Cómo implementar el acceso VLAN unidireccional mediante la configuración de ACL en la pasarela Omada en modo controlador

Knowledgebase
Configuration Guide
09-19-2023
226

Escenario de Aplicación

El objetivo de esta configuración es restringir el acceso desde los dispositivos IoT a la red LAN. Esto significa que los dispositivos conectados a la red IoT, como dispositivos inteligentes o sensores, no podrán comunicarse ni acceder a dispositivos dentro de la red LAN, que generalmente consiste en ordenadores, servidores y otros dispositivos utilizados por los usuarios.

Por otro lado, la red LAN conserva la capacidad de acceder y comunicarse con los dispositivos IoT. Esto permite a los usuarios dentro de la red LAN controlar e interactuar con los dispositivos IoT, recopilar datos o realizar tareas de monitoreo.

Dispositivos Aplicables

ER605 V2

TL-SG2210MP V4

EAP660 HD V3

Controlador de Software Omada V5.9

 

Esquema de Configuración

Para cumplir con estos requisitos, podemos configurar reglas ACL unidireccionales/stateful en el router para bloquear a los dispositivos IoT para que no accedan a la LAN y permitir que la LAN acceda a los dispositivos IoT. La descripción general de la configuración es la siguiente:

1) Crear una interfaz VLAN

2) Crear una regla ACL Stateful

3) Crear SSID con VLAN para dispositivos IoT

4) Verificación

 

Procedimiento de Configuración

Antes de comenzar la configuración, debemos gestionar los dispositivos Omada utilizando el controlador. Si tienes problemas con la adopción, consulta las siguientes preguntas frecuentes para solucionar problemas:

 

Paso 1. Ve a Configuración > Redes cableadas > LAN y haz clic en +Crear nueva LAN para crear interfaces VLAN para dispositivos IoT.

 

Paso 2. Ve a Configuración > Seguridad de red > ACL > ACL de puerta de enlace para crear una nueva regla

 

Dirección: LAN > LAN

Política: Denegar

Protocolos: Todos

Origen: IoT

Destino: LAN

Tipo de Estados: Automático

Nota: Recomendamos mantener el tipo de estados como Automático. Si seleccionas Manual, consulta la siguiente imagen.

Coincidir Estado Nuevo: Coincide con las conexiones del estado inicial. Por ejemplo, un paquete SYN llega en una conexión TCP o el router solo recibe tráfico en una dirección.

Coincidir Estado Establecido: Coincide con las conexiones que han sido establecidas. En otras palabras, el firewall ha visto la comunicación bidireccional de esta conexión.

Coincidir Estado Relacionado: Coincide con las subconexiones asociadas de una conexión principal, como una conexión a un canal de datos FTP.

Coincidir Estado Inválido: Coincide con las conexiones que no se comportan como se espera.

Paso 3. Ve a Configuración > Redes inalámbricas > WLAN y haz clic en Crear nuevo SSID y establece el ID de VLAN en 20 para dispositivos IoT.

 

Paso 4. Verificación

El móvil se conecta a la red 'IOT' con la dirección IP 192.168.20.99, mientras que el ordenador tiene la dirección IP 192.168.0.100. El móvil no puede hacer ping al ordenador, pero el ordenador puede hacer ping al móvil.

 

Evalúa este documento

Documentos relacionados