In diesem Abschnitt erfahren Sie, wie Sie das Secure Edge Portal nutzen können, um einen One-Arm-Modus in einem iNode aktivieren und konfigurieren können.
Wenden Sie sich an Ihren Kundenbetreuer, falls Sie Informationen darüber erhalten möchten, wie Sie diese Funktion aktivieren können.
One-Arm-Modus – Übersicht
In traditionellen iNode-Bereitstellungen ist das Netzwerk physisch durch den Port eth0 als die WAN- und Cloud-Uplink-Schnittstelle (Northbound) und den Port eth1 als die lokale Downlink-Schnittstelle (Southbound) getrennt. Die Bereitstellung ist ganz einfach: ein Eingangs- und ein Ausgangskabel für eine physische Trennung des Northbound- und Southbound-Netzwerks, wie in der folgenden Abbildung dargestellt.
Abbildung 3. Traditionelle iNode-Bereitstellung
Der One-Arm-Modus ermöglicht die Nutzung eines Ports als Uplink und als Downlink. Somit benötigen Sie weniger physische Netzwerkverbindungen und profitieren von einer verbesserten Netzwerkredundanz.
Der One-Arm-Modus ist sehr nützlich in Anwendungsfällen, bei denen:
- Das Netzwerk-Switch nicht über zwei zusätzliche Ports für zwei zusätzliche Kabel verfügt. Stattdessen können Sie die Netzwerke mithilfe des One-Arm-Modus über VLANs trennen. Das Northbound- und das Southbound-Netzwerk nutzen dieselbe physiche Verbindung. Standardmäßig nutzt das WAN ein ungetaggtes VLAN (obwohl es getaggt werden kann) und bei den anderen lokalen Netzwerken handelt es sich um getaggte VLANs, wie in der folgenden Abbildung dargestellt.
Abbildung 4. Virtuelle Trennung von Netzwerken mithilfe des One-Arm-Modus - Das Netzwerk erfordert eine hohe Verfügbarkeit und Redundanz. Im One-Arm-Modus können nicht genutzte Ports für Verbindungsredundanz genutzt werden. (Bei Geräten mit mehr als zwei Ports werden die anderen Ports deaktiviert.) Der Port eth1 kann mit einem Duplikat des mit dem Port eth0 verbundenen Switch verbunden werden. Außerdem können der Port eth0 und der Port eth1 mit demselben Switch verbunden werden.
In solchen Bereitstellungen fungiert das mit dem Port eth1 verbundene Kabel als Duplikat des Ports eth0, allerdings befindet sich dieses im Ruhezustand, solange der Port eth0 funktioniert. Es wird nur aktiviert, falls der Port eth0 ausfällt. Sehen Sie sich die folgende Abbildung an.
Abbildung 5. Redundanz und hohe Verfügbarkeit mithilfe des One-Arm-ModusUm den One-Arm-Modus nutzen zu können, müssen Sie VLANs für Ihr Secure-Edge-Portal-Konto aktiviert haben. (Sehen Sie sich Using VLANs on Edge iNodes an.)
Netzwerk-Szenarien mit dem One-Arm-Modus
Damit Ihr Netzwerk im One-Arm-Modus erwartungsgemäß funktionieren kann, müssen Sie außer der Konfiguration des iNode zusätzlich sicherstellen, dass die VLANs des iNode und des Switch aufeinander abgestimmt sind. Die Besonderheiten der Netzwerkänderungen hängen von Ihrem Netzwerk und den Zielen ab, die Sie mit dem One-Arm-Modus verfolgen.
Im Falle eines flachen lokalen und WAN-Netzwerks empfehlen wir nicht, eine benutzerdefinierte Sicherheitsrichtlinie anzuwenden, die Regeln zur Kontrolle des Datenverkehrs innerhalb des Netzwerks enthält.
Falls Sie vorhaben, ein getaggtes WAN in Ihrem Netzwerk zu nutzen, benötigen Sie für die Konfiguration des One-Arm-Modus einen physikalischen Zugriff auf Ihr iNode.
In diesem Abschnitt werden drei Szenarien der Nutzung des One-Arm-Modus beschrieben.
Ungetaggter WAN-Datenverkehr
Das einfachste Szenario der Nutzung des One-Arm-Modus besteht darin, dass ein Benutzer über ein Switch mit einem Port für die Verbindung mit einem iNode verfügt. Der WAN-Datenverkehr ist ungetaggt, dennoch erfolgt der Datenverkehr im lokalen Netzwerk vollständig über getaggte VLANs.
In diesem Szenario müssen Sie ein einzelnes Ethernet-Kabel aus dem iNode mit dem Port des Switch verbinden, um den WAN-Datenverkehr in das Secure Edge Portal zu leiten und das iNode zu aktivieren. Sobald der One-Arm-Modus aktiviert ist, wird das iNode neu gestartet.
Da das WAN ungetaggt ist, wird der Datenverkehr weiterhin in das Secure Edge Portal geleitet. Nun können Sie die lokalen Netzwerke mit getaggten VLANs konfigurieren und auf Southbound-Netzwerke zugreifen.
Getaggter WAN-Datenverkehr
Ein komplizierteres Szenario besteht darin, dass ein Benutzer über ein Switch mit einem Port und getaggtem WAN-Datenverkehr verfügt. (Standardmäßig sind WANs ungetaggt.)
In diesem Szenario kann der Datenverkehr bei der Verbindung des iNode mit dem Port eth0 nicht in das Secure Edge Portal geleitet werden. Sie müssen den SSH-Befehl ausführen, um eine Verbindung mit der iNode-Konsole mithilfe ihrer IP-Adresse herzustellen.
Sie können anschließend die iNode-Befehlszeilenschnittstelle nutzen, um das WAN mit dem richtigen VLAN-Tag zu konfigurieren, sodass sich das iNode mit dem Secure Edge Portal verbinden kann. Sobald die Verbindung hergestellt ist, können Sie das Secure Edge Portal nutzen, um den One-Arm-Modus zu aktivieren und die Southbound-VLANs zu konfigurieren.
Sehen Sie sich Anhang A – Nutzung der iNode-Befehlszeilenschnittstelle und insbesondere den Abschnitt Konfiguration eines iNode mit getaggtem WAN-Datenverkehr für den One-Arm-Modus an, um detaillierte Anweisungen zu erhalten, wie Sie eine Verbindung mit der iNode-CLI herstellen und Änderungen an einem VLAN im Uplink vornehmen können.
Dem Netzwerk Redundanz hinzufügen
Um dem Netzwerk Redundanz hinzuzufügen, können Sie mit einem Szenario beginnen, das einem der ersten beiden Szenarien ähnelt. Verbinden Sie, nachdem Sie den One-Arm-Modus mit getaggtem oder ungetaggtem WAN konfiguriert haben, den zweiten eth1-Port mit dem eth0-Port eines zweiten identischen Switch, um ein redundantes, lokales Netzwerk zu erstellen.
Dies sind einige zusätzliche Anweisungen, die Sie bei der Erstellung von Netzwerk möglicherweise benötigen:
- Bereitstellung von Netzwerken: Edge iNodes bereitstellen
- Aktivierung und Nutzung von VLANs: Using VLANs on Edge iNodes
- Nutzung der iNode-Befehlszeilenschnittstelle: Appendix A Using the iNode Command-Line Interface
Ein iNode für den One-Arm-Modus konfigurieren
Eine Konfiguration eines iNode für den One-Arm-Modus beinhaltet die in den folgenden Abschnitten beschriebenen Prozesse:
- Wechsel von dem Standardmodus des iNode in den One-Arm-Modus
- Erstellung von Netzwerken
Von dem Standardmodus des iNode in den One-Arm-Modus wechseln
In diesem Abschnitt erfahren Sie, wie Sie von dem Standardmodus des iNode in den One-Arm-Modus wechseln.
Bei der ersten Inbetriebnahme des iNode befindet sich dieses im Standardmodus und ist mit einem Northbound- und einem Southbound-Port verbunden, ehe es sich mit dem Secure Edge Portal verbindet. Wenn Sie in den One-Arm-Modus wechseln, in dem ein Port als Uplink und als Downlink genutzt werden kann, wird das iNode neu gestartet.
Bitte beachten Sie, dass die Netzwerke in einem VLAN zusammengefügt werden, falls das WAN-Netzwerk und das lokale Netzwerk ungetaggt sind.
Befolgen Sie diese Schritte, um von dem Standardmodus des iNode in den One-Arm-Modus zu wechseln:
- Wählen Sie im Dashboard des Secure Edge Portal das iNode-Symbol aus. Daraufhin erscheint die iNode-Detailseite.
- Wählen Sie in dem Menü iNode verwalten Bearbeiten aus.
- Wählen Sie unter iNode bearbeiten > Erweiterte Einstellungen One-Arm-Modus aus, um diesen zu aktivieren. Daraufhin erscheint ein Bestätigungsdialog, um Sie daran zu erinnern, dass durch die Aktivierung des One-Arm-Modus das iNode neu gestartet wird.
- Wählen Sie Ja – Modus wechseln aus, um mit der Konfiguration des One-Arm-Modus fortzufahren.
- Wählen Sie Aktualisieren aus. Daraufhin wird das iNode neu gestartet. Sobald sich sein Status wieder zu ERREICHBAR ändert, können beide Ports als Uplink- und Downlink-Schnittstellen genutzt werden.