RED-Geräteanforderungen und Verkehrsverhalten
Erfahren Sie mehr über die Anforderungen an RED-Geräte und das Verkehrsverhalten.
Warnung
Die Geräte RED 15/15w und 50 werden nicht mehr unterstützt (End-of-Life, EOL). Ihre bestehenden Tunnel mit diesen Geräten werden beim Upgrade auf SFOS 20.0 MR1 oder eine spätere Version getrennt. Um sie weiterhin zu verwenden, benötigen Sie SFOS 20.0 GA oder eine ältere Version. Wir empfehlen die Verwendung von SD-RED 20 oder 60. Siehe Lebensende von RED 15/15w und RED 50 Und Ruhestandskalender.
Anforderungen
Folgende Ports müssen von Ihrem Internetanbieter freigegeben werden:
- TCP 3400
- UDP 3410
- NTP 123
Verkehrsverhalten bei Rot 50 vs. SD-Rot 60
Die Geräte RED 50 und SD-RED 60 verarbeiten ungetaggten VLAN-Datenverkehr (Hybrid-Port) unterschiedlich.
Die folgende Tabelle zeigt, wie der gesamte Datenverkehr über alle Ports abgewickelt wird.
Wie die RED 50 und SD-RED 60 den Verkehr bewältigen
| Modi | VLAN-Verkehr | Nicht-VLAN-Datenverkehr |
|---|---|---|
Ungetaggt (Hybrid-Port) (Nur eine VLAN-Konfiguration ist zulässig) | ROT 50 Weitergeleitet: Jeglicher VLAN-Datenverkehr wird über das angegebene VLAN weitergeleitet. SD-RED 60 Weitergeleitet: Jeglicher VLAN-Datenverkehr wird unverändert weitergeleitet. | Weitergeleitet: Nicht-VLAN-Datenverkehr wird mit dem angegebenen VLAN getaggt. |
Ungetaggt, getaggte Verbindungen entfernen (Zugriffsport) (Nur eine VLAN-Konfiguration ist zulässig) | Verworfen: Der gesamte VLAN-Datenverkehr wird verworfen. | Weitergeleitet: Nicht-VLAN-Datenverkehr wird mit dem angegebenen VLAN getaggt. |
Markiert (Trunk-Port) (Mehrere VLAN-ID-Konfigurationen zulässig) | Weitergeleitet: Datenverkehr, der den konfigurierten VLANs entspricht, wird weitergeleitet, Datenverkehr, der nicht übereinstimmt, wird verworfen. | Verworfen: Datenverkehr außerhalb des VLANs wird verworfen. |
| Deaktiviert | Abgeworfen | Abgeworfen |
Warnung
VLAN-Traffic kann auf dem SD-RED 60 nur im Standard-/Unified-Modus getaggt werden.
Wenn Sie den LAN-Switch-Port-Modus auf VLAN einstellen, kapselt der SD-RED 60 getaggten und ungetaggten Datenverkehr über den RED-Tunnel. Dadurch können Sie Ihren Remote-Switch-Port so konfigurieren, dass er die VLAN-Trennung der Zentrale nachbildet.
Tipp
Falls das VLAN-Gastnetzwerk hinter dem RED-Gerät das lokale Gateway nutzen soll, können Sie diesen Datenverkehr über ein Desktop-Modell der XGS-Serie leiten.
Anforderungen für RED 15W
Der Datenverkehr wird je nach Modus und Art des drahtlosen Datenverkehrs verarbeitet. Bevor Sie ein RED 15w (drahtlos) einrichten, müssen Sie die Anforderungen für den jeweiligen Modus erfüllen.
Die RED 15w und die REDs mit Wi-Fi-Erweiterungsmodul verwenden die DHCP-Option 234 zur Kommunikation mit der Sophos Firewall oder der Sophos UTM, sofern Sie sie als drahtlose Zugangspunkte konfiguriert haben.
Im Standard-/Vereinheitlichtmodus wird der gesamte Datenverkehr vom RED an die Firewall gesendet.
Im Standard-/Split-Modus wird der gesamte Datenverkehr der aufgeteilten Netzwerke an die Firewall geleitet. Der übrige Datenverkehr wird an das vom entfernten DHCP-Server festgelegte Standardgateway gesendet. Dies ist üblicherweise der Router, mit dem die RED-Firewall am entfernten Standort verbunden ist.
Im transparenten/Split-Modus sind nur die Split-Netzwerke über die Firewall erreichbar. Alle anderen Netzwerke werden über den Router am entfernten Standort geleitet. Das entfernte Netzwerk stellt auch DHCP und DNS bereit. In diesem Fall muss die RED-Schnittstelle eine IP-Adresse vom entfernten DHCP-Server beziehen.
Für drahtlosen Datenverkehr müssen folgende Anforderungen erfüllt sein:
- Eine RED-Schnittstelle mit IP-Adresse muss verfügbar sein.
- DNS muss über die RED-Schnittstelle auflösbar sein.
- Für die Modi Standard/Unified und Standard/Split muss ein DHCP-Server auf der RED-Schnittstelle laufen.
- Im transparenten/Split-Modus muss der Remote-DHCP-Server die DHCP-Option 234 bereitstellen, welche die IP-Adresse der RED-Schnittstelle am Firewall-Standort enthält. (Andernfalls wird 1.2.3.4 verwendet.)
Hier ist der Arbeitsablauf für jeden drahtlosen Datenverkehrstyp:
-
Separate Zone: Der gesamte Datenverkehr eines separaten Zonennetzwerks wird über das Virtual Extensible LAN (VXLAN)-Protokoll an die Sophos Firewall gesendet. Die Pakete werden beim Durchlaufen des RED-Tunnels verschlüsselt. Die separaten Zonennetzwerke sind in der Sophos Firewall miteinander verbunden. Sie müssen die Sophos Firewall so konfigurieren, dass der Datenverkehr für den Astaro Wireless Extension (AWE)-Client und VXLAN zugelassen wird.RFC 7348) für die RED-Schnittstelle.
Der AWE-Client ist ein Client-Daemon, der auf Access Points und REDs mit WLAN-Unterstützung läuft. Er registriert Access Points in der Sophos Firewall.
-
Brücke zum AP LAN: Der RED-Router überbrückt die SSID im LAN-Netzwerk hinter dem RED-Router. Dies umfasst die LAN-Ports 1–4. Clients, die mit dieser SSID verbunden sind, können die Tunnelendpunkt-Schnittstelle des RED-Routers an der Firewall erreichen, sofern die Firewall den Datenverkehr vom RED-Netzwerk zur RED-Schnittstelle zulässt.
-
Brücke zu VLAN (Standard/Unified): Die RED-Firewall kennzeichnet den gesamten Datenverkehr von Clients, die mit dieser SSID verbunden sind, anhand des konfigurierten VLAN-Tags. Clients können alle Netzwerkgeräte mit demselben VLAN-Tag erreichen, die an die LAN-Ports 1–4 und eine VLAN-getaggte Schnittstelle über der Tunnelendpunktschnittstelle der Firewall angeschlossen sind.
-
Brücke zu VLAN (Standard/Split): Die Clients können alle Hosts hinter dem RED-Netzwerk erreichen, die dasselbe VLAN-Tag besitzen. Der Tunnelendpunkt ist ebenfalls erreichbar, wenn auf der Firewall-Seite eine VLAN-Schnittstelle über der RED-Schnittstelle konfiguriert ist. Die aufgeteilten Netzwerke sind nicht erreichbar, da diese nur für ungetaggte Pakete geroutet werden.
-
Brücke zu VLAN (Transparent/Split): Die Clients können alle Hosts hinter dem RED erreichen, die über die LAN-Ports 1–4 und den WAN-Port dasselbe VLAN-Tag besitzen. Die aufgeteilten Netzwerke sind nicht erreichbar, da diese nur für ungetaggte Pakete geroutet werden.