Comment configurer le contrôle d'accès du routeur TP-Link Omada en mode autonome et contrôleur
Scénario d'application de l'utilisateur Ⅰ : Autoriser uniquement l'accès au réseau interne en mode autonome
Une entreprise exploite plusieurs départements répartis dans différents bâtiments. Chaque bâtiment est équipé d'un routeur SMB dans la salle des serveurs et d'un switch à chaque étage.
Comment puis-je faire ça?
Par exemple, pour restreindre les actions de ces utilisateurs spécifiques sur le département R&D situé à l'étage 3 du bâtiment 2, il est nécessaire de s'assurer que ces utilisateurs R&D ne peuvent accéder qu'au réseau interne. Pour les autres utilisateurs du département R&D, il n’y a aucune limitation.
Suivez les étapes ci-dessous pour configurer la règle ACL sur le routeur SMB dans le bâtiment n°2, prend ici ER8411 comme démonstration :
1. Accédez à Préférences > Groupe IP > Adresse IP sur le routeur. Cliquez sur +Ajouter pour ajouter une nouvelle entrée d'adresse IP.
Spécifiez la plage d'adresses IP comme 192.168.0.32-192.168.0.63 pour les utilisateurs spécifiques du service R&D , cliquez sur OK .
Spécifiez ensuite la plage d'adresses IP pour tout le réseau interne.
2. Définissez le groupe IP pour l'adresse IP correspondante sur le groupe IP. Par défaut, il existe une entrée « IPGROUP_ANY » couvrant toutes les adresses IP et ne peut pas être modifiée.
3. Accédez à Pare-feu > Contrôle d'accès , cliquez sur +Ajouter et configurez les règles comme ci-dessous.
Le routeur traite les règles séquentiellement pour chaque paquet. Dans la liste de contrôle d'accès, la règle avec un ID plus petit a une priorité plus élevée . Étant donné que le routeur évalue les règles en commençant par la priorité la plus élevée, assurez-vous que la règle Autoriser a le numéro d'identification plus petit que la règle Bloquer.
4. Vérification
Après configuration, ces utilisateurs du service R&D ne peuvent à aucun moment accéder à l’IP publique.
Scénario d'application de l'utilisateur Ⅱ : Autoriser uniquement l'accès au réseau interne dans le contrôleur
Tous les départements sont dans le même réseau, et limitent les actes des utilisateurs du département R&D.
Comment puis je faire ça?
Par exemple, pour limiter les actes des utilisateurs du département R&D, il est exigé que les utilisateurs R&D n'aient pas accès à Internet. Pour les autres départements, il n’y a aucune limitation.
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Paramètres > Profils > Groupes . Par défaut, il existe une entrée couvrant toutes les adresses IP et elle n'est pas modifiable. Cliquez sur +Créer un nouveau groupe pour ajouter une nouvelle entrée de groupe.
2. Spécifiez le nom du groupe IP comme « R&D » et sélectionnez Groupe IP comme type.
Spécifiez le sous-réseau IP comme 192.168.0.32/27. Le sous-réseau IP représente la plage d'adresses IP souhaitée. Dans cet exemple, 192.168.0.32 signifie l'adresse IP et /27 signifie le nombre de bits dans le masque. Cliquez sur Appliquer .
3. Accédez à Paramètres > Sécurité réseau > ACL . Sous l'onglet Gateway ACL, cliquez sur +Create New Rule .
Spécifiez le nom comme « Deny R&D », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> WAN , la politique de règle comme Refuser , Protocole comme Tout , « R&D » comme groupe IP source , « IPGROUP_ANY » comme groupe IP de destination . Conservez la section des paramètres avancés par défaut, cliquez sur Créer .
4. Vérification
Après configuration, ces utilisateurs du service R&D ne peuvent à aucun moment accéder à l’IP publique.
Scénario d'application de l'utilisateur Ⅲ : Autoriser HTTP uniquement et bloquer tous les autres services en mode autonome
L'article montre comment restreindre à tout moment l'accès des employés à des sites Web exclusivement via HTTP sur Internet.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Pare-feu > Contrôle d'accès sur le routeur. Configurez les trois entrées suivantes comme indiqué.
1) Autoriser le service HTTP pour toutes les sources et destinations .
2) Autorisez le service DNS car le service DNS fonctionne toujours avec le service HTTP.
3) Par défaut, tous les services sont autorisés dans les règles d'accès. Afin de bloquer d'autres services, bloquez tous les services en dernier.
Le routeur traite les règles séquentiellement pour chaque paquet. Dans la liste de contrôle d'accès, la règle avec un ID plus petit a une priorité plus élevée . Étant donné que le routeur évalue les règles en commençant par la priorité la plus élevée, assurez-vous que la règle Autoriser a le numéro d'identification plus petit que la règle Bloquer .
2. Vérification
Après configuration, les employés ne peuvent pas accéder à Internet via https.
Scénario d'application de l'utilisateur Ⅳ : Autoriser HTTP uniquement et bloquer tous les autres services dans Controller
L'article montre comment restreindre à tout moment l'accès des employés à des sites Web exclusivement via HTTP sur Internet.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Paramètres > Profils > Groupes . Par défaut, il existe une entrée couvrant toutes les adresses IP et elle n'est pas modifiable. Cliquez sur +Créer un nouveau groupe pour ajouter une nouvelle entrée de groupe.
2. Spécifiez le nom du groupe de ports IP comme « bureau », sélectionnez Groupe de ports IP comme type et choisissez Plage de ports IP comme type de port IP.
Cliquez sur + Ajouter un sous-réseau , spécifiez les sous-réseaux IP comme 192.168.0.1/24. Le sous-réseau IP représente la plage d'adresses IP souhaitée. Dans cet exemple, 192.168.0.1 signifie l'adresse IP et /24 signifie le nombre de bits dans le masque.
Spécifiez le port comme port DNS 53 et HTTP 80 car le service DNS fonctionne toujours avec le service HTTP. Cliquez ensuite sur Appliquer .
3. Accédez à Paramètres > Sécurité réseau > ACL . Sous l'onglet Gateway ACL, cliquez sur +Create New Rule .
Spécifiez le nom de la nouvelle règle comme « permitHTTP », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> WAN , la politique de règle comme Permit , Protocole comme All , « office » comme groupe de ports IP source , « IPGROUP_ANY » comme groupe IP de destination . Conservez la section des paramètres avancés par défaut, cliquez sur Créer .
Remarque : Seules les passerelles Omada dotées de certaines versions de micrologiciel peuvent définir l'état d'une règle ACL comme étant désactivée. Veuillez vous assurer que votre passerelle prend en charge la fonctionnalité avant son adoption. La configuration du statut sera perdue si la passerelle adoptée n'est pas compatible.
4. Spécifiez le nom de la nouvelle règle comme « blockother r », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> WAN , la politique de règle comme Refuser , Protocole comme Tout , « LAN » comme réseau source , « IPGROUP_ANY » comme groupe IP de destination . Cliquez sur Créer .
Toutes les règles sont indiquées ci-dessous. Notez que la règle d'autorisation doit être la première règle .
5. Vérification
Après configuration, les employés ne peuvent pas accéder à Internet via https.
Scénario d'application de l'utilisateur Ⅴ : accès VLAN unidirectionnel en mode autonome
Une entreprise dispose de deux départements : le département R&D et le département marketing, et ils se trouvent dans des sous-réseaux différents. Le service R&D a accès aux ordinateurs de tous les VLAN pour la sauvegarde des données, tandis que les ordinateurs du service marketing ne peuvent pas accéder au VLAN du service R&D pour améliorer la sécurité des données.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Réseau > LAN sur le routeur, cliquez sur +Ajouter pour créer un nouveau réseau et remplissez la configuration en fonction des exigences du réseau. Définissez l'adresse IP/le masque de sous-réseau sur 192.168.10.1/255.255.255.0, le mode sur Normal, attribuez le VLAN 10 au réseau et activez le serveur DHCP.
Après avoir enregistré, les paramètres réseau sur le routeur comme ci-dessous.
2. Accédez à Réseau > VLAN pour modifier les paramètres VLAN.
Normalement, après avoir créé un nouveau réseau, tous les ports LAN du routeur resteront UNTAG dans le réseau par défaut et seront automatiquement ajoutés au TAG VLAN du nouveau réseau .
Basé sur la topologie du réseau : un commutateur non géré est utilisé pour étendre davantage de ports Ethernet, changer le port Marketing LAN (Port 4) en UNTAG VLAN 10 et définir le PVID sur VLAN 10 , le port R&D LAN 5 sur UNTAG VLAN 30 et définir le PVID au VLAN 30 respectivement.
3. Accédez à Pare-feu > Contrôle d'accès et cliquez sur le bouton +Ajouter pour créer une règle comme ci-dessous. Notez que l'interface " LAN -> LAN " signifie une entrée ACL de trafic inter-réseau. Cette règle empêche le service marketing d'accéder au service R&D.
Remarque : L'ACL avec état nécessite le micrologiciel pris en charge du routeur.
Remarque : Nous vous recommandons de conserver le type d'état comme paramètre par défaut. Si vous le sélectionnez manuellement, veuillez vous référer à l'image suivante.
Nouveau : Faire correspondre les connexions de l'état initial. Par exemple, un paquet SYN arrive dans une connexion TCP ou le routeur ne reçoit le trafic que dans une seule direction.
Établi : Faites correspondre les connexions qui ont été établies. Autrement dit, le pare-feu a vu la communication bidirectionnelle de cette connexion.
Invalide : faites correspondre les connexions qui ne se comportent pas comme prévu.
Connexe : faites correspondre les sous-connexions associées d'une connexion principale, telle qu'une connexion à un canal de données FTP.
4. Vérification
Après la configuration, les appareils du VLAN 10 ne peuvent pas envoyer de requête ping aux appareils du VLAN 30, tandis que les appareils du VLAN 30 peuvent envoyer une requête ping aux appareils du VLAN 10.
192.168.10.100 dans VLAN10 ne peut pas envoyer une requête ping à 192.169.30.100 dans VLAN30 après avoir défini l'ACL.
192.168.30.100 dans le VLAN30 toujours capable d'accéder à 192.168.10.100 dans le VLAN10.
Scénario d'application de l'utilisateur Ⅵ : accès VLAN unidirectionnel dans le contrôleur
Une entreprise dispose de deux départements : le département R&D et le département marketing, et ils se trouvent dans des sous-réseaux différents. Le service R&D a accès aux ordinateurs de tous les VLAN pour la sauvegarde des données, tandis que les ordinateurs du service marketing ne peuvent pas accéder au VLAN du service R&D pour améliorer la sécurité des données.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Paramètres > Réseaux filaires > Réseaux LAN et cliquez sur +Créer un nouveau LAN pour créer des interfaces VLAN pour les deux départements.
Après avoir enregistré, les paramètres réseau sur le routeur comme ci-dessous.
2. En fonction de la topologie du réseau : un commutateur non géré est utilisé pour étendre davantage de ports Ethernet. Nous devons donc modifier le port Marketing LAN (Port 4) en UNTAG VLAN 10 et définir le PVID sur VLAN 10 , le port R&D LAN 5 sur UNTAG. VLAN 30 et définissez le PVID sur VLAN 30 respectivement sur le routeur.
Cliquez sur le routeur Omada sur Devices , accédez à Ports dans la fenêtre contextuelle, cliquez sur Edit on WAN/LAN3, modifiez le PVID sur 10 et cliquez sur Apply .
Remarque : la modification du PVID du port nécessite le micrologiciel pris en charge.
3. Accédez à Paramètres > Sécurité réseau > ACL . Sous l'onglet Gateway ACL, cliquez sur +Create New Rule .
Spécifiez le nom de la nouvelle règle comme « blockvlan10tovlan30 », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> LAN , la politique de règle comme Refuser , Protocole comme Tout , « vlan10 » comme réseau source , « vlan30 » comme réseau de destination . Conservez la section des paramètres avancés par défaut, cliquez sur Créer .
Remarque : Nous vous recommandons de conserver le type d'état comme paramètre par défaut. Si vous le sélectionnez manuellement, veuillez vous référer à l'image suivante.
Match State New : Faites correspondre les connexions de l'état initial. Par exemple, un paquet SYN arrive dans une connexion TCP ou le routeur ne reçoit le trafic que dans une seule direction.
Match State Based : faites correspondre les connexions qui ont été établies. Autrement dit, le pare-feu a vu la communication bidirectionnelle de cette connexion.
Match State Related : Faites correspondre les sous-connexions associées d'une connexion principale, telle qu'une connexion à un canal de données FTP.
Match State Invalid : faites correspondre les connexions qui ne se comportent pas comme prévu.
4. Vérification
Après la configuration, les appareils du VLAN 10 ne peuvent pas envoyer de requête ping aux appareils du VLAN 30, tandis que les appareils du VLAN 30 peuvent envoyer une requête ping aux appareils du VLAN 10.
Scénario d'application de l'utilisateur Ⅶ : accès VLAN bidirectionnel en mode autonome
Une entreprise interdit aux employés du service R&D et du service Marketing d'accéder aux ressources de chacun, mais un administrateur du service R&D peut accéder au service Marketing.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Créez plusieurs réseaux sur le routeur
1) Accédez à Réseau > LAN sur l'interface Web du routeur, cliquez sur +Ajouter pour créer un nouveau réseau et remplissez la configuration en fonction des exigences du réseau. Définissez l'adresse IP/le masque de sous-réseau sur 192.168.10.1/255.255.255.0, le mode sur Normal, attribuez le VLAN 10 au réseau et activez le serveur DHCP .
Après avoir enregistré, les paramètres réseau sur le routeur comme ci-dessous.
2) Accédez à Réseau > VLAN pour confirmer les paramètres sur chaque port.
Normalement, après avoir créé un nouveau réseau, tous les ports LAN du routeur resteront UNTAG dans le réseau par défaut et seront automatiquement ajoutés au TAG VLAN du nouveau réseau .
Puisqu'un commutateur géré se connecte au routeur, conservez le paramètre par défaut pour chaque port.
2. Créez un VLAN sur le commutateur
1) Accédez à Fonctionnalités L2 > VLAN > 802.1Q VLAN > VLAN Config sur l'interface Web du commutateur géré , créez le VLAN 10 et le VLAN 30 ; ajoutez le port non balisé 3 à 5 et le port de liaison montante balisé 1 au VLAN 10 ; ajoutez le port non balisé 6-8 et le port de liaison montante balisé 1 au VLAN 30.
2) Accédez à Fonctionnalités L2 > VLAN > 802.1Q VLAN > Port Config sur le commutateur, définissez la valeur PVID sur 10 pour les ports 3-5, 30 pour les ports 6-8 respectivement. Après cela, veuillez cliquer sur la page Web en haut à droite pour enregistrer la configuration.
3. Configurez l'ACL sur le routeur
1) Accédez à Préférences > Groupe IP > Adresse IP sur le routeur . Cliquez sur +Ajouter pour ajouter une nouvelle entrée d'adresse IP pour l'administrateur du département R&D.
Spécifiez le sous-réseau IP comme 192.168.30.100/32. Le sous-réseau IP représente la plage d'adresses IP. Dans cet exemple, 192.168.30.100 signifie l'adresse IP et /32 signifie le nombre de bits dans le masque. Cliquez sur OK .
Par défaut, il existe une entrée « IP_LAN » couvrant toutes les IP du routeur et elle n'est pas modifiable.
2) Définissez le groupe IP pour l'adresse IP correspondante sur le groupe IP.
3) Accédez à Pare-feu > Contrôle d'accès sur le routeur et cliquez sur le bouton +Ajouter pour créer une règle comme ci-dessous.
La direction ALL inclut WAN in, LAN->WAN, LAN->LAN. Remarque Direction ALL nécessite que le routeur soit mis à niveau vers le dernier micrologiciel.
Créez ensuite une règle de blocage entre VLAN10 et VLAN30.
Le routeur traite les règles séquentiellement pour chaque paquet. Dans la liste de contrôle d'accès, la règle avec un ID plus petit a une priorité plus élevée . Étant donné que le routeur évalue les règles en commençant par la priorité la plus élevée, assurez-vous que la règle Autoriser a le numéro d'identification plus petit que la règle Bloquer . Toutes les règles devraient être les suivantes :
4. Vérification
Après la configuration ci-dessus, VLAN10 et VLAN30 ne peuvent pas accéder l'un à l'autre tandis que l'administrateur avec 192.168.30.100 peut accéder au VLAN10.
192.168.10.100 dans VLAN10 ne peut pas cingler 192.168.30.100 dans VLAN30
L'administrateur avec 192.168.30.100 peut accéder à 192.168.10.100 dans le VLAN10.
Scénario d'application de l'utilisateur Ⅷ : accès bidirectionnel au VLAN et autoriser uniquement l'accès à Internet dans le contrôleur
Une entreprise interdit aux employés du service R&D et du service Marketing d'accéder aux ressources de chacun, mais un administrateur du service R&D peut accéder au service Marketing.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Accédez à Paramètres > Réseaux filaires > Réseaux LAN et cliquez sur +Créer un nouveau LAN pour créer des interfaces VLAN pour les deux départements.
Après avoir enregistré, les paramètres réseau sur le routeur comme ci-dessous.
2. Accédez à Paramètres > Réseaux filaires > LAN > Profils , nous pouvons voir tous les profils comme ci-dessous.
Lorsqu'un réseau est créé, le système crée automatiquement un profil portant le même nom et configure le réseau comme réseau natif pour le profil. Dans ce profil, le réseau lui-même est configuré en tant que réseaux non balisés , alors qu'aucun réseau n'est configuré en tant que réseaux balisés. Le profil peut être consulté et supprimé, mais pas modifié.
Et le profil ALL ajoutera automatiquement le nouveau réseau comme étiqueté .
3. Cliquez sur le commutateur Périphériques , accédez à Ports dans la fenêtre contextuelle, cliquez sur Modifier sur le port 3, puis appliquez le profil vlan10. Effectuez ensuite le même processus pour les autres ports. Une fois terminé, connectez les ordinateurs au commutateur en conséquence.
4. Accédez à Paramètres > Sécurité réseau > ACL . Sous l'onglet Gateway ACL, cliquez sur +Create New Rule .
Spécifiez le nom de la nouvelle règle comme « bidirection », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> LAN , la politique de règle comme Refuser , Protocole comme Tout , « vlan10 » comme réseau source , « vlan30 » comme réseau de destination . Activez le mode bidirectionnel dans les paramètres avancés , cliquez sur Créer .
Ensuite, il générera automatiquement une règle de verset .
5. Créez ensuite une autre règle de blocage de vlan10 et vlan30 vers la page de gestion de la passerelle.
Spécifiez le nom de la nouvelle règle comme « blockGUI », cochez Activer sur l'état. Sélectionnez Direction comme LAN -> LAN , la politique de règle comme Refuser , Protocole comme Tout , « vlan10 » et « vlan30 » comme réseau source , « Page de gestion de passerelle » comme type de destination . Conservez les paramètres avancés par défaut, cliquez sur Créer .
6. Vérification
Après la configuration ci-dessus, le VLAN10 ne peut pas accéder au VLAN30.
Le VLAN30 ne peut pas accéder au VLAN10
Impossible d'accéder à l'adresse IP de la passerelle sur chaque interface.
Scénario d'application de l'utilisateur Ⅸ : Autoriser uniquement l'accès à Internet en mode autonome
Pour renforcer la sécurité, une entreprise a mis en place des mesures pour empêcher les visiteurs présents dans la chambre d'amis d'accéder à la fois au bureau et à la salle des serveurs.
Comment puis je faire ça?
Suivez les étapes ci-dessous pour le configurer, prend ici le ER8411 comme démonstration :
1. Créez plusieurs réseaux sur le routeur
1) Accédez à Réseau > LAN sur l'interface Web du routeur, cliquez sur +Ajouter pour créer un nouveau réseau et remplissez la configuration en fonction des exigences du réseau. Définissez l'adresse IP/le masque de sous-réseau sur 192.168.10.1/255.255.255.0, le mode sur Normal, attribuez le VLAN 10 au réseau et activez le serveur DHCP .
Après avoir enregistré, les paramètres réseau sur le routeur comme ci-dessous.
2) Accédez à Réseau > VLAN pour confirmer les paramètres sur chaque port.
Normalement, après avoir créé un nouveau réseau, tous les ports LAN du routeur resteront UNTAG dans le réseau par défaut et seront automatiquement ajoutés au TAG VLAN du nouveau réseau .
Puisqu’un simple commutateur intelligent se connecte au routeur, conservez le paramètre par défaut pour chaque port.
2. Créez un VLAN sur le commutateur
1) Accédez au VLAN > 802.1Q VLAN pour charger la page suivante sur le commutateur intelligent facile . Activez la fonction VLAN 802.1Q. Ajoutez le port de liaison montante 1 en tant que port balisé et le port 10-16 au VLAN 10, puis cliquez sur Appliquer .
Remarque : Ce n'est qu'après avoir activé la fonctionnalité VLAN 802.1Q que les VLAN peuvent être ajoutés ou modifiés.
2) Accédez à VLAN > 802.1Q VLAN PVID Setting pour charger la page suivante. Par défaut, le PVID de tous les ports est 1. Spécifiez le PVID du port 10-16 sur 10 et cliquez sur Appliquer .
3. Configurez l'ACL sur le routeur
1) Accédez à Pare-feu > Contrôle d'accès sur le routeur et cliquez sur le bouton +Ajouter pour créer une règle comme ci-dessous. Notez que l'interface " LAN -> LAN " signifie une entrée ACL de trafic inter-réseau.
« ! Vlan10 » désigne toutes les interfaces réseau à l'exception du VLAN10. Lorsqu'un réseau est créé, le système génère automatiquement un nom de réseau en ajoutant un point d'exclamation (« ! ») au début. Ce point d'exclamation signifie que le réseau inclut toutes les interfaces sauf celle spécifiée.
«Moi» signifie toutes les IP de passerelle d'interface, ici signifie LAN par défaut 192.168.0.1 et passerelle VLAN10 192.168.10.1.
2. Vérification
Après la configuration, les appareils de la chambre d'amis ne peuvent pas accéder aux appareils du bureau et de la salle des serveurs.
192.168.10.100 dans le VLAN10 ne peut pas cingler 192.168.0.100 dans le VLAN1 et ne peut pas cingler la passerelle du VLAN1.
192.168.10.100 dans le VLAN10 ne peut pas cingler l'adresse IP de la passerelle du VLAN10, mais est toujours capable de cingler le DNS public 1.1.1.1
Pour en savoir plus sur chaque fonction et configuration, veuillez vous rendre au Centre de téléchargement pour télécharger le manuel de votre produit.