Politicas para los AP´s MERAKI

Solved
WERC_COLOMBIA
New here

Politicas para los AP´s MERAKI

Compañeros tengo varios AP Merakis; En nuestro FW tengo una politica para que puedan llegar al Dashboard de acuerdo a la documentación de Meraki, pero esto solo la estoy aplicando para los Switches; Si se la aplico a las IP´s de los  AP´s afectaría la navegación de los usuarios que se conecten a las redes wifi de visitantes, ya que salen a Internet con el NAT que Meraki hace. En pocas palabras la politicas en el UTM para los AP´s meraki deben ser como Origen el segmento IP de los AP´s y el destinatión ALL?

1 Accepted Solution
AjitKumar
Head in the Cloud

Hola @WERC_COLOMBIA 
Supongo que la única solución podría ser crear una política separada para los AP. Permitir el acceso a la subred de AP para acceder a cualquier destino. Esto permitirá el acceso COMPLETO a Internet, incluida la comunicación a la nube.

Regards,
Ajit
AjitsNW@gmail.com
www.ajit.network

View solution in original post

3 Replies 3
AjitKumar
Head in the Cloud

Hola @WERC_COLOMBIA 
Supongo que la única solución podría ser crear una política separada para los AP. Permitir el acceso a la subred de AP para acceder a cualquier destino. Esto permitirá el acceso COMPLETO a Internet, incluida la comunicación a la nube.

Regards,
Ajit
AjitsNW@gmail.com
www.ajit.network
roqe360
Getting noticed

Hola:

Recomendaciones de mejores practicas son:

Puerto Trunks en el sw permitiendo todas las vlans.

Vlan de managment etiquetada ejemplo Vlan 1. (Cuando conectes los APs al Sw, la Vlan que asignara es la Vlan 1 para todos los APs).

Vlan de servicio etiquetada con una subred para tus clientes, ejemplo Vlan 2.

Configura el SSID para que haga tag con Vlan 2. (Cuando propagues el SSID, a través de Bridge y con Tag Vlan2, las direcciones que asignara son las de la Vlan 2).

Las politicas las puedes aplicar unicamente a la Vlan 1 para llegar a la nube.

 

Si tu pones al AP que haga NAT, los equipos trabajar aislados, es decir, no trabajran en red, si tienes una impresora WiFi no la alcanzaras a menos que la tengas cableada y con acceso a la LAN, por otro lado si tienes dispositivos que quieras alcanzar vía WiFi como pantallas,  Chromcast, equipos de audio, Alexa, bridge de luces no podras alcanzarlos para configurarlos o controlarlos, no podras hacer rooming entre APs. Si quieres que hagan rooming entre tus APs lo mejor es colocarla en modo de bridge y hacer Vlan Tagging con la Vlan 2 y asi podras alcanzar los dispositivos sin problema alguno.

 

Espero que la información sea de utilidad.

 

roqe360
Getting noticed

El SSID para visitantes configurada con NAT de Meraki es la mejor recomendación para mantenerlos aislados de tu red corporativa.

 

Get notified when there are additional replies to this discussion.