Hoppa till innehållet
Avanet

Konfigurera VLAN på Sophos Firewall och UniFi Switch

VLANs logically separate networks from one another, even though they can run over the same switches and cables. In a typical small or medium-sized environment, the Sophos Firewall takes care of routing, firewall rules, DHCP and security policies. The UniFi Switch transports the VLANs via tagging to access points, clients, servers or other switches.

The article shows a practical setup with Sophos Firewall as Gateway and UniFi as a switching platform. Fokus ligger inte bara på klickvägen, utan också på de typiska felen: felaktigt beteende hos Tagged/Untagged, saknade brandväggsregler, glömd DHCP-server eller en VLAN på fel föräldragränssnitt.

Målbild

Exempel:

  • VLAN Namn: Clients.
  • VLAN ID: 100.
  • Subnet: 10.100.0.0/24.
  • Gateway till Sophos Firewall: 10.100.0.1.
  • Zon på Sophos Firewall: Client eller LAN.
  • UniFi Uplink to firewall: Allow VLAN 100 tagged.
  • Klientport på switchen: VLAN 100 omärkt eller inställd som Native VLAN.

I denna design är Sophos Firewall standard Gateway för VLAN. Klienter i VLAN får en IP-adress från det nya subnätet, skickar sin trafik till brandväggen och styrs där via brandväggsregler, NAT, webbskydd, IPS eller andra policyer.

Om det grundläggande gränssnittet och zonplaneringen måste förtydligas först, hjälper Sophos Firewall Konfigurera zoner och gränssnitt. För ändamålen med dessa instruktioner antas det att VLAN medvetet är planerad som sin egen klient, gäst, server eller hanteringsnätverk.

Förtydliga i förväg

Innan du konfigurerar bör du fastställa dessa punkter:

  • Vilket VLAN ID används?
  • Vilket IP-undernät får VLAN?
  • Bör Sophos Firewall tillhandahålla DHCP för denna VLAN?
  • I vilken Sophos-zon finns VLAN?
  • Vilka UniFi-portar transporterar den märkta VLAN?
  • Vilka UniFi-portar matar ut VLAN otaggade till slutenheter?
  • Kan VLAN bara komma åt Internet eller även interna servrar?
  • Vilka lokala brandväggstjänster kan vara tillgängliga från den här zonen?

⚠️ En VLAN separerar bara Layer 2. Sophos Firewall avgör senare om trafik mellan VLAN är tillåten via routing, brandväggsregler och NAT. En VLAN ersätter inte vanlig planering.

Skapa VLAN i UniFi Network

Beroende på UniFi Network-versionen har enskilda menyalternativ något olika namn. Principen förblir densamma: VLAN skapas som sitt eget nätverk eller som ett VLAN-endast nätverk om Sophos Firewall tar över Gateway och DHCP.

Menysökväg:

Settings > Networks

Procedur:

  1. Open New Virtual Network or New Network.
  2. Tilldela ett namn, till exempel Clients.
  3. Select Third-party Gateway as router or Gateway if the Sophos Firewall takes over routing and DHCP.
  4. Ange VLAN ID, till exempel 100.
  5. Leave automatic UniFi-Gateway or DHCP functions disabled when the Sophos Firewall is in charge.
  6. Spara.
    UniFi Network Inställningar med befintliga nätverk
    I UniFi Network skapas först VLAN som nätverk eller endast VLAN-nätverk.
    UniFi Network med nya VLAN och tredjeparts Gateway
    För tredje parts Gateway förblir Sophos Firewall Gateway för VLAN.

UniFi Ställ in switchportarna korrekt

Den viktigaste delen är hamnkartläggningen. Omkopplaren Sophos Firewall och UniFi måste se samma VLAN ID på samma länk.

Typisk portdesign:

  • Upplänk till Sophos Firewall: Tillåt VLAN 100 taggad så att VLAN transporteras till brandväggen.
  • Upplänk till en annan switch: Tillåt VLAN 100 taggad om VLAN ska omdistribueras.
  • Access Point-port: Tillåt VLAN 100 taggad om ett SSID använder denna VLAN.
  • Klientport: Ställ in VLAN 100 som native/Untagged VLAN så att en enhet utan en VLAN-tagg hamnar direkt i rätt nätverk.

När en vanlig klientdator är ansluten till en switchport skickar den normalt omärkta. Switchen mappar sedan denna port till önskad Native VLAN. Om en Access Point eller en annan switch ska transportera flera VLAN, måste porten tillåta VLAN:en taggade.

Typiska fel:

  • VLAN skapad på UniFi-växeln, men inte tillåten på upplänken till brandväggen.
  • Klientport konfigurerad taggad istället för otaggad.
  • Access Point SSID använder VLAN 100, men AP-porten bär inte VLAN 100.
  • Native VLAN och Tagged VLAN är förvirrade.
  • VLAN ID är annorlunda på UniFi och Sophos.

Planera förändringar utan förlust av ledning

Särskild försiktighet bör iakttas när du gör VLAN ändringar av upplänkar, switchportprofiler eller hanteringsnätverk. En felaktig Native VLAN eller en saknad Tagged VLAN på upplänken kan göra att switchen, Access Point eller brandväggen försvinner från hanteringsnätverket.

Innan du gör produktiva förändringar bör du därför kort bestämma:

  • UniFi hanteringsnätverk: Hanteringsnätverket VLAN får inte gå förlorat när portprofilen ändras.
  • Upplänk till Sophos Firewall: Ändringar av denna port påverkar ofta flera VLAN samtidigt.
  • Lokal åtkomst: För fjärrändringar krävs en reservväg till switchen och brandväggen.
  • Testport: Nya VLAN-profiler kan testas på en reserverad port utan att flytta produktiva enheter.
  • Säkerhetskopiering: Med en säker Sophos- och UniFi-konfiguration kan du snabbare återgå till den senaste fungerande versionen.

Vi rekommenderar att du först validerar nya VLAN på en enda testport. Endast när DHCP, Gateway, DNS, brandväggsregel och Log Viewer matchar bör portprofilen rullas ut till ytterligare åtkomstpunkter, switchade upplänkar eller klientportar.

Skapa VLAN på Sophos Firewall

VLAN skapas som ett virtuellt gränssnitt på Sophos Firewall.

Menysökväg:

Network > Interfaces > Add interface > Add VLAN

Procedur:

  1. Tilldela ett namn, till exempel Clients VLAN 100.
  2. Välj den fysiska porten, bryggan eller LAG dit VLAN kommer taggat som Gränssnitt.
  3. Välj zon, till exempel Client, LAN, Guest eller Server.
  4. Ange VLAN ID, till exempel 100.
  5. Under IPv4-konfiguration väljer du vanligtvis Static.
  6. Ställ in Gateway-adressen för VLAN, till exempel 10.100.0.1/24.
  7. Spara.
    Sophos Firewall Add VLAN Val av gränssnitt
    VLAN skapas på det överordnade gränssnittet där UniFi-växeln skickar den taggade VLAN till brandväggen.
    Sophos Firewall VLAN Gränssnitt med VLAN ID och IPv4 konfiguration
    VLAN ID, zon och IP adress måste matcha switchen och subnätdesignen.
    Sophos tillåter VLAN ID:n från 1 till 4094. Samma VLAN ID kan inte användas flera gånger på samma fysiska gränssnitt. Samma VLAN ID kan tekniskt sett visas igen på ett annat föräldragränssnitt, men i praktiken bör detta endast göras om nätverksdesignen är tydligt dokumenterad.

Ställ in DHCP för VLAN

Om klienter i VLAN automatiskt ska ta emot IP-adresser, krävs en DHCP-server eller DHCP-relä.

På Sophos Firewall är DHCP under:

Network > DHCP

Typiska DHCP-värden:

  • Gränssnitt: Clients VLAN 100.
  • Räckviddsstart: 10.100.0.50.
  • Räckvidd: 10.100.0.200.
  • Gateway: 10.100.0.1.
  • DNS-server: Brandvägg-IP eller intern DNS-server.
  • Domännamn: intern sökdomän, vid behov.

Om Sophos Firewall ska användas som en DNS-resolver för denna VLAN, måste DNS även tillåtas under Administration > Enhetsåtkomst för lämplig zon. DHCP-alternativ för specifika enheter beskrivs i artikeln Sophos Firewall DHCP-alternativ (SFOS).

Skapa brandväggsregler

Efter VLAN och DHCP saknas vanligtvis lämplig brandväggsregel. Utan en regel kan klienten få en IP-adress, men kan inte automatiskt kommunicera med Internet eller andra nätverk.

Typisk första regel för internet:

  • Rule name: Clients_to_WAN.
  • Source zones: Client eller LAN.
  • Source networks and devices: Nätverksobjekt för VLAN, till exempel net_Clients_10.100.0.0_24.
  • Destination zones: WAN.
  • Destination networks: Any.
  • Services: HTTP, HTTPS, DNS, NTP eller avsiktligt definierade tjänster.
  • Log firewall traffic: aktiverad.

Du bör skapa separata regler för åtkomst till interna servrar och endast tillåta de destinationer och tjänster som krävs. En gäst eller IoT VLAN ska i allmänhet inte tillåtas komma åt servern eller hanteringsnätverket.

Detaljerna om regelordning, Source Zone, destinationszon, säkerhetsfunktioner och loggning finns i Förstå och korrekt konfigurera Sophos Firewall-regler.

Kontrollera Device Access

Device Access styr lokala tjänster för själva brandväggen, inte trafiken genom brandväggen. Detta är viktigt för nya VLAN.

Exempel:

  • Klienter bör använda brandväggen som en DNS-server: tillåt DNS för zonen.
  • Övervakning bör pinga brandväggen: tillåt specifikt Ping/Ping6.
  • Normala klienter, gäster eller IoT-enheter ska inte få åtkomst till WebAdmin eller SSH.
  • Hanteringsåtkomst bör ske från ett dedikerat administratörsnätverk eller via undantagsregler för Local Service ACL.

Sophos Firewall Säkra åtkomst: konfigurera Device Access korrekt hjälper till med exakt härdning.

Testning och validering

Efter konfigurationen ska du inte bara kontrollera om en klient har internet. En kort, reproducerbar testplan är bättre:

  1. Anslut klienten till den avsedda UniFi-porten.
  2. Kontrollera om klienten får en IP-adress från rätt VLAN.
  3. Kontrollera standard Gateway och DNS-server.
  4. Pinga brandvägg-IP i VLAN om ping är tillåten.
  5. Testa internetåtkomst.
  6. Testa åtkomst till interna nätverk som bör tillåtas.
  7. Testa åtkomst till interna nätverk som bör blockeras.
  8. I Sophos Log viewer kontrollera vilken brandväggsregel som matchade.
  9. Kontrollera regelns användningsräknare.

Om en regel inte fungerar som förväntat hjälper Sophos Firewall Testregel med Log Viewer och Packet Capture.

Typiska fel

  • VLAN får inte taggas på UniFi upplänk till brandväggen: Klienter får ingen IP-adress eller når inte brandväggen.
  • VLAN är på fel föräldragränssnitt på Sophos: Sophos Firewall ser inte trafiken.
  • Klientporten är taggad istället för otaggad: Normala klienter hamnar inte i VLAN.
  • DHCP saknas: Klienten får inte en IP-adress eller en APIPA-adress.
  • DNS Device Access saknas: Klienten kan nå IP:er men kan inte lösa namn.
  • Brandväggsregel saknas: Klienten får en IP-adress, men trafiken blockeras.
  • Tillåt regeln för bred: VLAN-separationen tas praktiskt taget bort igen.
  • Fel zon valt: Regel, Device Access eller webbpolicy träder i kraft annorlunda än förväntat.
  • Native VLAN på Trunk oklart: Otaggad trafik hamnar i fel nätverk.

Felsökning

Om VLAN inte fungerar bör du kontrollera från lager 1 till lager 7:

  1. Kabel och länk: Visar UniFi-porten länk och förväntad hastighet?
  2. UniFi portprofil: Är VLAN 100 taggade tillåtet på upplänken?
  3. Client Port: Är VLAN 100 inställt otaggat/native för vanliga klienter?
  4. Sophos-gränssnitt: Är VLAN synlig, ansluten och i rätt zon under Nätverk > Gränssnitt?
  5. DHCP: Finns det en DHCP-server eller relä för VLAN?
  6. Gateway: Är Sophos VLAN-IP standard Gateway?
  7. Device Access: Är DNS eller Ping tillåtet för zonen om det behövs?
  8. Brandväggsregler: Är Source Zone, Source Network, Destination Zone och Services korrekta?
  9. Log Viewer: Är trafiken tillåten, släppt eller drabbad av en annan regel?
  10. Packet Capture: Kommer paket till rätt gränssnitt och med den förväntade VLAN-konfigurationen?

I fall som är svåra att förstå är Packet Capture ofta avgörande. Om inga paket kommer till Sophos Parent Interface, är problemet vanligtvis på UniFi-sidan, kabeln, portprofilen, Tagged/Untagged-designen eller fel upplänk.

Checklista

  • VLAN ID är detsamma på UniFi och Sophos.
  • UniFi Upplänk till Sophos Firewall gör att VLAN kan taggas.
  • Slutenhetsporten är omärkt/native i rätt VLAN för normala klienter.
  • Sophos VLAN är på rätt föräldragränssnitt.
  • Sophos VLAN har den schemalagda zonen och Gateway-IP.
  • DHCP eller DHCP-relä är inställt.
  • DNS är korrekt inställt och tillåtet när du använder brandväggen via Device Access.
  • Brandväggsregel för internetåtkomst finns och loggas. – Intern åtkomst tillåts bara där det verkligen behövs.
  • Log Viewer och Packet Capture testades för en testklient.

Vanliga frågor

Behöver varje VLAN sin egen Sophos-zon?

Nej. Flera VLAN kan vara i samma zon om de ges samma förtroendenivå, brandväggsregler och Device Access. Men om en VLAN har andra rättigheter eller en annan risk är en separat zon ofta tydligare.

Måste DHCP köras på Sophos Firewall?

Inte nödvändigtvis. DHCP can also run on an internal server or be relayed. The only important thing is that clients in the VLAN receive a suitable IP address, Gateway and DNS configuration.

Varför fungerar internet men ingen tillgång till interna servrar?

För det mesta finns det ingen lämplig brandväggsregel mellan VLAN-zonen och serverzonen, eller så är regeln under en mer allmän blockerings- eller tillåtsregel. I Log Viewer kan du se vilken regel som faktiskt matchas.

Varför får inte klienten en IP-adress?

Vanliga orsaker är en felaktig UniFi-portprofil, en omärkt upplänk till Sophos Firewall, en VLAN på fel föräldragränssnitt eller en saknad DHCP-server.

Bör en gäst VLAN använda DNS över Sophos Firewall?

Detta kan vara användbart om du vill att brandväggen ska tillhandahålla eller filtrera DNS för gästen VLAN. Då måste DNS tillåtas för motsvarande zon under Device Access. Alternativt kan du distribuera externa DNS-servrar via DHCP.