vlan for guest wifi on zyxel usg router with engenius access points

fonte: vlan-for-guest-wifi-on-zyxel-usg-router-with-engenius-access-points

The goal here is to add a second SSID from the Engenius access point for guest internet access that does not have access to the network resources on the private wifi network. First of all I am using the Zyxel USG20 and an Engenius ECB600. Other similar hardware will be… similar. Here’s how to make this work.

Log into your access point. Add another SSID. Make sure you check the box for Station Separation. After adding it, go to the Management category and click on Management VLAN. Set your VID (VLAN ID) for your second SSID. I’d leave it as “2” and check the Isolation and Enable box. Click Accept at the bottom then click the Save/Reload link under status in the top left. This is all you’ll have to do on the access point.

Log into your router. Click Interface then click the VLAN tab. Click Add. Then set it up this way:
Interface Type: general
Interface Name: vlan2
Zone: LAN1 (This needs to match the zone that your access point is connected to.)
Base Port: lan1
VLAN ID: 2 (This needs to match the ID that you set in your access point)
Description: Make it descriptive!
IP Assignment: Use Fixed IP Address
IP Address: Choose something outside of your main subnet. I want my VLAN to use 192.168.10.x so I’ll set this to 192.168.10.1 (Make sure you select a range that is not in use by your router. Keep in mind that LAN2 may be assigned 192.168.2.x, and DMZ may be 192.168.3.x)
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1 (IP address of router. This may not be necessary.)
Under DHCP Setting:
DHCP: DHCP Server
IP Pool Start Address: 192.168.10.10 pool size 100 (or whatever you need it to be)
Set your DNS servers to something outside your network. Google DNS will work
Set default router to vlan2 IP
Save the settings

Next go to Object->Address and Add a new address. Call it something like VLAN_Subnet. Address type is INTERFACE SUBNET and Interface is vlan2.

Next, click on Network -> Routing. Add a Policy Route.
Description: VLAN
Incoming: Interface
Please select one member: vlan2
Next-hop:
Type: Trunk
Trunk: SYSTEM_DEFAULT_WAN_….
Click OK.

At this point your Guest SSID should be working. You will get IP addresses in the range specified in your VLAN interface. The only problem is that your guest network can see your main network. Block this using your Firewall.

Click Network -> Firewall
Click Add
From: Any
To: Any (Excluding Zywall)
Source: VLAN_Subnet
Destination: LAN1_SUBNET
ACCESS: deny

Add one more rule that blocks router administration:

Click Network -> Firewall
Click Add
From: Any
To: Zywall
Source: VLAN_Subnet
Destination: any
ACCESS: deny

If you have more than one subnet, you’ll need to create other rules that block access to that subnet too.

That’s it!

VLAN, cosa sono?

fonte: https://turingrules.wordpress.com/2014/02/24/vlan-cosa-sono/

VLAN, cosa sono?

lan-party-764022Per capire bene il concetto di VLAN, cerchiamo prima di mostrare uno scenario tipico del suo utilizzo. Immaginiamo un’azienda che ha due dipartimenti distinti. Questi dipartimenti sono collegati ad una Lan tramite un singolo Switch  (Lo switch è un dispositivo che si occupa di instradamento dei pacchetti a livello 2, analogalmente al Router che però è al livello 3). Questa azienda vuole dividere il traffico dei due dipartimenti sia per ragioni di sicurezza, sia per dividere il traffico.

Una soluzione sarebbe utilizzare più LAN, ma potrebbe essere dispendioso.  Quello che si fa è quindi creare due VLAN distinte.

Una VLAN è una tecnologia logia indipendente dalla struttura fisica del mezzo. Attraverso un singolo switch ed una singola LAN, permette di dividere il traffico.

Abbiamo che ogni singolo pacchetto può appartenere ad una sola VLAN. Nel singolo switch, si hanno quindi una ingress port da cui entra il traffico relativo ad una vlan ed una egress port da cui esce. Praticamente il ragionamento è: appena un pacchetto entra nello switch appartiene ad una VLAN. Pacchetti che appartengono ad una VLAN specifica hanno assegnate porte di uscita ed ingresso specifiche, che vengono memorizzate in una particolare tabella detta filtering database. Quindi i singoli pacchetti posso essere associati all VLAN o in base alle porte da cui entrano/escono, oppure anche in base al loro indirizzo MAC.

Il router a livello superiore, vedrà due traffici distinti di pacchetti e gli assegnerà prefissi diversi. In questo modo si ha quindi una separazione del traffico senza intaccare l’infrastruttura fisica.

Esistono 2 tipi di VLAN:

  • VLAN Simmetriche: Le ingress port di un pacchetto sono uguali alle sueegress port
  • VLAN Asimmetriche: Le ingress port di un pacchetto possono essere diverse dalle sue egress port

Le VLAN Asimmetriche permettono la comunicazione tra dipartimenti diversi. Ponendo la egress port del primo dipartimento uguale alla ingress port del secondo, un ipotetico PC nel primo può inviare pacchetti al secondo. Per l’instradamento dei vari pacchetti, le varie VLAN posso condividere una singolaFiltering database oppure averne ognuna una specifica. Quale è la differenza? Torniamo al caso di prima: Ho PC1 che invia un pacchetto a PC2. Il pacchetto inviato passerà per la VLAN1. Se ogni VLAN ha una propria tabella di instradamento, VLAN 1 non conosce PC2 che è presente sulla tabella di VLAN2, e quindi spedirà il pacchetto che ha ricevuto in broadcast su tutte le sue egress port. Risultato? PC2 riceverà comunque il pacchetto di PC1, ma sarà spedito anche ad altri PC che non lo avevano richiesto, aumentando inutilmente il traffico e appesantendo quindi l’infrastruttura. Se invece è presente un’unica tabella condivisa, quando VLAN1 riceve il pacchetto, ha già nella sua tabella l’indirizzo di PC2 che, in quando appartiene a VLAN2 che condivide la sua tabella con VLAN1, e quindi invierà direttamente il pacchetto al destinatario.

E se ci sono più dipartimenti con più switch? La soluzione di collegare gli switch con un collegamento per ogni dipartimenti risulta dispendiosa e potrebbe generare cicli. Quindi si instaura una particolare connessione tra switch definitaTrunk1d: Praticamente, ogni switch è collegato con un altri tramite questo collegamento bidirezionale. Se devo spedire da una VLAN un pacchetto su un’altra appartenente ad un altro switch, invio il pacchetto sul Truck1d con un particolare TAG in modo che appena arriva allo switch successivo, questo sa a quale VLAN appartiene e lo assegna correttamente. Quindi in una VLAN con più switch ci ritroviamo con 3 tipi di porte:

  • Access Port: Gestisce solo pacchetti senza TAG
  • Trunk Port: Gestisce solo pacchetti con TAG, ed è vista di default come egress port
  • Ibrid Port: Gestisce entrambe le tipologie di pacchetti