Configuración de ACL recomendada en switches Omada para situaciones comunes

Knowledgebase
Configuration Guide
Vlan
ACL
08-05-2024
220

Contenido

Objetivo

Requisitos

Introducción

Configuración

Permitir el acceso sólo a recursos específicos

Permitir el acceso únicamente a la red interna

Permitir el acceso únicamente a Internet

Conclusión

 

Objetivo

Este artículo presenta cómo administrar la red configurando ACL en modo controlador.

Requisitos

  • Controlador basado en hardware/software/nube Omada V5.0 o superior

Introducción

La tecnología VLAN (Virtual Local Area Network) divide una LAN física en varias LAN lógicas, es decir, las VLAN. Los hosts de la misma VLAN pueden comunicarse directamente entre sí, mientras que los de otras VLAN no pueden hacerlo, lo que mejora la seguridad de la LAN. Cuando una LAN se divide en varias VLAN, los mensajes de difusión estarán limitados dentro de la misma VLAN, es decir, cada VLAN forma un dominio de difusión, lo que limita de manera efectiva el alcance del dominio de difusión. Al utilizar VLAN, se pueden asignar diferentes hosts a diferentes grupos de trabajo, y los hosts del mismo grupo de trabajo se pueden ubicar en diferentes ubicaciones físicas, lo que hace que la construcción y el mantenimiento de la red sean más convenientes y flexibles.

Configuración

Ejemplo de topología: el host A y el host B pertenecen a la red A (VLAN 10), el host D y el servidor pertenecen a la red B (VLAN 20). En este escenario, normalmente se crean interfaces VLAN y grupos de direcciones correspondientes, de modo que los clientes conectados a diferentes redes puedan obtener direcciones IP de diferentes subredes. Supongamos que la dirección IP del servidor es 192.168.20.10.

Las configuraciones de interfaz/puerto en el ejemplo son las siguientes:

Cambiar

Switch A

Switch B

Switch C

Puerto

1

2

3

1

Otros

1

Otros

Regla de salida

Etiquetado

Etiquetado

Etiquetado

Etiquetado

Sin etiquetar

Etiquetado

Sin etiquetar

Red nativa

1

1

1

1

10

1

20

VLAN

1,10,20

1,10

1,20

1,10

10

1,20

20

Permitir el acceso sólo a recursos específicos

La red A y la red B no pueden comunicarse entre sí, pero la red A puede acceder a servidores específicos en la red B.

Paso 1. Configurar puertos e interfaces de red.

Vaya a Configuración > Configuración del sitio > Redes cableadas > LAN y haga clic en Crear nueva LAN para comenzar a crear las interfaces de VLAN 10 y VLAN 20.

Paso 2. Cree ambas interfaces especificando los parámetros correspondientes. Después de introducir la dirección IP de la subred, haga clic en Actualizar rango de IP para actualizar el rango de direcciones IP de esta subred. Deje las demás opciones como predeterminadas y haga clic en Aplicar para completar.

 

Paso 3. Cree un perfil de puerto para cada switch y vincúlelo al puerto correspondiente.

En la página de configuración de LAN del paso anterior, haga clic en Perfil > Crear nuevo perfil de puerto para crear un perfil de puerto. Al crear una interfaz VLAN, el controlador creará automáticamente un perfil para la red correspondiente (Red A, Red B). Luego, puede aplicarlo directamente al puerto de acceso del switch correspondiente.

Cree un perfil para el puerto de enlace ascendente del Switch B/C con los siguientes parámetros:

Switch B:

Switch C:

Luego, vincule cada perfil al puerto correspondiente: haga clic en Dispositivos en la barra de navegación y luego vaya a Switch A > Puertos > ACCIÓN para editar el perfil de puertos del Switch A. Vincule el Puerto 1 al perfil " Todos " y vincule el Puerto 2 (conectado al Switch B) y el Puerto 3 (conectado al Switch C) a los perfiles de enlace ascendente del Switch B y C respectivamente.

Realice la misma operación para vincular los perfiles de Switch B y C a su puerto de enlace ascendente y puertos de acceso.

Switch B:

Switch C:

Paso 4. Cree una ACL para denegar el acceso mutuo entre la Red A y la Red B.

Vaya a Configuración del sitio > Seguridad de red > ACL > Switch ACL y haga clic en Crear nueva regla .

Los parámetros de la regla son los siguientes. Habilite la opción Bidireccional en Configuración avanzada para aplicar esta ACL a todos los puertos en los switches B y C.

Paso 5. Cree una ACL para permitir que la Red A acceda a un servidor específico en la Red B.

Vaya a Configuración del sitio > Perfil > Grupos > Crear nuevo grupo , seleccione Grupo de IP para Tipo e ingrese la dirección del servidor para Subred de IP . Para agregar varias IP al grupo, haga clic en Agregar subred .

Paso 6. Cree una ACL para permitir que la VLAN 10 acceda al grupo de IP del servidor y aplique esta ACL a todos los puertos del switch B y C.

Nota: Una vez finalizado, todas las entradas de ACL son las siguientes. Debido a que las ACL entran en vigencia según una prioridad descendente, debemos colocar las dos ACL de A_to_B_Server_permit en la parte superior de la lista.

Antes:

Después:

Permitir el acceso únicamente a la red interna

Puede restringir el acceso de una VLAN (red) específica a Internet y solo permitirle acceder a la red interna.

Después de completar la configuración de red según la topología anterior, suponga que se cumple dicho requisito: los dispositivos conectados a la Red A no pueden acceder a Internet, pero sí a otras redes internas. Debido al mecanismo de lista negra predeterminado de la ACL del switch TP-Link, es necesario crear una ACL de permiso desde la Red A a todas las demás subredes y, a continuación, crear una ACL que deniegue cualquier acceso a la Red A.

Paso 1. Vaya a Configuración del sitio > Seguridad de red > ACL > Switch ACL > Crear nueva regla y configure los parámetros de la siguiente manera para permitir que la Red A acceda a todas las subredes:

Paso 2. Aplique esta ACL a todos los puertos del switch B.

Cree una ACL que deniegue todo acceso a la red A, lo que se puede lograr mediante IPGroup_Any . Aplique esta ACL también a todos los puertos del switch B.

Una vez completado, todas las entradas de ACL serán las siguientes:

Permitir el acceso únicamente a Internet

Puede permitir que una VLAN específica acceda a Internet y restringir su acceso a la red interna (requisito de red invitada).

Complete las configuraciones de interfaz y puerto según la topología anterior.

Paso 1. Cree una ACL para denegar el acceso de la red A a todas las demás subredes. Consulte el escenario 2 y aplique esta ACL a todos los puertos del switch B.

Paso 2. Cree una ACL para permitir el acceso a la Red A, lo que también se puede realizar a través de IPGroup_Any , y aplíquelo a todos los puertos del Switch B.

Conclusión

Siga las instrucciones anteriores para realizar la configuración de ACL para escenarios comunes.

Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.

Evalúa este documento

Documentos relacionados