Comment implémenter un accès VLAN unidirectionnel via la configuration ACL sur la passerelle Omada en mode contrôleur

Knowledgebase
Configuration Guide
09-19-2023
84

Scénario d'application

L'objectif de cette configuration est de restreindre l'accès des appareils IoT au réseau LAN. Cela signifie que les appareils connectés au réseau IoT, tels que les appareils intelligents ou les capteurs, ne pourront pas communiquer avec les appareils du réseau LAN, ni y accéder, qui sont généralement constitués d'ordinateurs, de serveurs et d'autres appareils utilisés par les utilisateurs.

D'un autre côté, le réseau LAN conserve la capacité d'accéder aux appareils IoT et de communiquer avec eux. Cela permet aux utilisateurs du réseau LAN de contrôler et d'interagir avec les appareils IoT, de collecter des données ou d'effectuer des tâches de surveillance.

Appareils applicables

ER605V2

TL-SG2210MP V4

EAP660HDV3

Contrôleur logiciel Omada V5.9

 

Schéma de configuration

Pour répondre à ces exigences, nous pouvons configurer des règles ACL unidirectionnelles/avec état sur le routeur pour empêcher les appareils IoT d'accéder au LAN et permettre au LAN d'accéder aux appareils IoT. L'aperçu de la configuration est le suivant :

1) Créer une interface VLAN

2) Créer une règle ACL avec état

3) Créez un SSID avec un VLAN pour les appareils IOT

4) Vérification

 

Procédure de configuration

Avant de commencer la configuration, nous devons gérer les appareils Omada à l'aide du contrôleur. Si vous rencontrez des problèmes lors de l'adoption, veuillez vous référer aux FAQ suivantes pour le dépannage :

 

Étape 1. Accédez à Paramètres > Réseaux câblés > LAN pour cliquer sur + Créer un nouveau LAN afin de créer des interfaces VLAN pour les appareils IOT.

 

Étape 2. Accédez à Paramètres > Sécurité réseau > ACL > Gateway ACL pour créer une nouvelle règle

 

Sens : LAN-> LAN

Politique : Refuser

Protocoles : Tous

Source : IOT

Destination : réseau local

Type d'états : Automatique

Remarque : Nous vous recommandons de conserver le type d'état sur Auto . Si vous sélectionnez Manuel , veuillez vous référer à l'image suivante.

Match State New : faites correspondre les connexions de l'état initial. Par exemple, un paquet SYN arrive dans une connexion TCP ou le routeur ne reçoit le trafic que dans une seule direction.

État de correspondance établi : faites correspondre les connexions qui ont été établies. Autrement dit, le pare-feu a vu la communication bidirectionnelle de cette connexion.

Match State Related : faites correspondre les sous-connexions associées d'une connexion principale, telle qu'une connexion à un canal de données FTP.

Match State Invalid : faites correspondre les connexions qui ne se comportent pas comme prévu.

Étape 3. Accédez à Paramètres > Réseau sans fil > WLAN > pour cliquer sur Créer un nouveau SSID et définir l'ID VLAN sur 20 pour les appareils IOT.

 

Étape 4. Vérification

Le téléphone portable connecte le SSID « IOT ​​» à l'adresse IP 192.168.20.99, tandis que l'ordinateur a l'adresse IP 192.168.0.100. Le téléphone portable ne parvient pas à envoyer une requête ping à l'ordinateur, mais l'ordinateur peut envoyer une requête ping au téléphone portable.

Veuillez noter ce document

Documents connexes