Virtuelles LAN

Virtuelles LAN
ZyXEL ZyWALL USG Serie
Juli 2012
Version 001
ATA / KB 3309
SCHEMA
Internet
wan 1
Standleitung
mit fixer IP
ZyWALL USG 100
Name
Zone
Switch Port
VLAN ID
Zy VLAN IP
vlan101
VLAN101
P2
101
192.168.101.1
Name
Zone
Switch Port
VLAN ID
Zy VLAN IP
vlan102
VLAN102
P3
102
192.168.102.1
Name
Switch Zone
Base Port
VLAN ID
Zy VLAN IP
vlan103
DMZ
P4
103
192.168.103.1
Uplink Lan1 IP 192.168.1.1
ES2108
Managed Switch
IP 192.168.1.250
Port 5 - 9
bleiben im VLAN1
Arbeitsplatz 1
Arbeitsplatz 2
2
Arbeitsplatz 3
Virtuelles LAN
VLAN-ZONEN
ZONEN KONFIGURIEREN
Configuration > Zone > User Configuration > Add neue Zonen erstellen:
Zone für VLAN101
Zone für VLAN102
Zone für VLAN 103
3
Virtuelles LAN
VLAN KONFIGURIEREN
VLAN 101
Configuration > Interface > VLAN > Add neue VLANs erstellen.
Interface Name = vlan101, Zone = VLAN101,, Base Port = lan1, VLAN ID = 101.
Das Interface erhält die IP 192.168.101.1 mit der Subnetzmaske 255.255.255.0.
DHCP auf DHCP-Server konfigurieren mit einem
ein
Pool von 100 Hosts ab 192.168.101.33.
Die USG dient als DNS-Proxy-Server.
Server.
4
Virtuelles LAN
VLAN 102
Configuration
nfiguration > Interface > VLAN > Add neue VLANs erstellen.
Interface Name = vlan102, Zone = VLAN102,, Base Port = lan1, VLAN ID = 102.
Das Interface erhält die IP 192.168.102.1 mit der Subnetzmaske 255.255.255.0.
DHCP auf DHCP-Server
Server konfigurieren mit einem Pool von 100 Hosts ab 192.168.102.33.
Die USG dient als DNS-Proxy-Server.
Server.
5
Virtuelles LAN
VLAN 103
Configuration
nfiguration > Interface > VLAN > Add neue VLANs erstellen.
Interface Name = vlan103, Zone = DMZ, Base Port = lan1, VLAN ID = 103.
Das Interface erhält die IP 192.168.103.1
192.168.10 .1 mit der Subnetzmaske 255.255.255.0.
DHCP auf DHCP-Server
Server konfigurieren mit einem
ein
Pool von 100 Hosts ab 192.168.103.33.
192.168.10
Die USG dient als DNS-Proxy-Server.
Server.
6
Virtuelles LAN
ADRESS OBJEKTE KONFIGURIEREN
Configuration > Object > Address > Add
Adress-Objekte für alle drei VLANs erstellen.
Object VLAN101
Object VLAN102
Object VLAN103
7
Virtuelles LAN
SWITCH KONFIGURIEREN
VLAN 1
VLAN > Static VLAN das VLAN namens 1 editieren. Ports 2 bis 4 auf Forbidden umstellen (kein
ausgehender Traffic dieses VLANs erlaubt). Alle anderen Ports bleiben auf Fixed. Das Vlan 1 wird als
einziges nicht mit einem Vlan-Tag versehen. Es kommuniziert also direkt mit der LAN 1 IP der USG.
VLAN 101
VLAN > Static VLAN ein VLAN namens vlan101 und der Group ID 101 erstellen. Port 1 auf fixed
setzen und TX Tagging aktivieren. Port 2 für Zone lan1 auf fixed setzen, TX Tagging deaktivieren.
Alle anderen Ports auf Forbidden umstellen (kein ausgehender Traffic dieses VLANs erlaubt).
8
Virtuelles LAN
VLAN 102
Ein VLAN namens vlan102 und der Group ID 102 erstellen. Der Port 1 wird auf fixed gesetzt und TX
Tagging aktiviert (VLAN ID an USG-Firewall weitergeben). Der Port 3 für die Zone LAN2 wird auf
fixed gesetzt, TX Tagging bleibt deaktiviert. Alle anderen Ports auf Forbidden umstellen (kein
ausgehender Traffic dieses VLANs erlaubt).
VLAN 103
Ein VLAN namens vlan103 und der Group ID 103 erstellen. Der Port 1 wird auf fixed gesetzt und TX
Tagging aktiviert (VLAN ID an USG-Firewall weitergeben). Der Port 4 für die Zone DMZ wird auf
fixed gesetzt, TX Tagging bleibt deaktiviert. Alle anderen Ports auf Forbidden umstellen (kein
ausgehender Traffic dieses VLANs erlaubt).
9
Virtuelles LAN
VLAN Port Setting
VLAN Port Setting werden den Ports die entsprechenden VLAN IDs zugewiesen. Auf Port 2
eingehender Traffic wird mit der PVID 101, Port 3 mit der PVID 102 und Port 4 mit der PVID 103
markiert. Port1 verbleibt auf der PVID 1.
10
Virtuelles LAN