Sieci VLAN logicznie oddzielają sieci od siebie, mimo że mogą działać na tych samych przełącznikach i kablach. W typowym małym lub średnim środowisku Sophos Firewall dba o routing, reguły zapory sieciowej, DHCP i zasady bezpieczeństwa. Przełącznik UniFi transportuje sieci VLAN poprzez znakowanie do punktów dostępowych, klientów, serwerów lub innych przełączników.
W artykule przedstawiono praktyczną konfigurację z Sophos Firewall jako Gateway i UniFi jako platformą przełączającą. Skupiono się nie tylko na ścieżce kliknięcia, ale także na typowych błędach: nieprawidłowe zachowanie Tagged/Untagged, brak reguł zapory sieciowej, zapomniany serwer DHCP lub VLAN na niewłaściwym interfejsie nadrzędnym.
Obraz docelowy
Przykład:
Nazwa VLAN: Clients.
VLAN Identyfikator: 100.
Podsieć: 10.100.0.0/24.
Gateway do Sophos Firewall: 10.100.0.1.
Strefa na Sophos Firewall: Client lub LAN.
UniFi Przesyłanie do zapory sieciowej: Zezwól na oznaczenie VLAN 100.
Port klienta na przełączniku: VLAN 100 nieoznaczony lub ustawiony jako Native VLAN.
W tym projekcie Sophos Firewall jest domyślnym Gateway sieci VLAN. Klienci w VLAN otrzymują adres IP z nowej podsieci, wysyłają swój ruch do zapory i są tam kontrolowani za pomocą reguł zapory, NAT, ochrony sieci, IPS lub innych polityk.
Jeśli najpierw trzeba wyjaśnić podstawowy interfejs i planowanie stref, pomocne będzie Sophos Firewall Konfiguruj strefy i interfejsy. Na potrzeby tej instrukcji zakłada się, że VLAN został celowo zaprojektowany jako własny klient, gość, serwer lub sieć zarządzająca.
Wyjaśnij wcześniej
Przed konfiguracją należy określić następujące punkty:
Który identyfikator VLAN jest używany?
Którą podsieć IP obsługuje VLAN?
Czy Sophos Firewall powinien zapewniać DHCP dla tego VLAN?
W której strefie Sophos znajduje się VLAN?
Które porty UniFi obsługują tag VLAN?
Które porty UniFi wysyłają nieoznaczony VLAN do urządzeń końcowych?
Czy VLAN może uzyskać dostęp tylko do Internetu, czy także do serwerów wewnętrznych?
Jakie lokalne usługi zapory sieciowej mogą być dostępne z tej strefy?
⚠️ VLAN oddziela tylko warstwę 2. Sophos Firewall później decyduje, czy ruch pomiędzy sieciami VLAN jest dozwolony poprzez routing, reguły zapory sieciowej i NAT. VLAN nie zastępuje regularnego planowania.
Utwórz VLAN w UniFi Network
W zależności od wersji UniFi Network poszczególne pozycje menu mają nieco inne nazwy. Zasada pozostaje taka sama: VLAN jest tworzony jako własna sieć lub jako sieć VLAN, jeśli Sophos Firewall przejmie Gateway i DHCP.
Ścieżka menu:
Settings > Networks
Procedura:
Otwórz Nowa sieć wirtualna lub Nowa sieć.
Przypisz nazwę, na przykład Clients.
Wybierz Gateway innej firmy jako router lub Gateway, jeśli Sophos Firewall przejmuje routing i DHCP.
Wprowadź identyfikator VLAN, na przykład 100.
Pozostaw automatyczne funkcje UniFi-Gateway lub DHCP wyłączone, gdy Sophos Firewall jest odpowiedzialny.
Zapisz.W UniFi Network sieci VLAN są najpierw tworzone jako sieci lub tylko sieci VLAN.W przypadku Gateway innej firmy, Sophos Firewall pozostaje Gateway sieci VLAN.
UniFi Ustaw poprawnie porty przełącznika
Najważniejszą częścią jest mapowanie portów. Przełączniki Sophos Firewall i UniFi muszą widzieć ten sam identyfikator VLAN na tym samym łączu.
Typowa konstrukcja portu:
Łącze w górę do Sophos Firewall: Zezwól na oznaczenie VLAN 100, aby VLAN został przeniesiony do zapory ogniowej.
Łącze w górę do innego przełącznika: Zezwól na oznaczenie VLAN 100, jeśli VLAN ma być redystrybuowany.
Port Access Point: Zezwól na oznaczenie VLAN 100, jeśli identyfikator SSID używa tego VLAN.
Port klienta: Ustaw VLAN 100 jako natywny/Untagged VLAN, aby urządzenie bez znacznika VLAN trafiło bezpośrednio do właściwej sieci.
Kiedy zwykły komputer kliencki jest podłączony do portu przełącznika, zwykle wysyła nieoznakowany. Następnie przełącznik mapuje ten port na żądany port Native VLAN. Jeśli Access Point lub inny przełącznik ma przesyłać kilka sieci VLAN, port musi umożliwiać znakowanie sieci VLAN.
Typowe błędy:
VLAN utworzony na przełączniku UniFi, ale niedozwolony na łączu nadrzędnym do zapory ogniowej.
Port klienta skonfigurowany jako oznaczony zamiast nieoznaczonego.
Access Point SSID wykorzystuje VLAN 100, ale port AP nie obsługuje VLAN 100.
Native VLAN i Tagged VLAN są zdezorientowane.
Identyfikator VLAN jest inny w modelach UniFi i Sophos.
Planuj zmiany bez utraty zarządzania
Należy zachować szczególną ostrożność podczas wprowadzania zmian w VLAN w łączach nadrzędnych, profilach portów przełącznika lub sieciach zarządzających. Nieprawidłowy Native VLAN lub brakujący Tagged VLAN na łączu nadrzędnym może spowodować zniknięcie przełącznika, Access Point lub zapory sieciowej z sieci zarządzającej.
Dlatego przed wprowadzeniem produktywnych zmian należy krótko określić:
Sieć zarządzająca UniFi: Zarządzanie VLAN nie może zostać utracone podczas zmiany profilu portu.
Łącze w górę do Sophos Firewall: Zmiany w tym porcie często wpływają na wiele sieci VLAN jednocześnie.
Dostęp lokalny: W przypadku zmian zdalnych wymagana jest ścieżka rezerwowa do przełącznika i zapory sieciowej.
Port testowy: Nowe profile VLAN można testować na zarezerwowanym porcie bez przenoszenia urządzeń produkcyjnych.
Kopia zapasowa: Dzięki zabezpieczonej konfiguracji Sophos i UniFi możesz szybciej wrócić do ostatniej działającej wersji.
Zalecamy najpierw sprawdzenie nowych sieci VLAN na jednym porcie testowym. Tylko wtedy, gdy DHCP, Gateway, DNS, reguła zapory sieciowej i Log Viewer są zgodne, profil portu należy wdrożyć w dodatkowych punktach dostępu, przełączać łącza nadrzędne lub porty klienta.
Utwórz VLAN na Sophos Firewall
VLAN jest tworzony jako wirtualny interfejs na Sophos Firewall.
Ścieżka menu:
Network > Interfaces > Add interface > Add VLAN
Procedura:
Przypisz nazwę, na przykład Clients VLAN 100.
Wybierz port fizyczny, most lub LAG, do którego zostanie dostarczony VLAN, oznaczony jako Interfejs.
Wybierz strefę, na przykład Client, LAN, Guest lub Server.
Wprowadź identyfikator VLAN, na przykład 100.
W obszarze Konfiguracja IPv4 zwykle wybierz Static.
Ustaw adres Gateway sieci VLAN, na przykład 10.100.0.1/24.
Zapisz.VLAN jest tworzony na interfejsie nadrzędnym, na którym przełącznik UniFi wysyła znacznik VLAN do zapory.VLAN Identyfikator, strefa i adres IP muszą odpowiadać projektowi przełącznika i podsieci.Sophos umożliwia identyfikatory VLAN od 1 do 4094. Tego samego identyfikatora VLAN nie można używać wielokrotnie w tym samym interfejsie fizycznym. Z technicznego punktu widzenia ten sam identyfikator VLAN może pojawić się ponownie w innym interfejsie nadrzędnym, ale w praktyce należy to zrobić tylko wtedy, gdy projekt sieci jest jasno udokumentowany.
Skonfiguruj DHCP dla VLAN
Jeśli klienci w VLAN powinni automatycznie otrzymywać adresy IP, wymagany jest serwer DHCP lub przekaźnik DHCP.
W Sophos Firewall DHCP znajduje się w:
Network > DHCP
Typowe wartości DHCP:
Interfejs: Clients VLAN 100.
Początek zasięgu: 10.100.0.50.
Koniec zakresu: 10.100.0.200.
Gateway: 10.100.0.1.
Serwer DNS: Firewall-IP lub wewnętrzny serwer DNS.
Nazwa domeny: domena wyszukiwania wewnętrznego, jeśli jest wymagana.
Jeśli Sophos Firewall ma być używany jako moduł rozpoznawania nazw DNS dla tego VLAN, DNS musi być również zezwolony w Administracja > Dostęp do urządzenia dla odpowiedniej strefy. Opcje DHCP dla konkretnych urządzeń opisano w artykule Sophos Firewall Opcje DHCP (SFOS).
Utwórz reguły zapory sieciowej
Po VLAN i DHCP zwykle brakuje odpowiedniej reguły zapory sieciowej. Bez reguły klient może uzyskać adres IP, ale nie może automatycznie komunikować się z Internetem ani innymi sieciami.
Typowa pierwsza zasada Internetu:
Rule name: Clients_to_WAN.
Source zones: Client lub LAN.
Source networks and devices: Obiekt sieciowy VLAN, na przykład net_Clients_10.100.0.0_24.
Destination zones: WAN.
Destination networks: Any.
Services: HTTP, HTTPS, DNS, NTP lub usługi celowo zdefiniowane.
Log firewall traffic: aktywowano.
Powinieneś stworzyć osobne reguły dostępu do serwerów wewnętrznych i zezwalać tylko na wymagane miejsca docelowe i usługi. Gość lub IoT VLAN nie powinien zasadniczo mieć dostępu do serwera lub sieci zarządzania.
VLAN nie może być tagowany na łączu wysyłającym UniFi do zapory ogniowej: Klienci nie otrzymują adresu IP lub nie docierają do zapory.
VLAN znajduje się na złym interfejsie nadrzędnym w Sophos: Sophos Firewall nie widzi ruchu.
Port klienta jest oznaczony, a nie nieoznaczony: Zwykli klienci nie trafiają do VLAN.
Brak DHCP: Klient nie otrzymuje adresu IP ani adresu APIPA.
Brak DNS Device Access: Klient może uzyskać dostęp do adresów IP, ale nie może rozpoznać nazw.
Brak reguły zapory sieciowej: Klient otrzymuje adres IP, ale ruch jest blokowany.
Reguła zezwolenia jest zbyt szeroka: Separacja VLAN została ponownie praktycznie usunięta.
Wybrano niewłaściwą strefę: Reguła, Device Access lub polityka internetowa działają inaczej niż oczekiwano.
Native VLAN na Trunk nie jest jasne: Nieoznaczony ruch trafia do niewłaściwej sieci.
Rozwiązywanie problemów
Jeśli VLAN nie działa, powinieneś sprawdzić od warstwy 1 do warstwy 7:
Kabel i łącze: Czy port UniFi pokazuje łącze i oczekiwaną prędkość?
Profil portu UniFi: Czy VLAN 100 jest dozwolony na łączu nadrzędnym?
Port klienta: Czy VLAN 100 jest ustawiony na nieoznaczony/natywny dla zwykłych klientów?
Interfejs Sophos: Czy VLAN jest widoczny, podłączony i znajduje się we właściwej strefie w Sieć > Interfejsy?
DHCP: Czy dla VLAN dostępny jest serwer DHCP lub przekaźnik?
Gateway: Czy Sophos VLAN-IP to domyślny model Gateway?
Device Access: Czy w strefie jest dozwolony DNS lub Ping, jeśli jest to potrzebne?
Zasady zapory sieciowej: Czy Source Zone, Source Network, Destination Zone i Services są poprawne?
Log Viewer: Czy ruch jest dozwolony, porzucony lub objęty inną regułą?
Packet Capture: Czy pakiety docierają do prawidłowego interfejsu i przy oczekiwanej konfiguracji VLAN?
W przypadkach trudnych do zrozumienia często kluczowe znaczenie ma Packet Capture. Jeśli do interfejsu nadrzędnego Sophos nie docierają żadne pakiety, problem zwykle leży po stronie UniFi, kablu, profilu portu, konstrukcji Tagged/Untagged lub nieprawidłowym łączu wysyłającym.
Lista kontrolna
Identyfikator VLAN jest taki sam w UniFi i Sophos.
UniFi Łącze w górę do Sophos Firewall umożliwia oznaczenie VLAN.
Port urządzenia końcowego jest nieoznaczony/natywny w poprawnym VLAN dla zwykłych klientów.
Sophos VLAN działa na właściwym interfejsie nadrzędnym.
Sophos VLAN ma zaplanowaną strefę i Gateway-IP.
Skonfigurowano DHCP lub przekaźnik DHCP.
DNS jest odpowiednio ustawiony i dozwolony podczas korzystania z zapory sieciowej poprzez Device Access.
Reguła zapory sieciowej zapewniająca dostęp do Internetu jest obecna i zarejestrowana.
Dostęp wewnętrzny jest dozwolony tylko tam, gdzie jest naprawdę potrzebny.
Log Viewer i Packet Capture zostały przetestowane dla klienta testowego.
Często zadawane pytania
Czy każdy VLAN potrzebuje własnej strefy Sophos?
Nie. W tej samej strefie może znajdować się wiele sieci VLAN, jeśli mają ten sam poziom zaufania, reguły zapory sieciowej i Device Access. Jeśli jednak VLAN ma inne prawa lub inne ryzyko, często wyraźniejsza jest oddzielna strefa.
Czy DHCP musi działać na Sophos Firewall?
Nie koniecznie. DHCP może także działać na serwerze wewnętrznym lub być przekazywany. Jedyną ważną rzeczą jest to, że klienci w VLAN otrzymali odpowiedni adres IP, Gateway i konfigurację DNS.
Dlaczego internet działa, ale nie ma dostępu do serwerów wewnętrznych?
W większości przypadków pomiędzy strefą VLAN a strefą serwera nie ma odpowiedniej reguły zapory sieciowej lub reguła podlega bardziej ogólnej regule blokowania lub zezwalania. W Log Viewer możesz zobaczyć, która reguła jest faktycznie dopasowana.
Dlaczego klient nie otrzymuje adresu IP?
Typowe przyczyny to nieprawidłowy profil portu UniFi, nieoznaczone łącze wysyłające do Sophos Firewall, VLAN na niewłaściwym interfejsie nadrzędnym lub brakujący serwer DHCP.
Czy gość VLAN powinien używać DNS na Sophos Firewall?
Może to być przydatne, jeśli chcesz, aby zapora sieciowa udostępniała lub filtrowała DNS dla gościa VLAN. Następnie należy zezwolić na DNS dla odpowiedniej strefy w Device Access. Alternatywnie można dystrybuować zewnętrzne serwery DNS poprzez DHCP.