Viktig merknad: |
Følgende artikkel viser deg hvordan du konfigurerer Nebula-enhetene dine når Management VLAN ikke er standard umerket trafikk fra gatewayens LAN-grensesnitt.
3. Sette opp et VLAN-grensesnitt på NSG/USG FLEX
4. Angi administrasjons-VLAN for bryteren
5. Angi administrasjons-VLAN for tilgangspunktet
1. Hva er et administrasjons-VLAN?
Administrasjons-VLAN er en vanlig praksis som brukes av nettverksadministratorer for å hindre sluttbrukere i å få tilgang til viktige nettverksenheter i nettverksinfrastrukturen. Dette gir et ekstra lag med beskyttelse i det administrative nettverket. Dette gjøres ved å konfigurere hver nettverksenhet med en unik VLAN-ID, samtidig som man sørger for at sluttbrukerne kommer inn i nettverket fra et annet VLAN. Når det gjelder Nebula-enheter, kan imidlertid feilkonfigurasjoner føre til at eksterne enheter avskjæres fra Internett. Hvis Nebula-enhetene dine har en konfigurasjon som hindrer dem i å nå Nebula CC, kan den eneste måten å gjenopprette enhetsadministrasjonen på være å tilbakestille dem til fabrikkinnstillingene. Denne veiledningen inneholder instruksjoner om hvordan du angir en unik administrasjons-VLAN-ID (ikke VLAN 1) for Nebula-enhetene dine på et nytt sted, samtidig som du unngår forhold som kan føre til at enhetene dine mister tilgangen til Nebula CC.
2. Tilbakefallsmekanisme
Nebula Switch og Access Points har en mekanisme som forhindrer at disse enhetene mister Internett-tilgang på grunn av administrasjonsendringer i Nebula CC. Ved forsøk på å endre Nebula-enhetens IP-adresse eller administrasjons-VLAN som fører til tap av Internett-tilgang, vil Nebula-enhetene gå tilbake til sine gamle konfigurasjoner. Dette indikeres ofte med en "Bad IP assignment configuration" på enhetssiden.
Nøkkelen til en vellykket konfigurering av en ny administrasjons-IP-adresse eller et nytt VLAN er å sikre at både gamle og nye innstillinger kan nå Internett. Først etter at Nebula CC har bekreftet at endringene som er gjort på enheten ikke fører til tap av Internett-tilgang, kan du begynne å skalere tilbake, fjerne VLAN eller IP-grensesnitt på svitsjer og gatewayer.
3.Konfigurereet VLAN-grensesnitt på NSG/USG FLEX
Legge til og lagre et VLAN100-grensesnitt
NSG-serien:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
USG FLEX-serien:
Site-wide > Configure > Firewall > Interface > LAN Interface [+Add]
Dette vil opprette et tagget VLAN satt til den valgte VID-en på den respektive portgruppen (både USG og NSG viser en lignende konfigurasjon).
Vær oppmerksom på at LAN1 + LAN2-portene alltid forblir umerkede medlemmer i VLAN1 med PVID satt til 1 - dette er innstillinger som ikke kan endres.
4. Angi administrasjons-VLAN for bryteren:
Site-wide > Configure > Switch > Switch ports
Rediger port 1 og 28, siden dette er uplink-portene for selve svitsjen og AP-et (som vist på bildet ovenfor), og inkluder de nødvendige VLAN-ene i feltet Tillatte VLAN:
*VLAN 10: Privat nettverk , VLAN 20: Gjestenettverk , VLAN 100: Administrasjonsnettverk.
Nå er det nødvendig å konfigurere og lagre svitsjens LAN-IP.
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Legg merke til viktigheten av å ha riktig VLAN definert. Dette VLAN-et kan defineres per enhet eller ved å sette det opp globalt på
Site-wide > Configure > Switch > Switch Settings > Management VLAN
Når LAN-innstillingene er lagret, kan vi bekrefte LAN-IP-adressen til bryteren (Nebula CC kan bruke noen minutter på å vise den oppdaterte LAN-IP-adressen).
Site-wide > Devices > Switches
5. Angi administrasjons-VLAN for tilgangspunktet
Konfigurer og lagre administrasjons-LAN-IP
dyn_repppppppp_6
Merk: Hvis du konfigurerer Management VLAN som tagget, begrenser du AP-enheten til bare å videresende tagget trafikk, og SSID-ene bør derfor bare bruke VLAN-grensesnitt og ikke LAN-ikke-tagget trafikk.
Og det bør være nok til at enhetene dine får en annen IP-adresse fra et administrasjons-VLAN enn den umerkede trafikken fra LAN-grensesnittet.
Også interessant:
Vil du ta en titt direkte på en av testenhetene våre? Ta en titt her i vårt virtuelle laboratorium:
Virtuell lab - VPN Nebula til ikke-Nebula-enhet
KB-00269