LAN PARTY — Zona WiFi

Zona WiFi i serveis assistents · Configuració segura i controlada

📋 1. Objectiu de la zona WiFi

Context i propòsit

Durant la LAN Party es va habilitar una zona WiFi destinada exclusivament a serveis assistents (consultar informació, comunicació interna, ús bàsic de mòbils), mai per a jocs ni trànsit intensiu. Per això, la configuració es va dissenyar perquè fos només de sortida, sense accés a configuracions internes ni possibilitat de crear xarxes personals a partir d’aquest WiFi.

L’objectiu principal és garantir que el WiFi no comprometi la seguretat, el rendiment ni l’equitat de la LAN Party.

🔌 2. Ports dedicats als punts d’accés WiFi

🖧 Distribució de ports per a WiFi

Switch	Port	Mode	VLAN	Funció
Switch_2	Fa0/7	Access	104	Punt d’accés WiFi assistent
Switch_3	Fa0/7	Access	104	Punt d’accés WiFi assistent

La VLAN 104 s’utilitza com a segment aïllat per al WiFi, separada de les VLANs de jugadors i d’administració.

🛡️ Característiques de seguretat

▸Només sortida: trànsit cap a fora, sense accés a gestió.
▸Sense xarxes personals: BPDU Guard actiu.
▸Control de flux: storm-control broadcast/multicast/unicast 5%.
▸Aïllament: VLAN 104 separada de la resta de segments.

⚙️ 3. Configuració del port WiFi al switch

Configuració d’exemple del port Fa0/7 (Switch_2 i Switch_3) CLI

El port dedicat al punt d’accés WiFi es configura com a port d’accés a la VLAN 104, amb PortFast, BPDU Guard, storm-control i sense CDP per reduir la superfície d’atac.

Switch_2# configuració del port WiFi (Fa0/7)

Switch_2#configure terminal
Switch_2(config)#interface FastEthernet0/7
Switch_2(config-if)#switchport mode access
Switch_2(config-if)#switchport access vlan 104
Switch_2(config-if)#spanning-tree portfast
Switch_2(config-if)#spanning-tree bpduguard enable
Switch_2(config-if)#storm-control broadcast level 5.00
Switch_2(config-if)#storm-control multicast level 5.00
Switch_2(config-if)#storm-control unicast level 5.00
Switch_2(config-if)#no cdp enable
Switch_2(config-if)#exit
Switch_2(config)#end
Switch_2#! Port WiFi configurat com a sortida segura a VLAN 104

Switch_3# configuració equivalent del port WiFi (Fa0/7)

Switch_3#configure terminal
Switch_3(config)#interface FastEthernet0/7
Switch_3(config-if)#switchport mode access
Switch_3(config-if)#switchport access vlan 104
Switch_3(config-if)#spanning-tree portfast
Switch_3(config-if)#spanning-tree bpduguard enable
Switch_3(config-if)#storm-control broadcast level 5.00
Switch_3(config-if)#storm-control multicast level 5.00
Switch_3(config-if)#storm-control unicast level 5.00
Switch_3(config-if)#no cdp enable
Switch_3(config-if)#exit
Switch_3(config)#end
Switch_3#! Port WiFi assistent amb la mateixa política

📊 4. Limitació de velocitat i flux de dades

Control d’ample de banda i QoS al port WiFi Rendiment

Per evitar que el WiFi afecti el rendiment de la LAN Party, es limita l’ample de banda del port i es dona una prioritat baixa al trànsit procedent de la VLAN 104.

Switch_2# limitació d’ample de banda al port WiFi

Switch_2#configure terminal
Switch_2(config)#interface FastEthernet0/7
Switch_2(config-if)#srr-queue bandwidth limit 30
Switch_2(config-if)#exit
Switch_2(config)#end
Switch_2#! El port només pot utilitzar aproximadament el 30% de la seva capacitat

🔒 5. Aïllament de la VLAN WiFi al router

ACL per impedir accés a VLANs internes Seguretat L3

La VLAN 104 només pot sortir cap a fora (per exemple, Internet o serveis externs), però no pot accedir a cap altra VLAN interna (101, 102, 103, 99). Això es reforça amb una ACL aplicada a la subinterfície del router corresponent a la VLAN 104.

Router1# ACL per aïllar la VLAN 104 (WiFi)

Router1#configure terminal
Router1(config)#access-list 104 deny ip 192.168.104.0 0.0.0.255 192.168.0.0 0.0.255.255
Router1(config)#access-list 104 permit ip any any
Router1(config)#interface FastEthernet0/0.4
Router1(config-subif)#encapsulation dot1Q 104
Router1(config-subif)#ip address 192.168.104.1 255.255.255.0
Router1(config-subif)#ip access-group 104 in
Router1(config-subif)#exit
Router1(config)#end
Router1#! La VLAN 104 només pot sortir, no pot accedir a xarxes internes

✅ 6. Verificació de funcionament

Proves de connectivitat i seguretat Evidències

Es van realitzar proves des d’un client WiFi connectat a la VLAN 104 per verificar:

Accés correcte a serveis externs (si estan disponibles).
Impossibilitat de fer ping a IPs de VLANs 101, 102, 103 i 99.
Impossibilitat d’accedir a la gestió dels switches o del router.
Limitació efectiva de l’ample de banda i control de trànsit.

Client WiFi (VLAN 104) · Prova de ping a una VLAN interna

C:\>ipconfig

Wireless LAN adapter Wi-Fi:
   IPv4 Address. . . . . . . . . . . : 192.168.104.10
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.104.1

C:\>ping 192.168.101.2

Pinging 192.168.101.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.101.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# La VLAN 104 no pot accedir a la VLAN 101 (jugadors)

🏁 Conclusions

✅ Resultat de la Tasca 3 — Zona WiFi i serveis assistents

Segmentació correcta: La VLAN 104 aïlla completament el trànsit WiFi de les VLANs de joc i administració.
Seguretat de port: PortFast, BPDU Guard, storm-control i desactivació de CDP redueixen la superfície d’atac.
Control de rendiment: La limitació del 30% garanteix que el WiFi no afecti la qualitat de la LAN Party.
Aïllament L3: L’ACL del router impedeix qualsevol accés de la VLAN 104 cap a xarxes internes.
Evidències verificades: Les proves de ping confirmen el comportament esperat de la configuració.

Xarxa Wi-Fi per assistents

LAN PARTY — Zona WiFi

Context i propòsit

🖧 Distribució de ports per a WiFi

🛡️ Característiques de seguretat

✅ Resultat de la Tasca 3 — Zona WiFi i serveis assistents