Важное уведомление: |
В следующей статье рассказывается о том, как настроить устройства Nebula, если для VLAN управления не используется по умолчанию нетегированный трафик с LAN-интерфейса шлюза.
3. Настройка интерфейса VLAN на NSG/USG FLEX
4. Настройка VLAN управления коммутатора
5. Настройка VLAN управления точкой доступа
1. Что такое управляющая VLAN?
Management VLAN - это распространенная практика, используемая сетевыми администраторами, которая предотвращает доступ конечных пользователей к ключевым сетевым устройствам в их сетевой инфраструктуре. Это позволяет создать дополнительный уровень защиты в административной сети. Для этого каждое сетевое устройство конфигурируется с уникальным идентификатором VLAN, а конечные пользователи входят в сеть из другой VLAN. Однако в случае с устройствами Nebula неправильная конфигурация может отрезать удаленные устройства от Интернета. Если устройства Nebula сохранили конфигурацию, запрещающую им доступ к Nebula CC, то единственным способом восстановления управления устройством может быть сброс к заводским настройкам. В данном руководстве подробно описано, как правильно задать уникальный идентификатор VLAN управления (не VLAN 1) для устройств Nebula на новом сайте, избегая при этом условий, которые могут привести к потере доступа устройств к Nebula CC.
2. Механизм отката
Коммутаторы и точки доступа Nebula имеют механизм, предотвращающий потерю доступа к Интернету в результате изменений в управлении, внесенных в Nebula CC. При попытке изменить IP-адрес или VLAN управления устройства Nebula, что приводит к потере доступа в Интернет, устройства Nebula возвращаются к прежним конфигурациям. Часто на странице устройства появляется сообщение "Bad IP assignment configuration".
Ключом к успешной настройке нового управляющего IP-адреса или VLAN является обеспечение возможности выхода в Интернет как со старыми, так и с новыми настройками. Только после того, как Nebula CC убедится, что внесенные в устройство изменения не приводят к потере доступа в Интернет, можно приступать к уменьшению масштаба, удалению VLAN или IP-интерфейсов на коммутаторах и шлюзах.
3.Настройка интерфейса VLAN на NSG/USG FLEX
Добавление и сохранение интерфейса VLAN100
Серия NSG:
Site-wide > Configure > Security Gateway > Interfaces addressing > Interface [+Add]
Серия USG FLEX:
Site-wide > Configure > Firewall > Interface > LAN Interface [+Add]
Это создаст тегированную VLAN с выбранным VID в соответствующей группе портов (в USG и NSG используется аналогичная конфигурация)
Обратите внимание, что порты LAN1 + LAN2 всегда остаются нетегированными членами VLAN1 с PVID, установленным на 1 - это неизменяемые настройки.
4. Настройка VLAN управления коммутатора:
Site-wide > Configure > Switch > Switch ports
Отредактируйте порты 1 и 28, поскольку это наши порты восходящих соединений для самого коммутатора и точки доступа (как показано на рисунке выше), и укажите необходимые VLAN в поле Allowed VLANs:
*VLAN 10: Private Network, VLAN 20: Guest Network, VLAN 100: Management Network.
Теперь необходимо настроить и сохранить IP-адрес локальной сети коммутатора
Site-wide > Devices > Switches > Select Switch > Edit LAN IP.
Обратите внимание на важность правильного определения VLAN. Этот VLAN может быть определен для каждого устройства или задан глобально на
Site-wide > Configure > Switch > Switch Settings > Management VLAN
После сохранения настроек LAN мы можем подтвердить IP-адрес LAN коммутатора (Nebula CC может потребоваться несколько минут для отображения обновленного IP-адреса LAN)
Site-wide > Devices > Switches
5. Настройка VLAN управления точкой доступа
Настройте и сохраните IP-адрес управляющей локальной сети
Site-wide > Devices > Access points > Select AP > Edit LAN IP
Примечание: настройка управляющей VLAN как тегированной ограничит точку доступа пересылкой только тегированного трафика, поэтому SSID должны использовать только интерфейсы VLAN и не иметь нетегированного трафика LAN.
Этого должно быть достаточно, чтобы ваши устройства получали IP-адрес из управляющей VLAN, отличный от нетегированного трафика из интерфейса LAN.
Также интересно:
Хотите посмотреть непосредственно на одном из наших тестовых устройств? Посмотрите здесь, в нашей виртуальной лаборатории:
Виртуальная лаборатория - VPN Nebula на устройство, не являющееся Nebula
KB-00269