Watchguard - Algo Sobre VLAN





Partiendo, comenzare explicando a grandes rasgos que es una VLAN

es un grupo de redes LAN con dominios de broadcast independientes que comparten un mismo medio físico para convivir. Con esto podemos mejorar el uso de Broadcast en la red, mejorar el rendimiento de la misma y ademas poder simplificar la administración de accesos en la red, sin contar que se mejora la Seguridad de la misma, al poder restringir el paso de datos entre vlan.-




Terminología

 

Interfaz Troncal ( Trunk Interface)


Estas interfaces se utilizan para manejar multiples vlan a la vez. Según la vista del Firewall acá es donde convergen todas las VLAN de los switches y podemos realizar las restricciones correspondientes.-

VLAN ID 

Cada vlan maneja un ID para añadir el TAG a la trama ethernet, este debe ser un número unico.-

TAG

Es información que se añade a la trama Ethernet. Es un dato que se agrega segun la norma 802.1q. 

UnTag

Se remueve el tag cuando el tráfico se envia a dispositivos que no entienden 802.1q


Cuando uno configura una interfaz para poder recibir tráfico con tag y sin tag  en todas las interfaces, pero solo podrá aceptar tráfico sin tag en las interfaces, Trusted, Optional y custom
Nota: Cuando uno configura una interfaz de Watchguard para que envie TAGS, es por que al otro lado tenemos un equipo que entenderá estos tags como Router o Switches.-

Requerimientos de configuración

  • Uno no puede configurar el Watchguard en modo drop-in.-
  • Uno no puede usar vlan en modo Bridge, solo podrá Admnistrar el tráfico con tag
  • Una interfaz no puede enviar o recibir tráfico de otras vlan, si la interfaz esta en modo unTag, ademas no se puede recibir tráfico untag desde interfaces Externas.-
  • la limitancia de VLan esta dictada por medio de las licencias que tiene el equipo.-
  • Se pueden añadir como un maximo de 10 Vlan en la interfaz Externas, añadir mas... impactará directamente a la performance.-
 La gran diferencia entre configurar una IP secundaria y una vlan es la seguridad que se puede aplicar sobre las conexiones que pasan por el firewall. El firewall no puede tratar el tráfico que va desde la red de la IP primaria y la IP de la red Secundaria.-

Uno puede asignar mas de una interfaz para que conversen las VLan, por ejemplo puede haber una Eth1 con vlan3, realizando TAG, y puedes configurar en ETH2 con la misma vlan3, destagueando el tráfico.

Politicas 

Cuando uno configura politicas en el Firewall estas solo son aplicadas cuando:
  • la comunicación es entre diferentes VLAN.-
  • la comunicación es desde la Vlan a una interfaz sin vlan
  • Desde una interfaz sin Vlan a otra con VLan
No aplica realizar configuraciones de politicas cuando el tráfico es entre la misma vlan.-

Cuando uno crea las VLAN estas siempre estaran asociadas a una zona de seguridad, ya sea  trusted, optional o external, por lo tanto cuando uno utiliza el objeto Any-External, Any-Trusted, Any-Optional, tambien considerará las interfaces VLAN segun el grupo que pertenezca.-