Comment implémenter un accès VLAN unidirectionnel via la configuration ACL sur la passerelle Omada en mode contrôleur
Scénario d'application
L'objectif de cette configuration est de restreindre l'accès des appareils IoT au réseau LAN. Cela signifie que les appareils connectés au réseau IoT, tels que les appareils intelligents ou les capteurs, ne pourront pas communiquer avec les appareils du réseau LAN, ni y accéder, qui sont généralement constitués d'ordinateurs, de serveurs et d'autres appareils utilisés par les utilisateurs.
D'un autre côté, le réseau LAN conserve la capacité d'accéder aux appareils IoT et de communiquer avec eux. Cela permet aux utilisateurs du réseau LAN de contrôler et d'interagir avec les appareils IoT, de collecter des données ou d'effectuer des tâches de surveillance.
Appareils applicables
ER605V2
TL-SG2210MP V4
EAP660HDV3
Contrôleur logiciel Omada V5.9
Schéma de configuration
Pour répondre à ces exigences, nous pouvons configurer des règles ACL unidirectionnelles/avec état sur le routeur pour empêcher les appareils IoT d'accéder au LAN et permettre au LAN d'accéder aux appareils IoT. L'aperçu de la configuration est le suivant :
1) Créer une interface VLAN
2) Créer une règle ACL avec état
3) Créez un SSID avec un VLAN pour les appareils IOT
4) Vérification
Procédure de configuration
Avant de commencer la configuration, nous devons gérer les appareils Omada à l'aide du contrôleur. Si vous rencontrez des problèmes lors de l'adoption, veuillez vous référer aux FAQ suivantes pour le dépannage :
- Que dois-je faire lorsque le contrôleur logiciel Omada (V4) ne parvient pas à détecter les appareils ?
- Que dois-je faire si le contrôleur logiciel Omada OC200 ne peut pas adopter Omada EAP
Étape 1. Accédez à Paramètres > Réseaux câblés > LAN pour cliquer sur + Créer un nouveau LAN afin de créer des interfaces VLAN pour les appareils IOT.
Étape 2. Accédez à Paramètres > Sécurité réseau > ACL > Gateway ACL pour créer une nouvelle règle
Sens : LAN-> LAN
Politique : Refuser
Protocoles : Tous
Source : IOT
Destination : réseau local
Type d'états : Automatique
Remarque : Nous vous recommandons de conserver le type d'état sur Auto . Si vous sélectionnez Manuel , veuillez vous référer à l'image suivante.
Match State New : faites correspondre les connexions de l'état initial. Par exemple, un paquet SYN arrive dans une connexion TCP ou le routeur ne reçoit le trafic que dans une seule direction.
État de correspondance établi : faites correspondre les connexions qui ont été établies. Autrement dit, le pare-feu a vu la communication bidirectionnelle de cette connexion.
Match State Related : faites correspondre les sous-connexions associées d'une connexion principale, telle qu'une connexion à un canal de données FTP.
Match State Invalid : faites correspondre les connexions qui ne se comportent pas comme prévu.
Étape 3. Accédez à Paramètres > Réseau sans fil > WLAN > pour cliquer sur Créer un nouveau SSID et définir l'ID VLAN sur 20 pour les appareils IOT.
Étape 4. Vérification
Le téléphone portable connecte le SSID « IOT » à l'adresse IP 192.168.20.99, tandis que l'ordinateur a l'adresse IP 192.168.0.100. Le téléphone portable ne parvient pas à envoyer une requête ping à l'ordinateur, mais l'ordinateur peut envoyer une requête ping au téléphone portable.