Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》舊XG退位,轉生為AP Controller 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線
《分享》舊XG退位,轉生為AP Controller引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG系列在2025年3月底Eol,
後續接手的產品為Sophos XGS系列防火牆。
對應的21版SFOS韌體也完全拋開XG包袱,全心對應XGS的硬體規格,以撥揮更好的效能∼

然而舊的legacy無線AP自18.5版韌體後,已不被SFOS支援,
客戶在購入新的XGS防火牆後,舊的AP就只能認命,隨之拋棄嗎?
Legacy AP series support on SFOS version...S series models

其實只要把舊的XG保留在18.5以前的版本,轉生為AP controller角色,就可以為舊AP續命了。


  • 首先,由於XG的角色已被XGS取代,所以我們要給XG一個新的內網IP,讓它不會跟XGS發生衝突。
  • 然後停用XGS的wireless protection,讓舊AP不會被XGS攔到,防礙它跟XG報到。
  • 接著在DHCP的設定中,增加一個234選項(此選項對應AP報到用的Magic IP),
    讓AP透過DHCP拿到IP後,知道它要去舊XG報到,而不是預設的Magic IP 1.2.3.4,
    這樣就完成XG轉生為AP Controller的設定了∼


架構示意圖如下。



在此架構下,派發IP的XGS需在console中增加DHCP 234選項參數,指令如下。
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
system dhcp dhcp-options binding add dhcpname [DHCP組態名稱] optionname dhcp_magic_ip(234) value 10.1.1.253

這樣無線AP在拿到IP後,就知道要去跟XG的10.1.1.253報到,而不是預設的1.2.3.4。

另外由於XG中的無線虛擬網段192.168.99.0/24與192.168.101.0/24外頭的XGS並不認識,
所以要在XGS中增加靜態路由,讓XGS知道這兩個網段要往XG的10.1.1.253送。

192.168.99.0/24 -> 10.1.1.253
192.168.101.0/24 -> 10.1.1.253


XG本身也要增加一筆預設路由,將所有流量往XGS送,
這樣XG本身與虛擬出來的無線網段才能連外。

0.0.0.0/0 -> 10.1.1.254


而橋接到內網的無線網段,其default gateway參照內網的設定,會是XGS而不是XG,
這樣可以避免掉路由不對稱的問題。

最後,這樣的架構會出現一個潛在的問題,
若由XG虛擬出來的無線網段有連到內網的需求時,
會在XGS上出現只有單向路由通過的狀況,這種不安全的路由會被XGS封鎖。



解決的方法也很簡單,因為只有單向路由會經過XGS,所以也只能在XGS的console中增加bypass設定,
略過這兩段的封包檢查。

set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.99.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.101.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.99.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.101.0 dest_netmask 255.255.255.0


由於XGS略過了這些網段的封包檢查,若要進行條件等相關過濾設定,
就只能在XG上做,而不是XGS了...

透過以上的設定,就能把換下來的XG當成AP controller,讓不被支援的legacy AP能繼續使用了∼
不過XG將在2025年3月底EoL,之後將沒有保固,
一旦壞了,連帶上面的legacy AP都無法續命使用,要轉生為AP Controller前也請留意這個風險喔∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2024-12-25, 13:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR