VLAN Konfiguration

VLAN Konfiguration
GS/XGS1910-Serie an ZyWALL USG
(kein VLAN auf USG)
April 2013 / ATA
Version 003
Studerus AG
AUFBAU
Internet
wan 1
Standleitung
mit fixer IP
WebGui
192.168.1.1
ZyWALL USG 100
LAN1 / DHCP
DMZ / DHCP
Switch 1
Trunk 1
Switch 2
Arbeitsplatz 1
Arbeitsplatz 2
2
VLAN 802.1q
DMZ VLAN EINRICHTEN
Auf Switch 1 werden die Ports 1-8 für Geräte im LAN1 der USG Firewall konfiguriert. Die Ports 9-16
werden für Geräte konfiguriert, die in der DMZ der USG Firewall betrieben werden. Beide Bereiche
werden mittels VLAN auf beiden Switch voneinander isoliert und mit einem jeweils eigenen
physischen Link mit der USG verbunden. Die VLAN Funktionalität der USG wird nicht genutzt.
Configuration > VLANs > VLAN Membership, mit Add New VLAN wird das VLAN 30 mit dem
Namen DMZ erstellt.
Durch klicken auf die Kästchen im DMZ VLAN werden die Ports 1-8 und 17-22 ausgeschlossen, da
diese für die LAN Geräte (default VLAN) reserviert sind. Die Ports 9-16 werden dem DMZ VLAN
zugeteilt wie auch die Ports 23-24 die wir als Verbindung zum zweiten Switch nutzen. Die Ports des
DMZ VLANs 9-16 werden im LAN VLAN ausgeschlossen.
3
VLAN 802.1q
Configuration > VLANs > Ports Damit der Traffic der angeschlossenen Geräte dem richtigen VLAN
zugeordnet werden, muss die Port VLAN ID an den Anschlüssen des DMZ VLANs auf 30 gesetzt
werden. Die Ports des LAN VLAN (default) bleiben auf Port VLAN ID 1.
Für alle Ports des LAN VLAN 1 und DMZ VLAN 30 ist das TX Tag auf Untag_pvid zu setzen, da wir
hier Geräte anschliessen, die selber nicht mit VLAN Information arbeiten. Ausnahme sind die Port
23 und 24, weil diese Ports die beiden Switch miteinander verbinden und deswegen mit VLAN
Information arbeiten müssen. Aus diesem Grund wird hier das TX Tag auf Tag_all gesetzt, damit für
jedes übermittelte Paket die dazugehörige VLAN ID mitgesendet wird.
Speichern Sie die Konfiguration mit Apply ab. Alle Ports die grün markiert sind, können miteinander
Daten austauschen. Auf Switch 2 muss die gleiche Konfiguration gemacht werden.
4
VLAN 802.1q
Nach Abschluss der Konfiguration wird der Port 16 (DMZ VLAN) von Switch 1 mit dem DMZ Port
(P7) der Firewall verbunden. Port 8 (LAN VLAN) von Switch 1 wird mit dem Port 3 der USG
verbunden. Eine direkte Verbindung zwischen den LAN Ports (VLAN1) und den DMZ Ports
(VLAN30) auf dem Switch ist nicht mehr möglich. Die VLANs für LAN und DMZ werden auf dem
Switch getrennt. Da VLAN (802.1q) eine Layer 2 Funktion ist, können die VLANs über einen Router
(Layer 3) wie die USG miteinander kommunizieren. Dies können Sie falls erwünscht, mittels Firewall
Regeln auf der USG blockieren. So sind die Netze über VLAN (Layer 2) auf dem Switch und über
Firewall Regeln (Layer 3) auf der USG voneinander getrennt.
STATIC LACP KONFIGURATION
Wenn zwei Switch mehr als eine Verbindung zueinander haben, muss mittels LACP (Statisch od.
dynamisch) ein Loop verhindert werden. In diesem Beispiel wird ein statisches LACP konfiguriert.
Configuration > AGGREGATION > STATIC, die Ports 23 + 24 werden zu einem statischen LACP
Trunk zusammen geführt. Diese Konfiguration muss auf beiden Switch ausgeführt werden.
5
VLAN 802.1q