Boas Tardes
partindo do cenário que existe uma LAN, dividida em duas VLAN's ... onde ambas partilham recursos ,
gostaria de saber se é possivel, ter um AP Wireless que apenas permitisse que quem se ligasse ali, só teria acesso ao exterior e não à intranet ...
para isso, basta alocar esse AP como membro único de uma terceira VLAN, e tirando partido das capacidades Layer3 do switch (que as tem), fazer para a porta onde o AP liga, a seguinte e única rota:
uma rota estática do tipo 0.0.0.0 next hop => ip.do.gateway.internet ....
é isto possível ???
Claro que é possível, depende do equipamento que tiveres.
O próprio AP pode ter essa funcionalidade, se o AP não tiver podes fazer como referiste.
Partindo do princípio que estamos a falar de equipamentos Cisco (L3 switch como referiste, do estilo 3550 ou 3750), crias uma terceira Vlan e metes essa vlan na porta do switch (por exemplo, interface gig 0/3
switchport mode access vlan 10), crias nesse mesmo switch uma interface vlan (vai ser a gateway): Int vlan 10 / ip address 192.168.2.62 255.255.255.224 e a rota estática já deve estar criada anteriormente, pois presumo que tenhas as outras vlans a aceder à internet), mas se não tiveres
ip route 0.0.0.0 0.0.0.0 next hop (não metas a interface de saída pois sem proxy ARP às vezes dá problemas, em ethernet claro).
Uma nota, para isolares completamente o tráfego da Vlan do AP, deves criar uma access-list. Pois como estamos a falar de um L3 switch, a routing table vai ter as rotas das outras vlans directly connected, e, por conseguinte irá conseguir aceder às mesmas. Para efectuar isso crias uma access list do estilo:
access-list 101 deny ip any 192.168.1.0 0.0.0.255
access-list 101 deny ip any 192.168.2.0 0.0.0.255
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 443 (permitir só http e https, protocolos mais usados, mais seguro)
ou access-list 101 permit ip any any (acesso internet total incluindo torrents e essas cenas que estouram largura de banda).
Deves aplicar esta access-list na interface Vlan do AP, partindo do princípio que é a vlan 10:
interface vlan 10
ip access-group 101 in
Para mais segurança, aconselhava a criação de uma standard access-list nas interfaces vlan das outras duas vlans, just in case:
access-list 2 deny 192.168.2.32 0.0.0.31
E depois deves aplicar a mesma:
interface vlan [vlan dados]
ip access-group 2 out
Desta maneira tens a certeza que mesmo que tenhas enganado na extended access-list, ainda tens uma standard access-list para impedir que o tráfego da subnet do AP entre nas redes de dados.
Atenção, deves com certeza proteger-te contra os ataques mais básicos, nomeadamente contra o vlan-hopping attack (double vlan header), e switch spoofing attack.
Para mitigar o primeiro, nenhuma porta activa pode estar na vlan 1 (untagged por defeito nos Cisco), metes todas as portas noutras vlans. Metes todos o native trunks numa vlan que cai no vazio (a mais usada é 999).
Em relação ao swicth spoofing, configuras todas as portas como access,o DTP tem que estar desligado (
switchport nonegotiate)
Experimenta e diz se deu.
Cumprimentos.
