RED-Geräteanforderungen und Verkehrsverhalten
Informieren Sie sich über die Geräteanforderungen und das Verkehrsverhalten von RED.
Warnung
RED 15, 15 (w) und 50 sind nun nicht mehr verfügbar (EOL). Ihre bestehenden Tunnel mit diesen Geräten werden beim Upgrade auf SFOS 20.0 MR1 oder höher getrennt. Um sie weiterhin nutzen zu können, müssen Sie SFOS 20.0 GA oder frühere Versionen ausführen. Wir empfehlen die Verwendung von SD-RED 20 oder 60. Siehe Ende der Lebensdauer von RED 15/15(w) und RED 50 Und Ruhestandskalender.
RED 50 vs. SD-RED 60 Verkehrsverhalten
Die Geräte RED 50 und SD-RED 60 verarbeiten nicht markierten VLAN-Verkehr (Hybridport) unterschiedlich.
Die folgende Tabelle zeigt, wie der gesamte Datenverkehr über alle Ports abgewickelt wird.
Wie RED 50 und SD-RED 60 den Verkehr bewältigen
| Modi | VLAN-Verkehr | Nicht-VLAN-Verkehr |
|---|---|---|
Unmarkiert (Hybrid-Port) (Nur eine VLAN-Konfiguration ist zulässig) | ROT 50 Weitergeleitet: Jeglicher VLAN-Verkehr wird über das angegebene VLAN weitergeleitet. SD-RED 60 Weitergeleitet: Jeglicher VLAN-Verkehr wird unverändert weitergeleitet. | Weitergeleitet: Nicht-VLAN-Verkehr wird mithilfe des angegebenen VLAN markiert. |
Unmarkiert, mit Markiertem ablegen (Zugriffsport) (Nur eine VLAN-Konfiguration ist zulässig) | Verworfen: Der gesamte VLAN-Verkehr wird verworfen. | Weitergeleitet: Nicht-VLAN-Verkehr wird mithilfe des angegebenen VLAN markiert. |
Markiert (Trunk-Port) (Konfiguration mehrerer VLAN-IDs zulässig) | Weitergeleitet: Datenverkehr, der mit den konfigurierten VLANs übereinstimmt, wird weitergeleitet, und Datenverkehr, der nicht übereinstimmt, wird gelöscht. | Verworfen: Nicht-VLAN-Verkehr wird verworfen. |
| Deaktiviert | Abgeworfen | Abgeworfen |
Warnung
Sie können VLAN-Verkehr auf dem SD-RED 60 nur im Standard-/Unified-Modus markieren.
Wenn Sie den LAN-Switch-Port-Modus auf VLAN einstellen, kapselt der SD-RED 60 getaggten und ungetaggten Datenverkehr über den RED-Tunnel. Das bedeutet, dass Sie Ihren Remote-Switch-Port so konfigurieren können, dass er die VLAN-Trennung der Zentrale repliziert.
Tipp
Wenn das VLAN-Gastnetzwerk hinter dem RED-Gerät das lokale Gateway verwenden muss, können Sie diesen Datenverkehr über ein Desktop-Modell der XGS-Serie leiten.
RED 15w Anforderungen
Der Datenverkehr wird je nach Modus und drahtlosem Datenverkehrstyp abgewickelt. Bevor Sie eine RED 15w (drahtlos) einrichten, müssen Sie die Anforderungen für den Modus erfüllen.
Die RED 15w und REDs mit dem Wi-Fi-Erweiterungsmodul verwenden die DHCP-Option 234, um mit der Sophos Firewall oder Sophos UTM zu kommunizieren, wenn Sie sie als drahtlose Zugriffspunkte konfiguriert haben.
Im Standard-/Unified-Modus wird der gesamte Datenverkehr vom RED an die Firewall gesendet.
Im Standard-/Split-Modus wird der gesamte Datenverkehr der geteilten Netzwerke an die Firewall weitergeleitet. Der restliche Datenverkehr wird an das vom Remote-DHCP-Server festgelegte Standard-Gateway weitergeleitet. Dies ist in der Regel der Router, mit dem das RED am Remote-Standort verbunden ist.
Im transparenten/geteilten Modus sind nur geteilte Netzwerke durch die Firewall erreichbar. Alle anderen Netzwerke werden über den Router am Remote-Standort geroutet. Das Remote-Netzwerk stellt auch DHCP und DNS bereit. In diesem Fall muss die rote Schnittstelle eine IP-Adresse über den Remote-DHCP-Server beziehen.
Für den drahtlosen Datenverkehr müssen die folgenden Voraussetzungen erfüllt sein:
- Eine ROTE Schnittstelle muss verfügbar sein und über eine IP-Adresse verfügen.
- DNS muss auf der ROTEN Schnittstelle auflösbar sein.
- Für die Modi Standard/Unified und Standard/Split muss auf der ROTEN Schnittstelle ein DHCP-Server ausgeführt werden.
- Für den transparenten/geteilten Modus muss der Remote-DHCP-Server die DHCP-Option 234 bereitstellen, die die IP-Adresse der roten Schnittstelle auf der Firewall-Site enthält. (Andernfalls wird 1.2.3.4 verwendet.)
Hier ist der Arbeitsablauf für jeden drahtlosen Verkehrstyp:
-
Separate Zone: Der gesamte Datenverkehr eines separaten Zonennetzwerks wird über das Virtual Extensible LAN (VXLAN)-Protokoll an die Sophos Firewall gesendet. Die Pakete werden beim Passieren des RED-Tunnels verschlüsselt. Die separaten Zonennetzwerke sind in der Sophos Firewall miteinander verbunden. Sie müssen die Sophos Firewall so konfigurieren, dass Datenverkehr für den Astaro Wireless Extension (AWE)-Client und VXLAN (RFC 7348) für die ROTE Schnittstelle.
Der AWE-Client ist ein Client-Daemon, der auf Access Points und REDs mit Wireless-Unterstützung ausgeführt wird. Er registriert Access Points auf der Sophos Firewall.
-
Brücke zum AP-LAN: Das RED überbrückt die SSID im LAN-Netzwerk hinter dem RED. Dies umfasst die LAN-Ports 1–4. Mit dieser SSID verbundene Clients können die RED-Tunnelendpunktschnittstelle auf der Firewall-Site erreichen, sofern die Firewall Datenverkehr vom RED-Netzwerk zur RED-Schnittstelle zulässt.
-
Brücke zu VLAN (Standard/Unified): Die RED kennzeichnet den gesamten Datenverkehr von Clients, die mit dieser SSID verbunden sind, mit dem konfigurierten VLAN-Tag. Clients können alle Netzwerkgeräte mit demselben VLAN-Tag erreichen, die an die LAN-Ports 1–4 angeschlossen sind und über eine VLAN-gekennzeichnete Schnittstelle über der Tunnelendpunktschnittstelle auf der Firewall-Site verfügen.
-
Brücke zu VLAN (Standard/Split): Die Clients können alle Hosts hinter dem RED erreichen, die denselben VLAN-Tag besitzen. Der Tunnelendpunkt ist ebenfalls erreichbar, wenn auf der Firewall-Site eine VLAN-Schnittstelle über dem RED-Interface konfiguriert ist. Die geteilten Netzwerke können nicht erreicht werden, da diese nur für ungetaggte Pakete geroutet werden.
-
Brücke zu VLAN (transparent/geteilt): Die Clients können alle Hosts hinter dem RED erreichen, die das gleiche VLAN-Tag auf den LAN-Ports 1–4 und auf dem WAN-Port besitzen. Die geteilten Netzwerke können nicht erreicht werden, da diese nur für ungetaggte Pakete geroutet werden.