Ważna informacja: |
Poniższy artykuł zawiera wskazówki, jak skonfigurować urządzenia Nebula, gdy sieć VLAN zarządzania nie jest domyślnym nieoznakowanym ruchem z interfejsu LAN bramy.
1. Co to jest Management VLAN?
3. Konfigurowanie interfejsu VLAN na NSG/USG FLEX
4. Ustawianie zarządzającej sieci VLAN przełącznika
5. Ustawianie zarządzanej sieci VLAN punktu dostępowego
1. Co to jest zarządzająca sieć VLAN?
Zarządzająca sieć VLAN to powszechna praktyka stosowana przez administratorów sieci, która uniemożliwia użytkownikom końcowym dostęp do kluczowych urządzeń sieciowych w ich infrastrukturze sieciowej. Dodaje to dodatkową warstwę ochrony w sieci administracyjnej. Odbywa się to poprzez skonfigurowanie każdego urządzenia sieciowego z unikalnym identyfikatorem VLAN, przy jednoczesnym upewnieniu się, że użytkownicy końcowi wchodzą do sieci z innej sieci VLAN. Jednak w przypadku urządzeń Nebula błędna konfiguracja może odciąć zdalne urządzenia od Internetu. Jeśli urządzenia Nebula zachowują konfigurację, która uniemożliwia im dotarcie do Nebula CC, jedynym sposobem na przywrócenie zarządzania urządzeniem może być przywrócenie ustawień fabrycznych. Ten przewodnik zawiera szczegółowe instrukcje dotyczące prawidłowego ustawiania unikalnego identyfikatora VLAN zarządzania (nie VLAN 1) dla urządzeń Nebula w nowej lokalizacji, przy jednoczesnym unikaniu warunków, które mogą spowodować utratę dostępu urządzeń do Nebula CC.
2. Mechanizm awaryjny
Przełączniki i punkty dostępowe Nebula mają mechanizm, który zapobiega utracie dostępu do Internetu przez te urządzenia z powodu zmian w zarządzaniu dokonanych w Nebula CC. Podczas próby zmiany adresu IP urządzenia Nebula lub sieci VLAN zarządzania, która powoduje utratę dostępu do Internetu, urządzenia Nebula powrócą do starych konfiguracji. Jest to często sygnalizowane komunikatem "Nieprawidłowa konfiguracja przypisania IP" na stronie urządzenia.
Kluczem do pomyślnego skonfigurowania nowego adresu IP zarządzania lub sieci VLAN jest upewnienie się, że zarówno stare, jak i nowe ustawienia mogą uzyskać dostęp do Internetu. Dopiero po zweryfikowaniu przez Nebula CC, że zmiany wprowadzone na urządzeniu nie powodują utraty dostępu do Internetu, można rozpocząć skalowanie wsteczne, usuwanie sieci VLAN lub interfejsów IP na przełącznikach i bramach.
3.Konfigurowanie interfejsu VLAN na NSG/USG FLEX
Dodawanie i zapisywanie interfejsu VLAN100
Seria NSG:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
Seria USG FLEX:
dyn_repppp_1
Spowoduje to utworzenie tagowanej sieci VLAN ustawionej na wybrany identyfikator VID w odpowiedniej grupie portów (zarówno USG, jak i NSG pokazują podobną konfigurację).
Należy pamiętać, że porty LAN1 + LAN2 zawsze pozostają nieoznakowanymi członkami w VLAN1 z PVID ustawionym na 1 - są to ustawienia niezmienne.
4. Ustawienie zarządzającej sieci VLAN przełącznika:
dyn_repppp_2
Edytuj porty 1 i 28, ponieważ są to nasze porty uplinków dla samego przełącznika i punktu dostępowego (jak pokazano na powyższym obrazku), i dodaj wymagane sieci VLAN w polu Dozwolone sieci VLAN:
*VLAN 10: Sieć prywatna, VLAN 20: Sieć dla gości, VLAN 100: Sieć zarządzająca.
Teraz należy skonfigurować i zapisać adres IP sieci LAN przełącznika
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Należy zwrócić uwagę na znaczenie zdefiniowania prawidłowej sieci VLAN. Ta sieć VLAN może być zdefiniowana dla każdego urządzenia lub globalnie w sieci
dyn_repppp_4
Po zapisaniu ustawień sieci LAN możemy potwierdzić adres IP sieci LAN przełącznika (Nebula CC może potrzebować kilku minut, aby wyświetlić zaktualizowany adres IP sieci LAN).
dyn_repppp_5
5. Ustawianie zarządzającej sieci VLAN punktu dostępowego
Skonfiguruj i zapisz adres IP zarządzanej sieci LAN
Site-wide > Devices > Access points > Select AP > Edit LAN IP
Uwaga: skonfigurowanie zarządzającej sieci VLAN jako tagowanej ograniczy punkt dostępowy do przesyłania tylko ruchu tagowanego, dlatego identyfikatory SSID powinny używać tylko interfejsów VLAN i nie powinny przesyłać nieoznakowanego ruchu LAN.
To powinno wystarczyć, aby urządzenia otrzymały adres IP z zarządzanej sieci VLAN inny niż nieoznakowany ruch z interfejsu LAN.
Również interesujące:
Czy chcesz spojrzeć bezpośrednio na jedno z naszych urządzeń testowych? Zajrzyj do naszego wirtualnego laboratorium:
Wirtualne laboratorium - VPN Nebula do urządzenia innego niż Nebula
KB-00269