ROL no veo la posibilidad de realizarlo ya que se asiga un ROL por SSID no?. 

El escenario es:

Diferentes sedes, un unico SSID con validación 802.1x contra ISE y en función del certificado el ISE lo dejara en una vlan o en otra. Pero queremos que las sedes no tengan visibilidad entre ellas.

Contributor I
Posts: 24
Registered: ‎09-25-2015

Re: Visibilidad entre diferentes vlans

[ Edited ]

Buenas;

 

 No pienses en los roles de la controladora por SSID sino por usuario. Desde el ISE tu puedes mandar el parametro filter-id ( raidus IETF), de esta manera puedes asignar una ACL a un usuario. 

 

 Es decir, ademas de enviar la VLAN correspodiente por usuario, tambien debes poder enviar a la controladora el parametro filter-id que debe coincidir exactamente con el rol que tengas en la controladora.

 

Un saludo.

 

Angel De la Encarnacion

 

ACMP, ACCP, ACDX#544

Regular Contributor I
Posts: 192
Registered: ‎03-27-2014

Re: Visibilidad entre diferentes vlans

Por que los controladores permite crear VRFs?

Contributor I
Posts: 24
Registered: ‎09-25-2015

Re: Visibilidad entre diferentes vlans

Buenas;

 

 Las controladoras, no te permiten crear VRFs. Pero como decia en un post anterior la manera de hacer lo que necesitas de una manera sencilla es con los roles y sus politicas. Para ello debes tener la licencia PEF en las controladoras.

 

https://community.arubanetworks.com/t5/Controller-Based-WLANs/How-do-I-map-Active-Directory-to-the-Cisco-ACS-using-a-filter-id/ta-p/177000

 

Aqui puedes ver la configuracion para que la controladora entienda el filter-id.

 

 Aunque es con un ACS, la parte de la controladora es la misma.

 

Un saludo.

 

Angel De la Encarnacion.

 

ACMP, ACCP, ACDX#544

 

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: