Vigtig meddelelse: |
Følgende artikel guider dig til, hvordan du konfigurerer dine Nebula-enheder, når Management VLAN ikke er standard untagged trafik fra LAN-grænsefladen på gatewayen.
3. Opsætning af et VLAN-interface på NSG/USG FLEX
4. Indstilling af switchens administrations-VLAN
5. Indstilling af administrations-VLAN for adgangspunktet
1. Hvad er et management-VLAN?
Management VLAN er en almindelig praksis, der bruges af netværksadministratorer til at forhindre slutbrugere i at få adgang til vigtige netværksenheder i deres netværksinfrastruktur. Det tilføjer et ekstra lag af beskyttelse i dit administrative netværk. Det gøres ved at konfigurere hver netværksenhed med et unikt VLAN-ID, mens man sørger for, at slutbrugerne kommer ind på netværket fra et andet VLAN. Men når det gælder Nebula-enheder, kan fejlkonfigurationer afskære dine eksterne enheder fra internettet. Hvis dine Nebula-enheder har en konfiguration, der forhindrer dem i at nå Nebula CC, kan den eneste måde at genskabe enhedsstyringen på være at fabriksnulstille dem. Denne vejledning indeholder instruktioner om, hvordan du korrekt indstiller et unikt management-VLAN-ID (ikke VLAN 1) til dine Nebula-enheder på et nyt sted, samtidig med at du undgår forhold, der kan medføre, at dine enheder mister adgang til Nebula CC.
2. Tilbagefaldsmekanisme
Nebula Switch og Access Points har en mekanisme, der forhindrer disse enheder i at miste internetadgang på grund af administrationsændringer foretaget i Nebula CC. Når man forsøger at ændre Nebula-enhedens IP-adresse eller management VLAN, som forårsager tab af internetadgang, vil Nebula-enhederne vende tilbage til deres gamle konfigurationer. Dette indikeres ofte af en "Bad IP assignment configuration" på enhedssiden.
Nøglen til en vellykket konfiguration af en ny management IP-adresse eller VLAN er at sikre, at både gamle og nye indstillinger kan nå internettet. Først når Nebula CC har verificeret, at ændringerne på enheden ikke medfører tab af internetadgang, kan du begynde at skalere tilbage, fjerne VLAN'er eller IP-grænseflader på dine switche og gateways.
3.Opsætning af en VLAN-grænseflade på NSG/USG FLEX
Tilføj og gem en VLAN100-grænseflade
NSG-serien:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
USG FLEX-serien:
Site-wide > Configure > Firewall > Interface > LAN Interface [+Add]
Dette vil oprette et tagget VLAN indstillet til den valgte VID på den respektive Port Group (både USG og NSG viser en lignende konfiguration)
Bemærk, at LAN1 + LAN2 portene altid forbliver som untagged medlemmer i VLAN1 med PVID indstillet til 1 - dette er indstillinger, der ikke kan ændres.
4. Indstilling af switchens Management VLAN:
dyn_repppp_2
Rediger port 1 og 28, da det er vores uplink-porte til selve switchen og AP'et (som vist på billedet ovenfor), og inkluder de nødvendige VLAN'er i feltet Allowed VLANs:
*VLAN 10: Privat netværk , VLAN 20: Gæstenetværk , VLAN 100: Administrationsnetværk.
Nu er det nødvendigt at konfigurere og gemme switchens LAN-IP
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Bemærk vigtigheden af at have det korrekte VLAN defineret. Dette VLAN kan defineres for hver enkelt enhed eller ved at sætte det op globalt på
Site-wide > Configure > Switch > Switch Settings > Management VLAN
Når LAN-indstillingerne er gemt, kan vi bekræfte LAN-IP-adressen på switchen (Nebula CC kan være et par minutter om at vise den opdaterede LAN-IP)
Site-wide > Devices > Switches
5. Indstilling af administrations-VLAN for adgangspunktet
Konfigurer og gem management LAN IP
Site-wide > Devices > Access points > Select AP > Edit LAN IP
Bemærk: Opsætning af Management VLAN som tagged vil begrænse AP'et til kun at videresende tagged trafik, derfor bør SSID'erne kun bruge VLAN-grænseflader og ingen LAN untagged trafik.
Og det burde være nok til, at dine enheder kan få en IP-adresse fra et management-VLAN, der er anderledes end den umærkede trafik fra LAN-interfacet.
Det er også interessant:
Har du lyst til at kigge direkte på en af vores testenheder? Så tag et kig her i vores virtuelle laboratorium:
Virtual Lab - VPN Nebula til ikke-Nebula-enhed
KB-00269