Belangrijke mededeling: |
In het volgende artikel wordt uitgelegd hoe je je Nebula apparaten configureert wanneer het Management VLAN niet het standaard untagged verkeer is van de LAN interface van de gateway.
3. Een VLAN-interface instellen op de NSG/USG FLEX
4. Het Management VLAN van de schakelaar instellen
5. Het Management VLAN van het Access Point instellen
1. Wat is een management VLAN?
Management VLAN is een veelgebruikte praktijk die netwerkbeheerders gebruiken om te voorkomen dat eindgebruikers toegang krijgen tot belangrijke netwerkapparaten in hun netwerkinfrastructuur. Dit voegt een extra beschermingslaag toe binnen je administratieve netwerk. Dit wordt gedaan door elk netwerkapparaat te configureren met een unieke VLAN-ID, terwijl ervoor wordt gezorgd dat eindgebruikers het netwerk binnenkomen vanuit een ander VLAN. Echter, in het geval van Nebula apparaten kunnen verkeerde configuraties je externe apparaten afsnijden van het internet. Als je Nebula apparaat een configuratie behoudt waardoor het geen Nebula CC kan bereiken, dan kan de enige manier om het apparaatbeheer te herstellen een fabrieksreset zijn. In deze handleiding wordt uitgelegd hoe u op de juiste manier een unieke VLAN-ID (niet VLAN 1) voor het beheer van uw Nebula-apparaten instelt op een nieuwe locatie, waarbij u omstandigheden vermijdt die ertoe kunnen leiden dat uw apparaten geen toegang meer hebben tot Nebula CC.
2. Terugvalmechanisme
Nebula Switch en Access Points hebben een mechanisme dat voorkomt dat deze apparaten de internettoegang verliezen als gevolg van wijzigingen in het beheer in Nebula CC. Wanneer geprobeerd wordt om het IP-adres of management VLAN van het Nebula apparaat te wijzigen waardoor de internettoegang verloren gaat, zullen de Nebula apparaten terugvallen op hun oude configuraties. Dit wordt vaak aangegeven door een "Slechte IP-toewijzing configuratie" op de apparaatpagina.
De sleutel tot het succesvol configureren van een nieuw management IP-adres of VLAN is ervoor te zorgen dat zowel de oude als de nieuwe instellingen het internet kunnen bereiken. Pas nadat Nebula CC heeft geverifieerd dat de wijzigingen op het apparaat geen verlies van internettoegang veroorzaken, kun je beginnen met het terugschalen, verwijderen van VLAN's of IP-interfaces op je switches en gateways.
3.Een VLAN-interface instellen op de NSG/USG FLEX
Een VLAN100-interface toevoegen en opslaan
NSG-serie:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
USG FLEX-serie:
Site-wide > Configure > Firewall > Interface > LAN Interface [+Add]
Dit zal een getagde VLAN maken die is ingesteld op de geselecteerde VID op de betreffende poortgroep (zowel USG als NSG tonen een vergelijkbare configuratie)
Houd er rekening mee dat LAN1 + LAN2 poorten altijd als niet-getagde leden in VLAN1 blijven met de PVID ingesteld op 1 - dit zijn niet-wijzigbare instellingen.
4. 4. Het Management VLAN van de switch instellen:
Site-wide > Configure > Switch > Switch ports
Bewerk de poorten 1 en 28, aangezien dit onze uplink-poorten zijn voor de switch zelf en het AP (zoals te zien is in de bovenstaande afbeelding), en voeg de benodigde VLAN's toe in het veld Allowed VLANs:
*VLAN 10: Privénetwerk , VLAN 20: Gastnetwerk , VLAN 100: Beheernetwerk.
Nu is het nodig om het LAN-IP van de switch te configureren en op te slaan
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Let op het belang van de juiste VLAN. Dit VLAN kan per apparaat worden gedefinieerd of door het globaal in te stellen op
Site-wide > Configure > Switch > Switch Settings > Management VLAN
Zodra de LAN-instellingen zijn opgeslagen, kunnen we het LAN IP-adres van de switch bevestigen (Nebula CC kan enkele minuten nodig hebben om het bijgewerkte LAN IP-adres weer te geven)
Site-wide > Devices > Switches
5. De beheer-VLAN van het toegangspunt instellen
LAN-IP voor beheer configureren en opslaan
dyn_repppppppp_6
Opmerking: het instellen van het Management VLAN als getagd zal het AP beperken om alleen getagd verkeer door te sturen, daarom moeten de SSID's alleen VLAN interfaces gebruiken en geen LAN ongelabeld verkeer.
En dat zou voldoende moeten zijn voor je apparaten om een IP-adres te krijgen van een management VLAN dat anders is dan het ongelabelde verkeer van de LAN-interface.
Ook interessant:
Wil je een kijkje nemen op een van onze testapparaten? Neem dan hier een kijkje in ons virtuele lab:
Virtueel Lab - VPN Nebula naar niet Nebula apparaat
KB-00269