Foro en Español

Reply
Contributor I
Posts: 34
Registered: ‎09-16-2014

¿cuándo tener VLANes dedicadas a APs?

Tengo una duda de diseño. En una instalación Campus grande, con múltiples segmentos de 512 usuarios cableados donde se quiera desplegar una solución wifi ¿sería aplicable la recomendación de la guía de diseño es dejar a los APs en las VLANes de usuario, de forma que sea más sencillo descubrir Rogue APs?

¿Existe algún escenario donde sea más recomendable utilizar una vlan dedicada a APs por motivos de escalabilidad, troubleshooting u otros (aparte de despliegues tipo IAP)? 

 

Gracias

Moderator
Posts: 933
Registered: ‎07-29-2010

Re: ¿cuándo tener VLANes dedicadas a APs?

Supongo que habrás notado que estaba contestando a otras preguntas y sin embargo esta se quedaba huerfana. No tomes esto como versión oficial ni nada por el estilo, más bien unas "Samu best practices".

 

En primer lugar, una aclaración. Desde hace bastante tiempo (creo que desde la versión 6.0 o 6.1) no se necesita que los APs/AMs "vean" todas las VLANs para detectar rogues, con que lleguen al controller es suficiente. Por tanto, a no ser que tengas distribución a nivel 3 no te haría falta tener los puertos de los AP en modo trunk. En el caso en que tuvieras la distribución a nivel 3, con tener un AM en cada uno de los edificios conectado a un puerto de "trunk" sería suficiente, no te hace falta nada más.

 

Ahora la recomendación. Siempre he preferido poner la electrónica en redes separadas de los usuarios. No sólo por rendimiento (broadcast de una /23 llegando a la CPU de un AP o switch) sino también por seguridad (esto aplica más a instant o a switches). Para tu caso, yo pondría los AP en una vlan dedicada y (si tienes distribución a nivel 3) pondría algún AP conectado a un puerto en modo trunk (con la vlan de electrónica como nativa).

 

Y por último, un poquito de publicidad :) Una funcionalidad bastante chula en los switches Aruba es la de device-profile (ya hablé de ella en un post de hace unos meses). Con ella activa los switches detectan por LLDP que hay un AP conectado y modifican automaticamente la configuración del puerto. Así no tienes que estar pendiente de dónde te han conectado los APs :). Más en este enlace:

https://abouthpnetworking.com/2016/03/24/arubaos-switch-16-01-device-profile-for-aruba-ap/

 

Espero que, aunque tarde, la explicación te sirva de ayuda.

 

Saludos!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: ¿cuándo tener VLANes dedicadas a APs?

Gracias. Muy ilustrativo

Entiendo el argumento de que, para tener una red más segura, con que la controladora vea las MACs cableadas sería suficiente, pero, en vez de tener APs en modo AM ¿no bastaría con que por el trunk de la propia controladora con la capa de agregación/core se pasaran todas las vlanes ahí visibles? Así la controladora vería todos los broadcasts ARP y parte del tráfico BOOTP

Aruba Employee
Posts: 114
Registered: ‎07-09-2015

Re: ¿cuándo tener VLANes dedicadas a APs?

Puede ser una solución, pero realmente lo bonito de la solución de Aruba es no tener la obligación de tirar todas las VLANs hasta el datacenter donde están las controladoras.  Aunque entiendo que las redes de nivel 2 tiene llaman la atención por ser más "plug and play", la realidad de gestionar una red plana no es trivial.  Personalmente, yo prefiero mantener una segmentación de L3 entre los AP's, clientes y los servicios centrales de la controladora. La escalabilidad de las redes L2 siempre hay que tener en mente ....

 

Son mis 2c ;)

 

S2,

 

David

Search Airheads
Showing results for 
Search instead for 
Did you mean: