Meraki

Community

Politicas para los AP´s MERAKI

Solved
WERC_COLOMBIA
New here
‎Dec 3 2020 7:06 AM
‎Dec 3 2020 7:06 AM

Politicas para los AP´s MERAKI

Compañeros tengo varios AP Merakis; En nuestro FW tengo una politica para que puedan llegar al Dashboard de acuerdo a la documentación de Meraki, pero esto solo la estoy aplicando para los Switches; Si se la aplico a las IP´s de los  AP´s afectaría la navegación de los usuarios que se conecten a las redes wifi de visitantes, ya que salen a Internet con el NAT que Meraki hace. En pocas palabras la politicas en el UTM para los AP´s meraki deben ser como Origen el segmento IP de los AP´s y el destinatión ALL?

Labels:
0 Kudos
1 Accepted Solution
AjitKumar
Head in the Cloud
‎Dec 3 2020 11:58 AM
‎Dec 3 2020 11:58 AM

Hola @WERC_COLOMBIA 
Supongo que la única solución podría ser crear una política separada para los AP. Permitir el acceso a la subred de AP para acceder a cualquier destino. Esto permitirá el acceso COMPLETO a Internet, incluida la comunicación a la nube.

Regards,
Ajit
AjitsNW@gmail.com
www.ajit.network

View solution in original post

3 Replies 3
AjitKumar
Head in the Cloud
‎Dec 3 2020 11:58 AM
‎Dec 3 2020 11:58 AM

Hola @WERC_COLOMBIA 
Supongo que la única solución podría ser crear una política separada para los AP. Permitir el acceso a la subred de AP para acceder a cualquier destino. Esto permitirá el acceso COMPLETO a Internet, incluida la comunicación a la nube.

Regards,
Ajit
AjitsNW@gmail.com
www.ajit.network
roqe360
Getting noticed
‎Jan 19 2021 11:47 PM
‎Jan 19 2021 11:47 PM

Hola:

Recomendaciones de mejores practicas son:

Puerto Trunks en el sw permitiendo todas las vlans.

Vlan de managment etiquetada ejemplo Vlan 1. (Cuando conectes los APs al Sw, la Vlan que asignara es la Vlan 1 para todos los APs).

Vlan de servicio etiquetada con una subred para tus clientes, ejemplo Vlan 2.

Configura el SSID para que haga tag con Vlan 2. (Cuando propagues el SSID, a través de Bridge y con Tag Vlan2, las direcciones que asignara son las de la Vlan 2).

Las politicas las puedes aplicar unicamente a la Vlan 1 para llegar a la nube.

 

Si tu pones al AP que haga NAT, los equipos trabajar aislados, es decir, no trabajran en red, si tienes una impresora WiFi no la alcanzaras a menos que la tengas cableada y con acceso a la LAN, por otro lado si tienes dispositivos que quieras alcanzar vía WiFi como pantallas,  Chromcast, equipos de audio, Alexa, bridge de luces no podras alcanzarlos para configurarlos o controlarlos, no podras hacer rooming entre APs. Si quieres que hagan rooming entre tus APs lo mejor es colocarla en modo de bridge y hacer Vlan Tagging con la Vlan 2 y asi podras alcanzar los dispositivos sin problema alguno.

 

Espero que la información sea de utilidad.

 

0 Kudos
In response to roqe360
roqe360
Getting noticed
‎Jan 19 2021 11:52 PM
‎Jan 19 2021 11:52 PM

El SSID para visitantes configurada con NAT de Meraki es la mejor recomendación para mantenerlos aislados de tu red corporativa.

 

0 Kudos
Get notified when there are additional replies to this discussion.
Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco account. If you don't yet have a Cisco account, you can sign up.
© 2024 Cisco Systems, Inc.