Last Updated on 28/10/2024 by administrator
Sophos UTM adding new AP (Sophos UTM – Jak přidat nové AP)
Sophos UTM adding new AP (Sophos UTM – Jak přidat nové AP)
1. Asociace AP na Sophos
a) Nastavení portu switche – je potřeba nastavit port na kterém je AP zapojené. Např. Pokud se pro WiFi management používá VLANa 4010, musí být nastavená na portu jako nativní i jako tagovaná v trunku. Na trunk je potřeba dále povolit všechny VLANy, které jsou namapované na SSID, které vysílá AP. Zde je příklad nastavení pro Cisco switch
interface GigabitEthernet1/0/6 description AP switchport trunk allowed vlan 4010-4013 switchport trunk native vlan 4010 switchport mode trunk
b) Povolení portu na FW – K WLC kontroleru na Sophos UTM je potřeba povolit následující cílové porty. Zde je příklad FW openingů. Např. na IP adrese 10.150.88.252 běží Sophos UTM. Např. Wifi management APček běží pod 10.100.110.0/24.
Zdroj: 10.100.110.0/24
Cíl: (Jakýkoliv DNS resolver0, např. 8.8.8.8, 8.8.4.4
Cílový port: UDP/53 (AP DNS resolving)
Zdroj: 10.100.110.0/24
Cíl: 10.150.88.252
Cílový port: TCP/2712 (AP management)
Zdroj: 10.100.110.0/24
Cíl: 10.150.88.252
Cílový port: UDP/415 (AP syslog)
Zdroj: 10.100.110.0/24
Cíl: 10.150.88.252
Cílový port: UDP/8472 (AP Overlay Transport Virtualization)
c) DHCP option 234 – Na DHCP serveru je potřeba nastavit DHCP option 234. Díky tomuto AP ví, na kterou IP adresu se má WLC kontroler (Sophos) naasociovat
Následně by se AP mělo naasociovat na WLC (Sophos).
Pokud by k tomu nedošlo, občas pomohl shutnout a unshutnout port vedoucí k danému APčku.
Pozn. Pokud není nastavena DHCP option 234, nebo obecně Access Point neví, na jakou IP adresu se má naasociovat, bude pakety zasílat na tzv. Fallback IP adresu 1.2.3.4 na portu TCP/2712. Pak je potřeba udělat dodatečný FW opening níže [1].
Zdroj: 10.100.110.0/24
Cíl: 1.2.3.4
Cílový port: TCP/2712 (AP management)
2. Konfigurace AP na Sophos UTM
Na Sophos UTM v rubrice Wireless Protection > Access points > Overview by se dole mělo maximálně do 10 min objevit nové APčko. Klikne se na “Accept”.
Díky tomu se otevře okno a nastaví AP podobně jako je tomu níže na obrázku.
- Label – pojmenování AP
- AP Group – je předdefinované AP grupa (na základě AP grupy se nastaví příslušná SSID automaticky)
- AP VLAN ID – je nativní VLANa pro komunikaci mezi AP a Sophos – v tomto případě VLAN 4010
Kliknutím na “Save” se AP přesune do Inactive Access Points. Opět to bude do trvat do max 10 min, než se zobrazí v Active Access Points
Pokud je AP pod Active Access Points, znamená to, že vysílá již příslušné SSID a má alokovanou IP mgmt adresu.
Tím konfigurace dokončena a AP je připraveno k použití.
3. Přesun AP mezi dvěma WLC:
a) Je potřeba vytvořit novou WiFi management VLANu na switchi
b) Následně se řídit návodem “Asociace AP na Sophos UTM„
4. Zdroj:
[1] https://support.sophos.com/support/s/article/KBA-000002915?language=en_US
