RED デバイスの要件とトラフィックの動作
RED デバイスの要件とトラフィックの動作について説明します。
警告
RED 15、15 (w)、50 はサポート終了となりました。SD-RED 20 または 60 を使用することをお勧めします。
RED 50 と SD- RED 60 のトラフィックの動作の比較
RED 50 デバイスと SD-RED 60 デバイスは、タグなし VLAN (ハイブリッドポート) トラフィックを処理する方法が異なります。
以下の表に、各種ポートでのトラフィック処理方法を示します。
RED 50 と SD-RED 60 のトラフィック処理方法
モード | VLAN トラフィック | VLAN 以外のトラフィック |
---|---|---|
タグなし (ハイブリッドポート) (1つの VLAN 設定に対応) | RED 50 転送: VLAN トラフィックは、指定の VLAN を使用して転送されます。 SD-RED 60 転送: VLAN トラフィックは、変更されずに転送されます。 | 転送済み: VLAN 以外のトラフィックは、指定の VLAN でタグ付けされます。 |
タグなし、タグありを破棄 (アクセスポート) (1つの VLAN 設定に対応) | 破棄: すべての VLAN トラフィックが破棄されます。 | 転送済み: VLAN 以外のトラフィックは、指定の VLAN でタグ付けされます。 |
タグあり (トランクポート) (複数の VLAN ID 設定に対応) | 転送済み: 指定の VLAN に一致するトラフィックは転送され、一致しないトラフィックは破棄されます。 | 破棄: VLAN 以外のトラフィックは破棄されます。 |
無効 | 破棄 | 破棄 |
警告
SD-RED 60 では、標準/統合モードでのみ VLAN トラフィックにタグを付けられます。
SD-RED 60 で LAN のスイッチポートモードを VLAN に設定すると、は、タグ付きおよびタグなしのトラフィックは RED トンネルでカプセル化されます。つまり、リモートのスイッチポートで、本社の VLAN 分割を複製するように設定できます。
ヒント
RED デバイスの背後にある VLAN ゲストネットワークでローカルゲートウェイを使用する必要がある場合は、そのトラフィックを XGS シリーズデスクトップモデルにルーティングできます。
RED 15w の要件
トラフィックはモードとワイヤレストラフィックの種類に基づいて処理されます。RED 15w (ワイヤレス) を設定するには、モードの要件を満たす必要があります。
RED 15w と、Wi‑Fi 拡張モジュールを搭載した RED は、DHCP のオプション 234 を使って Sophos Firewall または Sophos UTM と通信します (ワイヤレスアクセスポイントとして設定した場合)。
標準/統合モードでは、RED のすべてのトラフィックがファイアウォールに送信されます。
標準/分割モードでは、分割ネットワーク上のすべてのトラフィックがファイアウォールに送信されます。その他のトラフィックはすべて、リモート DHCP サーバーに指定されたデフォルトのゲートウェイに送信されます。これは通常、リモートサイトで RED が接続されているルーターとなります。
透過/分割モードでは、分割ネットワークのみがファイアウォール経由で到達できます。他のネットワークはすべて、リモートサイトのルーター経由でルーティングされます。また、リモートネットワークが DHCP と DNS を提供します。この場合、RED インターフェースはリモート DHCP サーバー経由で IP アドレスを取得する必要があります。
ワイヤレストラフィックに関して、以下の要件を満たす必要があります。
- RED インターフェースが利用可能で、IP アドレスがあること。
- RED インターフェース上で DNS を解決可能であること。
- 標準/統合モードおよび標準/分割モードの場合、RED インターフェース上で DHCP サーバーが動作していること。
- 透過/分割モードの場合、リモート DHCP サーバーが、DHCP オプション 234 (ファイアウォールサイト上の RED インターフェースの IP アドレス情報) を指定すること。(指定しない場合、1.2.3.4 が使用されます。)
ワイヤレストラフィックの種類ごとのワークフローは次のとおりです。
-
別ゾーン: 別ゾーンのネットワークからのすべてのトラフィックは VXLAN (Virtual Extensible LAN) プロトコルにより Sophos Firewall に送信されます。パケットは RED トンネルの通過中、暗号化されます。別ゾーンのネットワーク同士は、Sophos Firewall で相互接続されます。RED インターフェースの AWE (Astaro Wireless Extension) クライアントと VXLAN (RFC 7348) のトラフィックを許可するように Sophos Firewall を設定する必要があります。
AWE クライアントは、アクセスポイントや、ワイヤレス対応の RED 上で動作するクライアントデーモンで、Sophos Firewall にアクセスポイントを登録します。
-
AP の LAN にブリッジ: RED 側の LAN ネットワークの SSID をブリッジ接続します。これには、LAN ポート 1~4 が含まれます。この SSID に接続しているクライアントは、ファイアウォールサイトの RED トンネルエンドポイントインターフェースに到達できます (ファイアウォールが RED ネットワークから RED インターフェースへのトラフィックを許可している場合)。
-
VLAN にブリッジ (標準/統合): この SSID に接続しているクライアントからの全トラフィックに、設定に従って VLAN タグが付けられます。クライアントは、ファイアウォールサイトのトンネルエンドポイントインターフェースに加えて、LAN ポート 1~4 に接続している同じ VLAN タグを持つネットワークデバイスと、VLAN タグを持つインターフェースに到達できます。
-
VLAN へのブリッジ (標準/分割): クライアントは、RED 側にある同一の VLAN タグを持つすべてのホストに到達できます。また、ファイアウォールサイトの RED インターフェースに加えて、トンネルエンドポイントに到達できます (VLAN インターフェースが設定されている場合)。分割ネットワークはタグなしのパケット専用にルーティングされているため、到達できません。
-
VLAN へのブリッジ (透過/分割): クライアントは、RED の LAN ポート 1~4 と WAN ポートにおいて同一の VLAN タグを持つすべてのホストに到達することができます。分割ネットワークはタグなしのパケット専用にルーティングされているため、到達できません。