As VLANs separam logicamente as redes umas das outras, embora possam operar nos mesmos switches e cabos. Em um ambiente típico de pequeno ou médio porte, o Sophos Firewall cuida do roteamento, regras de firewall, DHCP e políticas de segurança. O UniFi Switch transporta as VLANs por meio de marcação para pontos de acesso, clientes, servidores ou outros switches.
O artigo mostra uma configuração prática com Sophos Firewall como Gateway e UniFi como plataforma de comutação. O foco não está apenas no caminho do clique, mas também nos erros típicos: comportamento incorreto de Tagged/Untagged, regras de firewall ausentes, servidor DHCP esquecido ou um VLAN na interface pai errada.
Imagem alvo
Exemplo:
VLAN Nome: Clients.
ID VLAN: 100.
Sub-rede: 10.100.0.0/24.
Gateway a Sophos Firewall: 10.100.0.1.
Zona em Sophos Firewall: Client ou LAN.
UniFi Uplink para firewall: Permitir VLAN 100 marcado.
Porta do cliente no switch: VLAN 100 não marcada ou definida como Native VLAN.
Neste design, Sophos Firewall é o Gateway padrão da VLAN. Os clientes no VLAN obtêm um endereço IP da nova sub-rede, enviam seu tráfego para o firewall e são controlados por meio de regras de firewall, NAT, proteção da web, IPS ou outras políticas.
Se a interface básica e o planejamento de zona precisarem ser esclarecidos primeiro, Sophos Firewall Configurar zonas e interfaces ajudará. Para os fins destas instruções, presume-se que o VLAN foi deliberadamente planejado como seu próprio cliente, convidado, servidor ou rede de gerenciamento.
Esclareça com antecedência
Antes da configuração você deve determinar estes pontos:
Qual ID VLAN é usado?
Qual sub-rede IP o VLAN obtém?
O Sophos Firewall deve fornecer DHCP para este VLAN?
Em qual zona Sophos está o VLAN?
Quais portas UniFi transportam o tag VLAN?
Quais portas UniFi enviam o VLAN não marcado para dispositivos finais?
O VLAN pode acessar apenas a Internet ou também servidores internos?
Quais serviços de firewall locais podem ser acessíveis nesta zona?
⚠️ Um VLAN separa apenas a Camada 2. O Sophos Firewall posteriormente decide se o tráfego entre VLANs é permitido via roteamento, regras de firewall e NAT. Um VLAN não substitui o planejamento regular.
Crie VLAN em UniFi Network
Dependendo da versão UniFi Network, os itens de menu individuais têm nomes ligeiramente diferentes. O princípio permanece o mesmo: o VLAN é criado como sua própria rede ou como uma rede somente VLAN se o Sophos Firewall assumir o controle do Gateway e do DHCP.
Caminho do menu:
Settings > Networks
Procedimento:
Abra Nova Rede Virtual ou Nova Rede.
Atribua um nome, por exemplo Clients.
Selecione Gateway de terceiros como roteador ou Gateway se o Sophos Firewall assumir o roteamento e o DHCP.
Insira o ID VLAN, por exemplo 100.
Deixe as funções automáticas UniFi-Gateway ou DHCP desativadas quando o Sophos Firewall estiver no comando.
Salve.No UniFi Network, as VLANs são criadas primeiro como redes ou redes somente VLAN.Para Gateway de terceiros, o Sophos Firewall continua sendo o Gateway da VLAN.
UniFi Defina as portas do switch corretamente
A parte mais importante é o mapeamento da porta. O switch Sophos Firewall e UniFi deve ver o mesmo ID VLAN no mesmo link.
Projeto típico de porta:
Uplink para Sophos Firewall: Permitir VLAN 100 marcado para que o VLAN seja transportado para o firewall.
Uplink para outro switch: Permitir VLAN 100 marcado se o VLAN for redistribuído.
Porta Access Point: Permitir VLAN 100 marcado se um SSID usar este VLAN.
Porta do cliente: Defina VLAN 100 como nativo/Untagged VLAN para que um dispositivo sem uma tag VLAN acabe diretamente na rede correta.
Quando um PC cliente normal está conectado a uma porta de switch, ele normalmente envia sem etiqueta. O switch então mapeia essa porta para o Native VLAN desejado. Se um Access Point ou outro switch transportar várias VLANs, a porta deverá permitir as VLANs marcadas.
Erros típicos:
VLAN criado no switch UniFi, mas não permitido no uplink para o firewall.
Porta do cliente configurada com tag em vez de sem tag.
O SSID Access Point usa VLAN 100, mas a porta AP não carrega VLAN 100.
Native VLAN e Tagged VLAN estão confusos.
O ID VLAN é diferente em UniFi e Sophos.
Planeje mudanças sem perda de gerenciamento
Deve-se tomar cuidado especial ao fazer alterações VLAN em uplinks, perfis de portas de switch ou redes de gerenciamento. Um Native VLAN incorreto ou um Tagged VLAN ausente no uplink pode fazer com que o switch, Access Point ou firewall desapareça da rede de gerenciamento.
Antes de fazer alterações produtivas, você deve determinar brevemente:
Rede de gerenciamento UniFi: O gerenciamento VLAN não deve ser perdido ao alterar o perfil da porta.
Uplink para Sophos Firewall: As alterações nesta porta geralmente afetam várias VLANs ao mesmo tempo.
Acesso local: Para alterações remotas, é necessário um caminho alternativo para o switch e firewall.
Porta de teste: Novos perfis VLAN podem ser testados em uma porta reservada sem realocar dispositivos produtivos.
Backup: Com uma configuração segura do Sophos e UniFi, você pode voltar para a última versão funcional mais rapidamente.
Recomendamos validar primeiro novas VLANs em uma única porta de teste. Somente quando DHCP, Gateway, DNS, regra de firewall e Log Viewer corresponderem o perfil da porta deve ser implementado para pontos de acesso adicionais, uplinks de switch ou portas de cliente.
Crie VLAN no Sophos Firewall
O VLAN é criado como uma interface virtual no Sophos Firewall.
Caminho do menu:
Network > Interfaces > Add interface > Add VLAN
Procedimento:
Atribua um nome, por exemplo Clients VLAN 100.
Selecione a porta física, ponte ou LAG onde o VLAN chega marcado como Interface.
Selecione a zona, por exemplo Client, LAN, Guest ou Server.
Insira o ID VLAN, por exemplo 100.
Em Configuração IPv4 geralmente selecione Static.
Defina o endereço Gateway da VLAN, por exemplo 10.100.0.1/24.
Salve.O VLAN é criado na interface pai na qual o switch UniFi envia o VLAN marcado para o firewall.O ID VLAN, a zona e o endereço IP devem corresponder ao design do switch e da sub-rede.O Sophos permite IDs VLAN de 1 a 4094. O mesmo ID VLAN não pode ser usado diversas vezes na mesma interface física. O mesmo ID VLAN pode tecnicamente aparecer novamente em uma interface pai diferente, mas na prática isso só deve ser feito se o design da rede estiver claramente documentado.
Configure o DHCP para o VLAN
Se os clientes no VLAN receberem automaticamente endereços IP, será necessário um servidor DHCP ou retransmissão DHCP.
No Sophos Firewall, o DHCP está em:
Network > DHCP
Valores típicos de DHCP:
Interface: Clients VLAN 100.
Início da faixa: 10.100.0.50.
Fim da faixa: 10.100.0.200.
Gateway: 10.100.0.1.
Servidor DNS: Firewall-IP ou servidor DNS interno.
Nome de domínio: domínio de pesquisa interno, se necessário.
Se o Sophos Firewall for usado como um resolvedor de DNS para este VLAN, o DNS também deverá ser permitido em Administração > Acesso ao dispositivo para a zona apropriada. As opções de DHCP para dispositivos específicos são descritas no artigo Sophos Firewall Opções de DHCP (SFOS).
Crie regras de firewall
Após VLAN e DHCP, geralmente falta a regra de firewall apropriada. Sem regra, o cliente pode obter um endereço IP, mas não pode se comunicar automaticamente com a Internet ou outras redes.
Primeira regra típica da internet:
Rule name: Clients_to_WAN.
Source zones: Client ou LAN.
Source networks and devices: Objeto de rede da VLAN, por exemplo net_Clients_10.100.0.0_24.
Destination zones: WAN.
Destination networks: Any.
Services: HTTP, HTTPS, DNS, NTP ou serviços deliberadamente definidos.
Log firewall traffic: ativado.
Você deve criar regras separadas para acesso a servidores internos e permitir apenas os destinos e serviços necessários. Geralmente, um convidado ou IoT VLAN não deve ter permissão para acessar o servidor ou a rede de gerenciamento.
VLAN não pode ser marcado no uplink UniFi para o firewall: Os clientes não recebem um endereço IP ou não alcançam o firewall.
VLAN está na interface pai errada no Sophos: O Sophos Firewall não vê o tráfego.
A porta do cliente é marcada em vez de não marcada: Os clientes normais não terminam no VLAN.
DHCP ausente: O cliente não obtém um endereço IP ou um endereço APIPA.
DNS Device Access ausente: O cliente pode acessar IPs, mas não consegue resolver nomes.
Falta regra de firewall: O cliente obtém um endereço IP, mas o tráfego está bloqueado.
Permitir regra muito ampla: A separação VLAN é praticamente removida novamente.
Zona errada selecionada: Regra, Device Access ou política da web têm efeito diferente do esperado.
Native VLAN em Trunk pouco claro: O tráfego não marcado acaba na rede errada.
Solução de problemas
Se o VLAN não funcionar, você deve verificar da Camada 1 à Camada 7:
Cabo e Link: A porta UniFi mostra link e velocidade esperada?
Perfil da porta UniFi: A marcação VLAN 100 é permitida no uplink?
Porta do cliente: VLAN 100 está definido como não marcado/nativo para clientes normais?
Interface Sophos: O VLAN está visível, conectado e na zona correta em Rede > Interfaces?
DHCP: Existe um servidor DHCP ou retransmissão para o VLAN?
Gateway: O Sophos VLAN-IP é o Gateway padrão?
Device Access: DNS ou Ping são permitidos para a zona, se necessário?
Regras de Firewall: Source Zone, Source Network, Zona de Destino e Services estão corretos?
Log Viewer: O tráfego é permitido, descartado ou atingido por outra regra?
Packet Capture: Os pacotes estão chegando na interface correta e com a configuração VLAN esperada?
Em casos difíceis de entender, Packet Capture costuma ser crucial. Se nenhum pacote chegar à interface pai do Sophos, o problema geralmente está no lado UniFi, no cabo, no perfil da porta, no design Tagged/Untagged ou no uplink errado.
Lista de verificação
O ID VLAN é o mesmo em UniFi e Sophos.
O uplink UniFi para o Sophos Firewall permite que o VLAN seja etiquetado.
A porta do dispositivo final não está marcada/nativa no VLAN correto para clientes normais.
O Sophos VLAN está na interface pai correta.
Sophos VLAN possui a zona programada e Gateway-IP.
DHCP ou DHCP Relay está configurado.
O DNS está definido adequadamente e é permitido ao usar o firewall via Device Access.
Firewall rule for internet access is present and logged.
O acesso interno só é permitido onde for realmente necessário.
Log Viewer e Packet Capture foram testados para um cliente de teste.
Perguntas frequentes
Cada VLAN precisa de sua própria zona Sophos?
Não. Várias VLANs podem estar na mesma zona se receberem o mesmo nível de confiança, regras de firewall e Device Access. No entanto, se um VLAN tiver direitos diferentes ou um risco diferente, uma zona separada costuma ser mais clara.
O DHCP precisa ser executado no Sophos Firewall?
Não necessariamente. O DHCP também pode ser executado em um servidor interno ou retransmitido. A única coisa importante é que os clientes no VLAN recebam um endereço IP adequado, Gateway e configuração de DNS.
Por que a Internet funciona, mas não há acesso aos servidores internos?
Na maioria das vezes, não existe uma regra de firewall apropriada entre a zona VLAN e a zona do servidor, ou a regra está sob uma regra mais geral de bloqueio ou permissão. No Log Viewer você pode ver qual regra realmente corresponde.
Por que o cliente não obtém um endereço IP?
As causas comuns são um perfil de porta UniFi incorreto, um uplink não marcado para Sophos Firewall, um VLAN na interface pai errada ou um servidor DHCP ausente.
Um convidado VLAN deve usar DNS em Sophos Firewall?
Isso pode ser útil se você quiser que o firewall forneça ou filtre DNS para o convidado VLAN. Então o DNS deve ser permitido para a zona correspondente em Device Access. Alternativamente, você pode distribuir servidores DNS externos via DHCP.