Важно известие: |
Следващата статия ви насочва как да конфигурирате устройствата Nebula, когато VLAN за управление не е немаркираният трафик по подразбиране от LAN интерфейса на шлюза.
1. Какво представлява VLAN за управление?
3. Създаване на VLAN интерфейс в NSG/USG FLEX
4. Настройка на VLAN за управление на комутатора
5. Задаване на VLAN за управление на точката за достъп
1. Какво представлява VLAN за управление?
VLAN за управление е обичайна практика, използвана от мрежовите администратори, която не позволява на крайните потребители да имат достъп до ключови мрежови устройства в тяхната мрежова инфраструктура. Това добавя допълнително ниво на защита в рамките на вашата административна мрежа. Това се прави, като всяко мрежово устройство се конфигурира с уникален VLAN ID, като същевременно се гарантира, че крайните потребители влизат в мрежата от различна VLAN. В случая с устройствата Nebula обаче неправилната конфигурация може да отреже отдалечените ви устройства от интернет. Ако вашите устройства Nebula запазят конфигурация, която им забранява да достигат до Nebula CC, тогава единственият начин да се възстанови управлението на устройството може да бъде да се извърши фабрично нулиране. Това ръководство съдържа подробни инструкции за това как правилно да зададете уникален VLAN ID за управление (не VLAN 1) за вашите устройства Nebula в нов сайт, като същевременно избягвате условия, които могат да доведат до загуба на достъп на вашите устройства до Nebula CC.
2. Механизъм за връщане назад
Комутаторът Nebula и точките за достъп разполагат с механизъм, който предотвратява загубата на достъп до интернет от тези устройства поради промени в управлението, направени в Nebula CC. При опит за промяна на IP адреса на устройството Nebula или на VLAN за управление, която води до загуба на достъп до интернет, устройствата Nebula ще се върнат към старите си конфигурации. Това често се обозначава с "Лоша конфигурация за присвояване на IP" в страницата на устройството.
Ключът към успешното конфигуриране на нов IP адрес за управление или VLAN е да се гарантира, че и старите, и новите настройки могат да достигнат до интернет. Едва след като Nebula CC провери, че промените, направени в устройството, не водят до загуба на достъп до интернет, можете да започнете да възстановявате мащаба, да премахвате VLAN или IP интерфейси на вашите комутатори и шлюзове.
3.Настройване на VLAN интерфейс на NSG/USG FLEX
Добавяне и запазване на VLAN100 интерфейс
Серия NSG:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
Серия USG FLEX:
Site-wide > Configure > Firewall > Interface > LAN Interface [+Add]
Това ще създаде маркирана VLAN, настроена на избрания VID на съответната група портове (и USG, и NSG показват подобна конфигурация).
Моля, обърнете внимание, че портовете LAN1 + LAN2 винаги остават като немаркирани членове на VLAN1 с PVID, зададен на 1 - това са непроменяеми настройки.
4. Задаване на VLAN за управление на комутатора:
Site-wide > Configure > Switch > Switch ports
Редактирайте портове 1 и 28, тъй като това са нашите uplinks портове за самия комутатор и AP (както е показано на горната снимка), и включете необходимите VLAN в полето Allowed VLANs (Разрешени VLAN):
*VLAN 10: частна мрежа , VLAN 20: мрежа за гости , VLAN 100: мрежа за управление.
Сега е необходимо да конфигурирате и запазите IP адреса на LAN комутатора
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Обърнете внимание, че е важно да се дефинира правилната VLAN. Тази VLAN може да бъде дефинирана за всяко устройство или чрез глобална настройка на
Site-wide > Configure > Switch > Switch Settings > Management VLAN
След като настройките на LAN са запазени, можем да потвърдим LAN IP адреса на комутатора (Nebula CC може да отнеме няколко минути, за да покаже актуализирания LAN IP)
Site-wide > Devices > Switches
5. Задаване на VLAN за управление на точката за достъп
Конфигуриране и запазване на IP адреса на LAN за управление
Site-wide > Devices > Access points > Select AP > Edit LAN IP
Бележка: настройката на VLAN за управление като маркирана ще ограничи AP да препраща само маркиран трафик, поради което SSID трябва да използват само VLAN интерфейси и никакъв LAN трафик без маркировка.
И това би трябвало да е достатъчно, за да могат вашите устройства да получат IP адрес от VLAN за управление, различен от немаркирания трафик от интерфейса на LAN.
Също така е интересно:
Искате ли да погледнете директно към едно от нашите тестови устройства? Вижте тук, в нашата виртуална лаборатория:
Виртуална лаборатория - VPN Nebula към устройство, което не е Nebula
KB-00269
Коментари
0 коментараВлезте в услугата, за да оставите коментар.