RED 15w の要件

トラフィックはモードとワイヤレストラフィックの種類に基づいて処理されます。RED 15w (ワイヤレス) を設定するには、モードの前提条件を満たす必要があります。

標準/統合と標準/分割

標準/統合モードでは、RED のすべてのトラフィックがファイアウォールに送信されます。

標準/分割モードでは、分割ネットワーク上のすべてのトラフィックがファイアウォールに送信されます。その他のトラフィックはすべて、リモート DHCP サーバーに指定されたデフォルトのゲートウェイに送信されます。これは通常、リモートサイトで RED が接続されているルーターとなります。

ワイヤレスに関して、以下の前提条件を満たす必要があります。

RED インターフェースが利用可能で、IP アドレスがあること。
DHCP サーバーが RED インターフェース上で動作していること。
RED インターフェース上で DNS を解決可能であること。

別ゾーン

別ゾーンのネットワークからのすべてのトラフィックは VXLAN (Virtual Extensible LAN) プロトコルにより Sophos Firewall に送信されます。パケットは RED トンネルの通過中、暗号化されます。別ゾーンのネットワーク同士は、Sophos Firewall で相互接続されます。RED インターフェースの AWE (Astaro Wireless Extension) クライアントと VXLAN (RFC 7348) のトラフィックを許可するように Sophos Firewall を設定する必要があります。

AWE クライアントは、アクセスポイントと RED 上で動作し、ワイヤレスに対応するクライアントデーモンで、Sophos Firewall にアクセスポイントを登録します。

AP の LAN にブリッジ

RED は RED 背後の LAN ネットワークの SSID をブリッジします。これには、LAN ポート 1～4 が含まれます。ファイアウォールにより RED ネットワークから RED インターフェースへのトラフィックが許可される場合は、この SSID に接続されているクライアントはファイアウォールサイト上の RED トンネルエンドポイントインターフェースに到達することができます。

VLAN へのブリッジ (標準／統合)

RED は設定された VLAN タグによりこの SSID に接続されているクライアントからのすべてのトラフィックにタグを付けます。クライアントは、LAN ポート 1～4 に接続している同じ VLAN タグを持つネットワークデバイスと、ファイアウォールサイト上のトンネルエンドポイントインターフェース上に構成されている VLAN タグインターフェースに到達できます。

VLAN へのブリッジ (標準/分割)

クライアントは、同一の VLAN タグを所有する RED 上のすべてのホストに到達することができます。また、ファイアウォールサイト上の RED インターフェース上に VLAN インターフェースが構成されている場合、トンネルエンドポイントに到達できます。分割ネットワークはタグなしのパケット専用にルーティングされているため、到達できません。

透過/分割

このモードでは、ファイアウォール経由で分割ネットワークにのみ到達できます。他のネットワークはすべて、リモートサイトのルーター経由でルーティングされます。また、リモートネットワークが DHCP と DNS を提供します。この場合、RED インターフェースはリモート DHCP サーバー経由で IP アドレスを取得する必要があります。

RED インターフェースが利用可能で、IP アドレスがあること。
RED インターフェース上で DNS を解決可能であること。
リモート DHCP サーバーが、DHCP オプション 234 (ファイアウォールサイト上の RED インターフェースの IP アドレス情報) を指定すること。(指定しない場合、1.2.3.4 が使用されます。)

別ゾーン: 「標準/統合」、「標準/分割」と同じ。
AP の LAN にブリッジ: 「標準/統合」、「標準/分割」と同じ。
VLAN にブリッジ: クライアントは、RED の LAN ポート 1～4 と WAN ポートにおいて同一の VLAN タグを持つすべてのホストに到達することができます。分割ネットワークはタグなしのパケット専用にルーティングされているため、到達できません。