Przejdz do tresci
Avanet

Sophos Firewall VLAN skonfiguruj i przetestuj

Sophos Firewall

VLAN na Sophos Firewall to więcej niż identyfikator VLAN. Aby nowa sieć naprawdę działała, interfejs nadrzędny, tagowanie przełączników, strefa, adres IP, DHCP, DNS, Device Access, reguły zapory sieciowej i NAT muszą być zgodne.

Artykuł opisuje ogólny przepływ firewalla Sophos i kluczowe decyzje operacyjne dotyczące segmentacji, strefy, DHCP, reguł i testowania. Jeśli chodzi o konkretną implementację przełączników UniFi, artykuł VLAN pasuje do Sophos Firewall i konfiguruje przełącznik UniFi. W przypadku specjalnych mostków zgodnie z SFOS 22, Sophos Firewall Sprawdź mostek-VLANs zgodnie z SFOS 22 jest lepszym początkiem.

Krótka odpowiedź

VLAN jest tworzony na Sophos Firewall pod Network > Interfaces > Add interface > Add VLAN. Następnie zwykle potrzebujesz:

  • odpowiedniej strefy
  • statyczny adres IP jako brama
  • DHCP serwer lub DHCP przekaźnik
  • DNS projekt
  • Device Access dla lokalnych usług firewall
  • reguły firewalla dla Internetu, sieci wewnętrznych lub serwerów
  • Logowanie i krótki test akceptacyjny

Tylko wtedy, gdy klient testowy pokaże adres IP, bramę, DNS, połączenia dozwolone, zablokowane połączenia i odpowiednie wpisy w dzienniku, VLAN zostanie całkowicie zaakceptowane.

Kiedy VLAN ma sens,

VLANs logicznie oddziela sieci warstwy 2 od siebie. W Sophos Firewall są one często używane do trasowania wielu sieci przez to samo fizyczne łącze nadrzędne lub LAG.

Typowe zastosowania:

  • Oddzielna sieć kliencka i serwerowa
  • Izolacja gościa WLAN od wewnętrznego LAN
  • Umieść telefony VoIP we własnej sieci
  • Ogranicz IoT, kamery lub drukarki
  • Sieć zarządzająca dla komputerów administracyjnych, przełączników i monitorowania
  • DMZ lub wiodąca sieć serwerów za pośrednictwem wspólnego łącza zwrotnego

Jednakże VLAN nie zastępuje reguł zapory ogniowej. Zapewnia techniczną separację w warstwie 2. O tym, czy ruch pomiędzy VLANs jest dozwolony, decyduje Sophos Firewall poprzez strefy, routing, reguły zapory sieciowej, NAT i zasady bezpieczeństwa.

VLAN planowanie architektury

Najważniejszym pytaniem nie jest to, jak stworzyć VLAN. Ważniejsze pytanie brzmi: jakie obszary bezpieczeństwa powinny znajdować się w sieci. Wiele problemów pojawia się, ponieważ VLAN są tworzone czysto technicznie: VLAN 10, VLAN 20, VLAN 30. Po kilku miesiącach nikt nie wie, jaka komunikacja powinna być dozwolona i dlaczego niektóre sieci zostały odłączone.

Zalecamy zaplanowanie VLAN najpierw w oparciu o ryzyko, funkcję i odpowiedzialność operacyjną. Dobra struktura początkowa często wygląda tak:

ZasięgTypowe urządzeniaPo co odłączać?
ZarządzanieAdministracja komputerami PC, przełącznikami, punktami dostępowymi, monitorowaniem, kontroleramiDostęp do interfejsów administracyjnych powinien być bardzo ściśle kontrolowany.
KlienciStacje robocze, notebooki, zwykłe urządzenia użytkownikówStandardowa sieć z dostępem do Internetu i docelowe wersje wewnętrzne.
SerwerKontrolery domeny, serwery plików, serwery aplikacjiSerwery nie powinny być bezpośrednio dostępne z każdej sieci klienckiej.
GościeGość WLAN, urządzenia zewnętrzneBrak dostępu do systemów wewnętrznych, głównie internet.
IoT i kameryKamery, drukarki, czujniki, technologia budowlanaWiele urządzeń ma słabe modele aktualizacji i zabezpieczeń.
VoIPPomocne są telefony, PBX, SBCQoS, własne opcje DHCP i przejrzysta dostępność.
Kopia zapasowaSerwery kopii zapasowych, repozytoria, niezmienna pamięć masowaOchrona przed oprogramowaniem ransomware i ruchem bocznym.
DMZSystemy publicznie dostępne lub odwrotne proxyOddzielny obszar dla dostępnych usług.

To nie jest sztywny schemat. Małe biuro niekoniecznie potrzebuje dziesięciu VLAN. Jednakże środowisko z wieloma lokalizacjami, serwerami, WLAN, kamerami, systemami tworzenia kopii zapasowych i dostępem zewnętrznym nie powinno umieszczać wszystkiego w jednym wielkim LAN.

Realistyczna klasyfikacja mikrosegmentacji

Mikrosegmentacja nie oznacza, że ​​każde urządzenie potrzebuje własnego VLAN. W praktyce lepszym początkiem jest zwykle czysta segmentacja makr: klienci, serwery, zarządzanie, goście, IoT, kopie zapasowe i DMZ są oddzieleni. Szczególnie krytyczne systemy można następnie dokładniej podzielić na segmenty.

Przykłady dokładniejszej segmentacji:

  • Umieść kontroler domeny w jego własnej podsieci serwerów.
  • Spraw, aby systemy kopii zapasowych były dostępne tylko z kilku źródeł.
  • Zezwalaj na podłączenie kamer tylko do NVR lub VMS.
  • Udostępnij drukarki tylko za pośrednictwem serwerów druku lub zdefiniowanych sieci klienckich.
  • Zarządzanie-VLAN otwarte tylko dla urządzeń administracyjnych i monitorowania.

Ważne: każda dodatkowa separacja generuje również koszty operacyjne. Potrzebuje reguł, dzienników, testów, dokumentacji i kogoś, kto będzie obsługiwał wyjątki. Dobra segmentacja nie jest tak skomplikowana, jak to tylko możliwe, ale raczej zrozumiała i możliwa do sprawdzenia.

Przygotowanie do ZTNA i nowoczesny dostęp

Czysta struktura VLAN pomaga również później w przypadku ZTNA, VPN, SASE lub innych koncepcji dostępu. Jeśli aplikacje wewnętrzne znajdują się już w przejrzystych sieciach serwerów lub aplikacji, dostęp można opublikować bardziej szczegółowo i nie trzeba wypuszczać kompletnego mieszkania LAN.

Dla ZTNA jest to szczególnie pomocne: serwery aplikacji

  • znajdują się w znanych sieciach serwerów.
  • Dostęp do zarządzania jest oddzielony od normalnego ruchu klienta.
  • DNS nazwy i trasy wewnętrzne są wyraźnie udokumentowane.
  • Reguły zapory sieciowej pokazują, którzy użytkownicy lub grupy lokalizacji wymagają jakich obiektów docelowych.
  • Stare zasady ryczałtu LAN to LAN lub Any to Any zostaną zdemontowane.

Jeśli Sophos ZTNA zostanie użyty później, możesz rozpocząć pracę poprzez Zaplanuj i utwórz bramkę Sophos ZTNA. VLAN planowanie nie jest w tym przypadku koniecznym wymogiem, ale sprawia, że ​​późniejsze operacje są znacznie czystsze.

Ile VLAN potrzebujesz?

Nie ma ustalonego, prawidłowego numeru. Powinieneś utworzyć VLANs tam, gdzie konieczna jest własna decyzja dotycząca bezpieczeństwa.

PytanieJeśli tak, czy to sugeruje własny VLAN
Czy sieć potrzebuje innych reguł zapory sieciowej?Zaplanuj własną strefę lub chociaż własny obiekt VLAN.
Czy Device Access powinno być inne?Twoja własna strefa często ma sens.
Czy są inne opcje DHCP?Twój własny VLAN jest zazwyczaj czystszy.
Czy ruch powinien być rejestrowany czy monitorowany oddzielnie?Własny VLAN usprawnia ocenę i rozwiązywanie problemów.
Czy urządzenia charakteryzują się znacząco różnym ryzykiem?Separacja ma sens, na przykład IoT, goście, kopia zapasowa.
Czy są inne odpowiedzialne strony?Własny VLAN ułatwia obsługę i dokumentację.

Ale nie powinieneś od razu narzucać każdemu małemu, specjalnemu tematowi nowego VLAN. Jeśli dwie sieci klienckie mają dokładnie te same zasady, tę samą politykę sieciową i ten sam Device Access, może wystarczyć wspólna strefa z przejrzystymi obiektami sieciowymi.

Zaplanuj z wyprzedzeniem

Przed utworzeniem VLAN należy krótko udokumentować. Nie musi to być duży plan sieciowy, ale najważniejsze wartości powinny być jasne.

PolePrzykład
VLAN NazwaClients
VLAN ID100
Podsieć10.100.0.0/24
Brama na Sophos Firewall10.100.0.1
Interfejs nadrzędnyPort3 lub LAG1
StrefaClient , LAN, Guest , Server lub DMZ
DHCPSophos Firewall, DHCP Przekaźnik lub serwer zewnętrzny
DNSFirewall, wewnętrzny serwer DNS lub celowo inna konstrukcja
PrzeznaczenieStanowiska klienckie z dostępem do Internetu

Strefa jest szczególnie ważna. To ustawienie ma później wpływ na reguły zapory sieciowej, Device Access, zasady sieciowe, IPS, logi i rozwiązywanie problemów. Sophos Firewall Konfiguruj strefy i interfejsy nadaje się do podstawowego planowania stref.

Zrozumienie interfejsu rodzica i znakowania przełączników

Interfejs rodzica to fizyczny port, most lub LAG, na którym Sophos Firewall odbiera oznaczone pakiety VLAN. Identyfikator VLAN na Sophos Firewall musi dokładnie odpowiadać temu, co przełącznik wysyła na tym łączu.

Typowe konstrukcje:

ProjektOpis
Port fizyczny jako łącze trunkingoweŁącze zwrotne przełącznika transportuje kilka VLAN oznaczonych do firewalla.
LAG jako łączeKilka portów fizycznych tworzy LAG, na którym znajduje się kilka interfejsów VLAN.
Port dostępu bez znacznika VLANUrządzenie końcowe zawiesza się nieoznaczone w VLAN; tagowanie odbywa się na przełączniku, a nie na kliencie.
Most z VLANsPrzypadek specjalny, sprawdź dokładnie, szczególnie pod kątem migracji lub przezroczystych projektów.

Jeśli zwykły komputer kliencki jest bezpośrednio podłączony do portu przełącznika, zwykle wysyła sygnał bez oznaczenia. Następnie przełącznik przypisuje ten port do VLAN. Sophos Firewall widzi VLAN na łączu zwrotnym tylko wtedy, gdy przełącznik transportuje oznaczony VLAN do firewalla.

Pojedyncze porty czy VLAN łącze poprzez LAG?

Teoretycznie możesz użyć własnego fizycznego portu zapory ogniowej na VLAN. Jest to zrozumiałe w przypadku bardzo małych instalacji, ale skalowanie jest słabe. Portów staje się mało, okablowanie staje się skomplikowane, a zmiany w strefach, przełącznikach lub HA stają się później bardziej uciążliwe.

W środowiskach produkcyjnych konstrukcja łącza jest zwykle czystsza:

  1. Sophos Firewall jest podłączony do jednego lub większej liczby przełączników rdzeniowych.
  2. Port fizyczny lub LAG transportuje wiele oznaczonych VLAN.
  3. Na zaporze sieciowej tworzone są oddzielne interfejsy VLAN na tym interfejsie nadrzędnym dla każdego VLAN.
  4. Zapora sieciowa pozostaje bramą domyślną dla VLAN i decyduje o routingu i zasadach bezpieczeństwa.

Naszym preferowanym wariantem jest często LAG z dwoma szybkimi łączami nadrzędnymi, na przykład 2x SFP+, o ile zapora sieciowa i przełączniki to obsługują. Następnie VLAN działają na nim jako oznaczone interfejsy. Nie oznacza to automatycznie dwukrotnie większej prędkości w przypadku pojedynczej sesji, ale zapewnia większą redundancję, więcej rezerw i przejrzystszą konstrukcję niż wiele pojedynczych portów miedzianych na VLAN.

ProjektZaletaWada
Pro VLAN własny port firewallałatwy do zrozumienia, wymagana niewielka wiedza VLANsłabo skaluje się, wiele portów, skomplikowane okablowanie
Port trunk z VLANsprosty, czysty, kilka kabliUplink to pojedynczy punkt awarii
LAG z VLAN trunkredundantny, czysty, łatwo skalowalnyPrzełącznik i zapora sieciowa muszą poprawnie obsługiwać LAG/LACP
Routing na przełączniku rdzeniowymbardzo wydajny w dużych sieciachZapora sieciowa nie widzi już w pełni wewnętrznego ruchu wschód-zachód

Dla wielu sieci MŚP i średnich Zapora sieciowa jako domyślna brama dla VLANs jest lepszą decyzją w zakresie bezpieczeństwa. Następnie ruch wewnętrzny pomiędzy VLANs odbywa się poprzez Sophos Firewall i może być kontrolowany za pomocą reguł zapory sieciowej, IPS, zasad sieciowych, rejestrowania i późniejszych funkcji bezpieczeństwa. Routing na głównym przełączniku może być przydatny, jeśli wymagana jest bardzo duża wewnętrzna przepustowość wschód-zachód. Ale wtedy trzeba świadomie zaakceptować fakt, że firewall nie widzi już każdej komunikacji wewnętrznej.

Ogólna zasada:

  • Zorientowane na bezpieczeństwo i jasne: Bramy VLAN na Sophos Firewall.
  • Bardzo wysoka wydajność wewnętrzna: Sprawdź routing na przełączniku głównym, ale dodaj czysto strefy bezpieczeństwa i listy ACL.
  • Nowe instalacje: Przekieruj VLANs do zapory ogniowej przez łącze trunk lub LAG, nie marnuj ani jednego portu na VLAN.
  • Małe lokalizacje: Pojedynczy port trunk może wystarczyć, jeśli nie jest wymagana nadmiarowość.

Często spotykane błędne przekonania:

  • Element VLAN jest tworzony na zaporze ogniowej, ale łącze nadrzędne przełącznika nie przesyła go.
  • VLAN jest oznaczony na porcie dostępowym, chociaż klient oczekuje, że nie będzie on oznaczony.
  • Identyfikator VLAN nie jest zgodny na przełączniku i zaporze.
  • VLAN został utworzony w niewłaściwym interfejsie nadrzędnym.
  • Interfejs nadrzędny działał jako normalny port dostępowy, a nie jako łącze trunkingowe.

Utwórz interfejs VLAN

Ścieżka menu:

Network > Interfaces > Add interface > Add VLAN

Procedura:

  1. Nadaj nazwę, na przykład Clients VLAN 100.
  2. Wybierz interfejs nadrzędny jako Interfejs, na przykład Port3 lub LAG1.
  3. Strefa sieciowa wybieraj świadomie.
  4. Wpisz VLAN ID, na przykład 100.
  5. W konfiguracji IPv4 zwykle używaj Static .
  6. Wprowadź adres IP i maskę podsieci, na przykład 10.100.0.1/24.
  7. Zapisz.

W przypadku wewnętrznych VLAN adres IP zapory jest zwykle domyślną bramą klientów. Jeśli inny system routuje lub zapora widzi tylko określone sieci, projekt ten musi być wyraźnie udokumentowany. W przeciwnym razie będziesz później szukać reguł zapory sieciowej, nawet jeśli klient nie używa Sophos Firewall jako bramy.

DHCP i DNS skonfigurowane

Po interfejsie VLAN konieczna jest decyzja o przypisaniu adresów.

WariantGdy przydatne
DHCP na Sophos Firewallproste lokalizacje, klient, gość, IoT lub sieci VoIP
DHCP Przekaźnikcentralny serwer Windows DHCP lub istniejąca infrastruktura DHCP
Zewnętrzny DHCP serwer w VLANSzczególny przypadek, gdy serwer jest odpowiedzialny bezpośrednio w VLAN
Statyczne adresy IPmały serwer, zarządzanie lub infrastruktura sieci

DHCP na Sophos Firewall jest tworzony pod Network > DHCP. Ważny jest interfejs, zasięg, brama, serwer DNS i domena wyszukiwania. Opcje specjalne, takie jak PXE, VoIP lub wartości specyficzne dla producenta są opisane w Sophos Firewall DHCP Konfiguracja opcji.

Projektując DNS, powinieneś jasno zdecydować, czy klienci używają Sophos Firewall jako forwarderów DNS, czy też bezpośrednio zwracają się do wewnętrznych serwerów DNS. Gdy zapora sieciowa działa jako forwarder DNS, domeny wewnętrzne często muszą być przekazywane do właściwych serwerów DNS poprzez DNS Trasy żądań na Sophos Firewall.

Device Access sprawdź

Device Access kontroluje lokalne usługi Sophos Firewall. To nie to samo, co reguła zapory sieciowej pomiędzy VLANs.

Typowe przykłady:

  • Klienci powinni używać zapory sieciowej jako serwera DNS: zezwól na DNS dla strefy.
  • Rozwiązywanie problemów powinno pozwolić na ping na zaporze ogniowej: świadomie włącz Ping/Ping6.
  • Zwykły klient, gość lub IoT VLANs nie powinien mieć dostępu WebAdmin ani SSH.
  • Dostęp do zarządzania powinien odbywać się poprzez dedykowaną sieć administracyjną lub reguły wyjątków ACL usług lokalnych.

Dokładna procedura jest opisana w Sophos Firewall Bezpieczny dostęp: poprawnie skonfiguruj Device Access. Reguły zapory

i dodatek NAT

Nowy VLAN wymaga zatem odpowiednich reguł zapory. Bez reguły klient może uzyskać adres IP, ale nie automatycznie w Internecie lub innych sieciach wewnętrznych.

Prosta pierwsza reguła internetowa mogłaby wyglądać następująco:

PolePrzykład
Nazwa regułyClients_to_WAN
Strefy źródłoweClient lub LAN
Sieci źródłoweVLAN sieć, na przykład 10.100.0.0/24
Strefy doceloweWAN
Sieci doceloweAny
Usługiusługi wymagane świadomie, a nie automatycznie Any
Rejestrowanie ruchu zaporyaktywowane

Dla dostępu wewnętrznego należy stworzyć osobne zasady. Gość, IoT lub kamera VLAN nie powinny mieć dostępu do serwera ani sieci zarządzania. Planowanie reguł opisano bardziej szczegółowo w Sophos Firewall-Zrozumienie i bezpieczne konfigurowanie reguł.

NAT nie jest konieczne dla każdego ruchu VLAN. W przypadku normalnego dostępu do Internetu często używana jest istniejąca reguła MASQ lub SNAT. Pomiędzy wewnętrznymi VLANs NAT jest zwykle błędne, ponieważ systemy docelowe nie widzą już prawdziwego adresu IP klienta. Klasyfikacja jest w NAT rozumie Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Test akceptacji

A VLAN jest gotowy dopiero po sprawdzeniu przepływu pakietów. Pojedynczy ping nie wystarczy.

Przydatna sekwencja testowa:

  1. Podłącz klienta testowego do odpowiedniego portu przełącznika lub identyfikatora SSID.
  2. Sprawdź, czy klient otrzymuje adres IP z prawidłowego VLAN.
  3. Sprawdź bramę, serwer DNS i wyszukaj domenę.
  4. Pinguj adres IP zapory sieciowej w VLAN, jeśli ping jest dozwolony.
  5. DNS Testowanie rozdzielczości nazw wewnętrznych i zewnętrznych.
  6. Test zezwolenia na dostęp do Internetu.
  7. Test zezwala na dostęp wewnętrzny, jeśli jest dostępny.
  8. Celowo przetestuj blokadę dostępu wewnętrznego i sprawdź blok w Log Viewer.
  9. W Log Viewer Sprawdź identyfikator reguły, strefę źródłową, strefę docelową i identyfikator NAT.
  10. Jeśli nie jest to jasne, użyj opcji Przechwytywanie pakietów w interfejsie VLAN.

Do oceny z Log Viewer, Testem zasad i Packet Capture, odpowiednia jest reguła testowa Sophos Firewall z Log Viewer, Testem zasad i Packet Capture.

Typowe błędy

BłądObjawNastępne sprawdzenie
VLAN niedozwolone na łączu w górę przełącznikaKlient nie otrzymuje adresu IP lub nie osiąga bramySprawdź łącze/otagowane VLAN na przełączniku
Niewłaściwy rodzic interfejsZapora sieciowa nie widzi ruchuPorównaj interfejs VLAN z okablowaniem fizycznym
Port klienta oznaczony zamiast nieoznaczonegoZwykli klienci nie trafiają do VLANSprawdź port dostępu lub natywny profil VLAN
DHCP brak lub nieprawidłowy DHCP odpowiedziKlient nie otrzymuje adresu IP lub jest złyDHCP dzierżawi i sprawdza Packet Capture UDP 67/68
DNS Device Access brakRuch IP działa, rozpoznawanie nazw nieDevice Access i sprawdź klienta DNS
Wybrano niewłaściwą strefęReguły lub zasady nie działają zgodnie z oczekiwaniamiPorównaj reguły strefy interfejsu i zapory
Brak reguły zapory sieciowejKlient ma adres IP, ale ruch jest zablokowanyLog Viewer i identyfikator reguły sprawdź
NAT pomiędzy wewnętrznymi VLANssystemami docelowymi zobacz nieprawidłowy źródłowy adres IPsprawdź reguły NAT i zaplanuj wewnętrzne wyjątki NAT

Jeśli reguła nie jest dopasowana, problem często dotyczy oznaczania strefy, sieci źródłowej, bramy lub przełącznika. Artykuł Sophos Firewall nie ma zastosowania: sprawdź przyczyny pomaga w rozróżnieniu.

Kontrola działania

Aby produktywne VLANs, nie tylko początkowa konfiguracja powinna być prawidłowa. Ważne jest, aby późniejsi administratorzy mogli zrozumieć, dlaczego VLAN istnieje i jakie zasady do niego należą.

Powinieneś udokumentować:

  • VLAN Identyfikator, nazwę i podsieć
  • Interfejs nadrzędny i łącze przełączające
  • Strefa i cel bezpieczeństwa
  • DHCP źródło i DNS serwer
  • dozwolone docelowe strefy i usługi
  • NAT decyzja
  • odpowiedzialny właściciel
  • klient testowy lub procedura testowa
  • data ostatniego sprawdzenia reguły

W przypadku większych środowisk warto także zastosować prostą matrycę dostępu. Taka macierz pokazuje, które VLAN mogą ze sobą rozmawiać, a które celowo pozostają oddzielone.

Prosta macierz dostępu może wyglądać następująco:

OdPo decyzji
KlienciInternetdozwolone z polityką sieciową, DNS Ochrona i rejestrowanie
KlienciSerwertylko zdefiniowane Aplikacja porty
GościeWewnętrznezablokowane
IoTInternettylko wymagane cele i porty
IoTSerwertylko dla NVR, serwera druku lub systemów zarządzania
ZarządzanieInfrastrukturadozwolona dla protokołów administracyjnych
Kopia zapasowaSerwerspecjalnie dozwolona, zdecydowanie ogranicza odwrotny kierunek

Ta macierz jest często ważniejsza niż sama lista VLAN. Zapobiega to późniejszemu tworzeniu ogólnych reguł, które w rzeczywistości unieważniają segmentację.

Często zadawane pytania

Jak skonfigurować VLAN na Sophos Firewall?

Tworzysz nowy interfejs VLAN pod Network > Interfaces > Add interface > Add VLAN, wybierasz właściwy interfejs nadrzędny, ustawiasz VLAN ID, strefę i adres IP, a następnie dodajesz DHCP, Device Access, reguły i testy zapory ogniowej.

Czy każdy VLAN potrzebuje własnej strefy?

Nie koniecznie. Oddzielna strefa ma sens, jeśli VLAN potrzebuje innego poziomu zaufania, innych reguł dostępu do urządzenia lub własnych zasad zapory sieciowej. W tej samej strefie może znajdować się także kilka VLAN z identycznymi politykami.

Czy routing pomiędzy VLAN powinien przebiegać przez zaporę sieciową czy przełącznik?

W sieciach, w których bezpieczeństwo jest istotne, routing przez Sophos Firewall jest zwykle lepszy, ponieważ reguły, dzienniki i zasady bezpieczeństwa obowiązują centralnie. Routing na głównym przełączniku może mieć sens, jeśli ruch ze wschodu na zachód jest bardzo duży, ale wówczas musi być zabezpieczony listami ACL, monitorowaniem i przejrzystą dokumentacją.

Czy LAG z wieloma VLAN jest lepsze niż jeden port na VLAN?

W najbardziej produktywnych środowiskach łącze VLAN jest czystsze niż łącze LAG. Oszczędzasz porty, redukujesz kable, zwiększasz redundancję i możesz kontrolować wiele VLAN poprzez to samo połączenie firewall. Jeden port na VLAN jest bardziej odpowiedni dla bardzo małych lub tymczasowych konfiguracji.

Dlaczego klient nie otrzymuje adresu IP w VLAN?

Często nie można oznaczyć VLAN na łączu zwrotnym przełącznika, port klienta jest przypisany niepoprawnie, brakuje DHCP lub odpowiada inny serwer DHCP. Packet Capture na DHCP 67/68 często pomaga szybciej niż ponowne kliknięcie w WebAdmin.

Czy NAT musi być aktywowane pomiędzy wewnętrznymi VLANs?

W większości nie. Pomiędzy wewnętrznymi VLANs powinny być normalnie kierowane i dozwolone lub blokowane przez reguły zapory. NAT pomiędzy sieciami wewnętrznymi utrudnia logi, trasy powrotne i rozwiązywanie problemów.

Dlaczego internet działa, ale nie ma dostępu do serwerów wewnętrznych?

Prawdopodobnie istnieje działająca reguła LAN-to-WAN, ale nie ma reguły pasującej od VLAN do strefy serwera. Sprawdź strefę źródłową, strefę docelową, sieć źródłową, obiekt docelowy, usługę i identyfikator reguły w Log Viewer.