Konfigurieren von Firebox-VLANs

Gilt für: Cloud-verwaltete Fireboxen

Bei einer Cloud-verwalteten Firebox können Sie jedes beliebige Netzwerk als VLAN (Virtual Local Area Network) konfigurieren. Um ein VLAN zu konfigurieren, müssen Sie die VLAN-Option für ein bestehendes externes, internes oder Gastnetzwerk aktivieren.

VLANs können Folgendes enthalten:

  • Eine oder mehrere Tagged Schnittstellen
  • Eine oder mehrere Untagged Schnittstellen
  • Sowohl Tagged als auch Untagged Schnittstellen
  • Schnittstellen, die Elemente eines VLANs in sowohl internen als auch externen Netzwerken sind

VLANs haben folgende Einschränkungen:

  • Schnittstellen, die Elemente mehrerer Tagged VLANs sind, können nur zu einem Untagged VLAN gehören.
  • VLANS können keine Bridge- oder eigenständigen Schnittstellen beinhalten.

Inspektion von VLANs und Datenverkehr

Intra-VLAN-Datenverkehr ist Datenverkehr aus einem VLAN, dessen Ziel dasselbe VLAN ist. Die Intra-VLAN-Inspektion ist auf externen Schnittstellen standardmäßig aktiviert. Die Firebox wendet Regeln auf solchen Datenverkehr an, der eine Firewall zwischen Hosts desselben VLANs passiert. Der VLAN-Datenverkehr muss über die Firebox laufen, damit die Firewall-Regeln angewendet werden können.

Beispielsweise können Sie bei einem VLAN zwischen den Schnittstellen eine Bridge implementieren und Regeln erstellen, die für den Datenverkehr zwischen den Schnittstellen gelten. Die Firebox untersucht den Datenverkehr, der von einer Schnittstelle im VLAN zu einer anderen Schnittstelle im selben VLAN geht. Dies ist auch als eine gebrückte WAN-Konfiguration bekannt.

Um Einstellungen bereitzustellen zu können, die eine gebrückte WAN-Konfiguration unterstützen, muss Ihr Gerät eine Fireware ab v12.8 ausführen. Wenn auf Ihrem Gerät eine niedrigere Firmware-Version läuft, müssen Sie einen der folgenden Schritte ausführen, bevor Sie diese Änderungen vornehmen können: Aktualisieren Sie die Gerätefirmware oder ändern Sie ein externes VLAN so, dass es tagged ist, nur auf einer Schnittstelle erscheint und das einzige Netzwerk auf dieser Schnittstelle ist.

Weitere Informationen zum Anwenden von Firewall-Regeln auf den Intra-VLAN-Datenverkehr und interne VLAN-Schnittstellen sowie zum Deaktivieren der VLAN-Datenverkehrsüberprüfung finden Sie unter Erweiterte Netzwerkeinstellungen konfigurieren.

Ein VLAN aktivieren

In den Einstellungen des Netzwerks können Sie die VLAN-Option aktivieren und die VLAN-ID angeben. Für jede mit dem Netzwerk verbundene Schnittstelle können Sie auch angeben, ob der VLAN-Datenverkehr auf der Schnittstelle Tagged oder Untagged ist.

Konfigurieren eines Netzwerks als VLAN aus WatchGuard Cloud:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie die Cloud-verwaltete Firebox aus.
  3. Klicken Sie auf Gerätekonfiguration.
  4. Klicken Sie auf die Kachel Netzwerke.
    Die Konfigurationsseite Netzwerke wird geöffnet.
  5. Klicken Sie auf die Kachel für das zu bearbeitende Netzwerk.
    Die Konfigurationsseite Netzwerke wird geöffnet.

Screen shot of the Internal network IP address

  1. Aktivieren Sie das Kontrollkästchen VLAN aktivieren.
    Es wird eine Bestätigungsmeldung angezeigt.

Screen shot of the VLAN confirmation message for an internal network
Bestätigungsmeldung für ein internes Netzwerk


Screen shot of the VLAN confirmation message for an external network
Bestätigungsmeldung für ein externes Netzwerk

  1. Um die Änderung zu bestätigen, klicken Sie auf VLAN aktivieren.
    Bei einem internen Netzwerk werden alle dem Netzwerk zugeordneten Schnittstellen zu Untagged VLAN-Schnittstellen. Bei einem externen Netzwerk werden alle dem Netzwerk zugeordneten Schnittstellen zu Tagged VLAN-Schnittstellen.
  2. Geben Sie in das Textfeld VLAN-ID die VLAN-ID für dieses Netzwerk ein.
  3. Konfigurieren Sie die Schnittstelleneinstellungen für das VLAN wie im nächsten Abschnitt beschrieben.
  4. Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.

Konfigurieren Sie die Schnittstelleneinstellungen für ein VLAN

Nachdem Sie die VLAN-Option für ein Netzwerk aktiviert haben, werden die dem Netzwerk zugeordneten Schnittstellen automatisch wie folgt konfiguriert:

  • Interne Netzwerke — Dem Netzwerk zugeordnete Schnittstellen werden automatisch als Untagged konfiguriert.
  • Externe Netzwerke — Dem Netzwerk zugeordnete Schnittstellen werden automatisch als Tagged konfiguriert.

Für alle dem Netzwerk zugeordneten Schnittstellen können Sie die Tagging-Option auf Tagged VLAN oder Untagged VLAN ändern. Für jede verfügbare Schnittstelle, die nicht dem Netzwerk zugeordnet ist, können Sie eine Tagging-Option wählen, welche die Schnittstelle dem Netzwerk zuordnet.

Die Farbe des Symbols der Schnittstelle zeigt den Status der Schnittstelle in Bezug auf dieses Netzwerk an:

Weißes Schnittstellensymbol Schnittstelle ist mit einem anderen Netzwerk verbunden
Blaues Schnittstellensymbol Schnittstelle ist mit diesem Netzwerk verbunden
Graues Schnittstellensymbol. Schnittstelle ist verfügbar, um mit diesem Netzwerk verknüpft zu werden

So konfigurieren Sie die Schnittstelleneinstellungen für ein VLAN über WatchGuard Cloud:

  1. Bearbeiten Sie das VLAN-Netzwerk.
  2. Um die einer Schnittstelle zugeordneten VLANs anzuzeigen, zeigen Sie in der Kachel der Schnittstelle auf Netzwerke anzeigen.

Screen shot of the View Networks information for an untagged VLAN interface

  1. Um die Schnittstelleneinstellungen zu ändern, wählen Sie aus dem Menü der Schnittstellenoptionen ():
  • Untagged VLAN — Schnittstelle verarbeitet Untagged VLAN-Datenverkehr
  • Tagged VLAN — Schnittstelle verarbeitet Tagged VLAN-Datenverkehr
  • Kein Datenverkehr — Schnittstelle ist nicht mit diesem Netzwerk verbunden

Im Optionen-Menü werden nur Optionen angezeigt, die Sie auswählen können, und nicht die aktuell konfigurierte Option.

  1. Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.

Konfigurieren Sie mehrere VLANs auf der gleichen Schnittstelle

Jede Schnittstelle kann Datenverkehr für mehrere VLANs verarbeiten. Nachdem Sie ein Netzwerk so konfiguriert haben, dass es VLAN-Datenverkehr an eine Schnittstelle sendet, können Sie auch andere Netzwerke so konfigurieren, dass sie VLAN-Datenverkehr an dieselbe Schnittstelle senden. Nur ein Netzwerk kann Untagged VLAN-Datenverkehr an jede Schnittstelle senden.

Konfigurieren einer Schnittstelle, um den Datenverkehr für mehrere VLANs abzuwickeln:

  1. Aktivieren Sie die VLAN-Option in jedem Netzwerk und weisen Sie eindeutige VLAN-IDs zu.
  2. Konfigurieren Sie in jedem Netzwerk die Schnittstelle für Tagged oder Untagged VLAN-Datenverkehr.

Nachdem Sie ein VLAN so konfiguriert haben, dass Untagged VLAN-Datenverkehr an eine Schnittstelle gesendet wird, ist die Option Untagged VLAN für diese Schnittstelle in anderen VLANs nicht verfügbar.

Nachdem Sie eine Schnittstelle so konfiguriert haben, dass sie Tagged VLAN-Datenverkehr für mehrere Netzwerke verarbeiten kann, zeigt Netzwerke anzeigen die Netzwerke und VLAN-IDs für Tagged VLAN-Datenverkehr für jedes VLAN auf dieser Schnittstelle an.

Screen shot of View Networks for an interface that handles tagged VLAN traffic for VLANs

Nachdem Sie eine Schnittstelle so konfiguriert haben, dass sie sowohl Tagged als auch Untagged VLAN-Datenverkehr verarbeiten kann, zeigt Netzwerke anzeigen die Netzwerke und VLAN-IDs für Tagged VLAN-Datenverkehr und den Netzwerknamen für Untagged VLAN-Datenverkehr an.

Screen shot of View Networks for an interface that handles both tagged and untagged VLAN traffic

Ähnliche Themen

Über Firebox-Netzwerkeinstellungen

Externes Netzwerk auf Fireboxen konfigurieren

Internes Netzwerk oder Gastnetzwerk für Fireboxen konfigurieren