Conteúdo

Objetivo

Requisitos

Introdução

Configuração

Conclusão

Artigos Relacionados

Objetivo

Este artigo apresenta como gerenciar a rede configurando ACL de Gateway no Fusion Gateway.

Requisitos

• Fusion Gateway

Introdução

ACL (Lista de Controle de Acesso) permite que o administrador de rede crie regras para restringir o acesso aos recursos da rede. As regras ACL filtram o tráfego com base em critérios específicos, como sub-rede IP, rede, dispositivo, aplicação específica e porta especial, determinando se os pacotes correspondentes devem ser encaminhados. Essas regras podem ser aplicadas a clientes específicos ou grupos cujo tráfego passe pelo gateway.

O sistema filtra o tráfego de acordo com as regras da lista de forma sequencial. A primeira correspondência determina se o pacote será aceito ou descartado, e as demais regras não serão verificadas. Portanto, a ordem das regras é crítica.

• Por padrão, as regras são priorizadas pela ordem de criação. A regra criada primeiro possui maior prioridade.
• A prioridade das regras ACL pode ser ajustada por arrastar e soltar ou por atribuição manual de índice.
• Se nenhuma regra corresponder, o dispositivo encaminhará o pacote devido à cláusula implícita “Permitir Tudo”.

Configuração

As ACLs de Gateway (Listas de Controle de Acesso) nos gateways Omada permitem controlar o tráfego entre diferentes redes ou com base em aplicações específicas. Este guia cobre dois cenários comuns:

1. Negar tráfego entre redes – Bloquear toda a comunicação entre duas sub-redes (por exemplo, entre VLAN1 e VLAN10).
2. ACL baseada em aplicação – Negar tráfego para aplicações específicas (por exemplo, bloquear redes sociais ou aplicativos de compartilhamento de arquivos).

Configuração de ACL para negar tráfego entre redes

A seguir será demonstrado como utilizar os recursos ACL. O foco será na configuração no Omada Fusion Gateway. Consulte a topologia de rede simples mostrada abaixo. Existem dois departamentos conectados ao Fusion Gateway por switches Omada. Os computadores precisam de acesso à Internet, mas não devem acessar computadores de outros departamentos.

Passo 1. Configure a topologia acima e conclua a configuração da VLAN 10 (192.168.1.1/24) para o departamento de Marketing e VLAN1 (192.168.0.1/24) para o departamento de P&D.

Passo 2. Vá em Configuração de Rede > Gerenciamento de Tráfego > ACL e acesse a página ACL de Gateway.

Passo 3. Clique em Criar Nova Regra. Defina os critérios de filtragem de pacotes da regra, incluindo protocolos, origem e destino, e determine se os pacotes correspondentes serão encaminhados.

A primeira regra impede que o departamento de marketing acesse o departamento de P&D. Você pode configurar a rede padrão (P&D VLAN1) para negar acesso à rede VLAN10 para todos os protocolos.

Observações:

Nome: Insira um nome para identificar a ACL.

Status: Ative para habilitar a ACL.

Protocolos: Selecione um ou mais tipos de protocolo aos quais a regra será aplicada.

• O padrão é Todos, indicando correspondência com todos os protocolos.
• Você pode clicar em +Personalizado para customizar protocolos.

• Ao selecionar TCP/UDP ou Todos, é possível definir a porta como critério de filtragem.

• Ao selecionar ICMP/ICMPv6, é possível configurar Tipo ICMP e Código ICMP como critério de filtragem.

Tipo ICMP: Corresponde ao tráfego com tipo ICMP específico. 255 significa todos os tipos.

Código ICMP: Corresponde ao tráfego com código ICMP específico. 255 significa todos os códigos.

4. Política: Selecione a ação quando um pacote corresponder à regra.

• Negar: Descarta o pacote correspondente.
• Permitir: Encaminha o pacote correspondente.

5. Direção: Especifique a interface de origem/destino da regra. Pode ser LAN, WAN ou VPN.

• LAN: Corresponde ao tráfego de/para LAN.
• WAN: Corresponde ao tráfego de/para WAN específica.
• VPN: Corresponde ao tráfego de/para VPN específica.

6. Tipo de Origem/Destino: Selecione o tipo de origem/destino da regra criada.

• Qualquer: Corresponde a todo tráfego.
• Dispositivo: Corresponde ao tráfego de dispositivo específico.
• Rede: Corresponde ao tráfego de/para rede específica.
• IPv4/v6: Corresponde ao tráfego de/para IP ou grupo IP específico.
• MAC: Corresponde ao tráfego de MAC/OUI/grupo MAC específico.
• Domínio: Corresponde ao tráfego de domínio ou grupo de domínios específico.
• IP de Gerenciamento do Gateway: Corresponde ao tráfego destinado ao IP WAN/LAN do gateway.

7. Porta de Origem/Destino:

Configuração suportada apenas para tráfego TCP e UDP.

Você pode definir uma porta TCP/UDP específica ou selecionar Qualquer.

• Se selecionar “Qualquer”:
  A regra corresponderá a todo tráfego TCP/UDP.
• Se selecionar uma porta específica:
  A regra corresponderá apenas ao tráfego que utilize essa porta.

Ao selecionar uma porta específica, aparecerá a função Corresponder à Porta Oposta.

• Se habilitada:
  A regra se aplicará a todas as portas, exceto a porta selecionada.

Passo 4. Expanda Configurações Avançadas e habilite Bidirecional para criar simultaneamente uma regra ACL oposta.

Nota: Apenas a direção é invertida; as demais configurações permanecem iguais.

Passo 5. Clique em Aplicar para concluir a regra ACL de Gateway.

Passo 6. Verificação

O computador1 do departamento de P&D conectado à VLAN1 (IP 192.168.0.100) e o computador2 do departamento de Marketing conectado à VLAN10 (IP 192.168.10.101) não conseguirão se comunicar via ping.

Configuração de ACL baseada em Aplicativo

O Omada Fusion Gateway oferece ACL baseada em Aplicativo, permitindo controlar o tráfego por aplicações específicas ou categorias de aplicações.

Passo 1. Vá em Configuração de Rede > Gerenciamento de Tráfego > ACL, acesse ACL de Gateway e clique em + Criar Nova Regra.

Passo 2. Configure os parâmetros da regra.

Defina:

• Política: Negar
• Origem: LAN
• Destino: WAN
• Versão IP: IPv4

Nota: ACL baseada em Aplicativo suporta apenas política Negar, direção LAN-WAN, IPv4 e estado Auto.

Depois configure o tipo de destino como Aplicação e selecione:

• App: Aplicações específicas.
• Categoria: Categoria de aplicações.

Neste artigo, configuramos uma regra para negar acesso da rede Cliente à categoria Streaming.

Passo 3. Verificação

Teste acessar o YouTube a partir de um PC na rede Cliente.

Conclusão

Seguindo os passos acima, configuramos com sucesso a ACL de Gateway no Omada Fusion Gateway. Você pode adaptar esta configuração conforme sua necessidade.

Perguntas Frequentes

Q1: O que é Gateway ACL?
R: Permite criar regras para filtrar tráfego com base em IP, rede, dispositivo, aplicação ou porta.

Q2: Como funciona a prioridade das regras?
R: As regras são verificadas de cima para baixo; a primeira correspondência determina a ação.

Q3: Como bloquear comunicação entre VLANs?
R: Crie regra com política Negar entre as VLANs desejadas.

Q4: Por que minha regra ACL não funciona?
R: Verifique ordem da regra, status habilitado, configuração de origem/destino e faixa de horário.

Q5: O que é “Corresponder à Porta Oposta”?
R: Aplica a regra a todas as portas exceto a selecionada.

Q6: O que faz o recurso Bidirecional?
R: Cria automaticamente uma regra inversa.

Q7: Clientes ainda acessam sites bloqueados. O que fazer?
R: Utilize Filtragem de Conteúdo junto com ACL baseada em Aplicativo.

Q8: Ícones da página ainda carregam após bloqueio?
R: Limpe o cache do navegador ou teste em modo anônimo.

Q9: Onde ver apps incluídos em uma categoria?
R: Em Configuração de Rede > Segurança > Controle de Aplicações.

Q10: Preciso ativar Inspeção Profunda de Pacotes?
R: Não.

Q11: ACL pode ser aplicada a clientes VPN?
R: Sim, após criar a conexão VPN correspondente.

Para conhecer mais detalhes de cada função e configuração, acesse o Centro de Downloads e baixe o manual do seu produto.