Cómo implementar el acceso VLAN unidireccional mediante la configuración de ACL en la pasarela Omada en modo controlador
Escenario de Aplicación
El objetivo de esta configuración es restringir el acceso desde los dispositivos IoT a la red LAN. Esto significa que los dispositivos conectados a la red IoT, como dispositivos inteligentes o sensores, no podrán comunicarse ni acceder a dispositivos dentro de la red LAN, que generalmente consiste en ordenadores, servidores y otros dispositivos utilizados por los usuarios.
Por otro lado, la red LAN conserva la capacidad de acceder y comunicarse con los dispositivos IoT. Esto permite a los usuarios dentro de la red LAN controlar e interactuar con los dispositivos IoT, recopilar datos o realizar tareas de monitoreo.
Dispositivos Aplicables
ER605 V2
TL-SG2210MP V4
EAP660 HD V3
Controlador de Software Omada V5.9
Esquema de Configuración
Para cumplir con estos requisitos, podemos configurar reglas ACL unidireccionales/stateful en el router para bloquear a los dispositivos IoT para que no accedan a la LAN y permitir que la LAN acceda a los dispositivos IoT. La descripción general de la configuración es la siguiente:
1) Crear una interfaz VLAN
2) Crear una regla ACL Stateful
3) Crear SSID con VLAN para dispositivos IoT
4) Verificación
Procedimiento de Configuración
Antes de comenzar la configuración, debemos gestionar los dispositivos Omada utilizando el controlador. Si tienes problemas con la adopción, consulta las siguientes preguntas frecuentes para solucionar problemas:
- ¿Qué debo hacer si el Controlador de Software Omada (V4) no puede descubrir los dispositivos?
- ¿Qué debo hacer si el Controlador de Software Omada OC200 no puede adoptar Omada EAP?
Paso 1. Ve a Configuración > Redes cableadas > LAN y haz clic en +Crear nueva LAN para crear interfaces VLAN para dispositivos IoT.
Paso 2. Ve a Configuración > Seguridad de red > ACL > ACL de puerta de enlace para crear una nueva regla
Dirección: LAN > LAN
Política: Denegar
Protocolos: Todos
Origen: IoT
Destino: LAN
Tipo de Estados: Automático
Nota: Recomendamos mantener el tipo de estados como Automático. Si seleccionas Manual, consulta la siguiente imagen.
Coincidir Estado Nuevo: Coincide con las conexiones del estado inicial. Por ejemplo, un paquete SYN llega en una conexión TCP o el router solo recibe tráfico en una dirección.
Coincidir Estado Establecido: Coincide con las conexiones que han sido establecidas. En otras palabras, el firewall ha visto la comunicación bidireccional de esta conexión.
Coincidir Estado Relacionado: Coincide con las subconexiones asociadas de una conexión principal, como una conexión a un canal de datos FTP.
Coincidir Estado Inválido: Coincide con las conexiones que no se comportan como se espera.
Paso 3. Ve a Configuración > Redes inalámbricas > WLAN y haz clic en Crear nuevo SSID y establece el ID de VLAN en 20 para dispositivos IoT.
Paso 4. Verificación
El móvil se conecta a la red 'IOT' con la dirección IP 192.168.20.99, mientras que el ordenador tiene la dirección IP 192.168.0.100. El móvil no puede hacer ping al ordenador, pero el ordenador puede hacer ping al móvil.