Configuration ACL recommandée sur le switch Omada pour les scénarios courants
Contenu
Autoriser l'accès à des ressources spécifiques uniquement
Autoriser l'accès au réseau interne uniquement
Autoriser l'accès à Internet uniquement
Cet article présente comment gérer le réseau en configurant ACL en mode contrôleur.
- Contrôleur matériel/logiciel/cloud Omada V5.0 ou supérieur
La technologie VLAN (Virtual Local Area Network) divise un LAN physique en plusieurs LAN logiques, c'est-à-dire les VLAN. Les hôtes d'un même VLAN peuvent communiquer directement entre eux, alors que ceux de différents VLAN ne le peuvent pas, ce qui renforce la sécurité du LAN. Lorsqu'un LAN est divisé en plusieurs VLAN, les messages de diffusion seront limités au sein du même VLAN, c'est-à-dire que chaque VLAN forme un domaine de diffusion, ce qui limite efficacement la portée du domaine de diffusion. En utilisant des VLAN, différents hôtes peuvent être affectés à différents groupes de travail, et les hôtes d'un même groupe de travail peuvent être situés à différents emplacements physiques, ce qui rend la construction et la maintenance du réseau plus pratiques et plus flexibles.
Exemple de topologie : les hôtes A et B appartiennent au réseau A (VLAN 10), l'hôte D et le serveur appartiennent au réseau B (VLAN 20). Dans ce scénario, des interfaces VLAN et des pools d'adresses correspondants sont généralement créés, afin que les clients connectés à différents réseaux puissent obtenir des adresses IP à partir de différents sous-réseaux. Supposons que l'adresse IP du serveur soit 192.168.20.10.
Les configurations d'interface/port dans l'exemple sont les suivantes :
Changer |
Interrupteur A |
Interrupteur B |
Interrupteur C |
||||
Port |
1 |
2 |
3 |
1 |
Autres |
1 |
Autres |
Règle de sortie |
Tagué |
Tagué |
Tagué |
Tagué |
Sans étiquette |
Tagué |
Sans étiquette |
Réseau natif |
1 |
1 |
1 |
1 |
10 |
1 |
20 |
VLAN |
1,10,20 |
1,10 |
1,20 |
1,10 |
10 |
1,20 |
20 |
Autoriser l'accès à des ressources spécifiques uniquement
Le réseau A et le réseau B ne sont pas autorisés à communiquer entre eux, mais le réseau A est autorisé à accéder à des serveurs spécifiques du réseau B.
Étape 1. Configurez les ports et les interfaces réseau.
Accédez à Paramètres > Paramètres du site > Réseaux câblés > LAN et cliquez sur Créer un nouveau LAN pour commencer à créer les interfaces du VLAN 10 et du VLAN 20.
Étape 2. Créez les deux interfaces en spécifiant leurs paramètres pertinents. Après avoir saisi l'adresse IP du sous-réseau, cliquez sur Mettre à jour la plage d'adresses IP pour mettre à jour la plage d'adresses IP de ce sous-réseau. Laissez les autres options par défaut et cliquez sur Appliquer pour terminer.
Étape 3. Créez un profil de port pour chaque commutateur et liez-le au port correspondant.
Sur la page de configuration LAN de l'étape précédente, cliquez sur Profil > Créer un nouveau profil de port pour créer un profil de port. Lors de la création d'une interface VLAN, le contrôleur crée automatiquement un profil pour le réseau correspondant (Réseau A, Réseau B). Vous pouvez ensuite l'appliquer directement au port d'accès du commutateur correspondant.
Créez un profil pour le port de liaison montante du commutateur B/C avec les paramètres suivants :
Interrupteur B :
Interrupteur C :
Then bind each profile to the corresponding port: click Devices in the navigation bar, and then go to Switch A > Ports > ACTION to edit the ports profile of Switch A. Bind Port1 to the profile "All", and bind Port2 (connected to Switch B) and Port3 (connected to Switch C) to the uplink profiles of Switch B and C respectively.
Perform the same operation to bind the profiles of Switch B and C to their uplink port and access ports.
Switch B:
Switch C:
Step 4. Create an ACL to deny the mutual access between Network A and Network B.
Go to Site Settings > Network Security > ACL > Switch ACL and click Create New Rule.
The parameters of the Rule are as follows. Enable Bi-Directional in Advanced Settings to apply this ACL to all ports on Switch B and Switch C.
Step 5. Create an ACL to allow Network A to access a specific server in Network B.
Go to Site Settings > Profile > Groups > Create New Group, select IP Group for Type, and enter the server address for IP Subnet. To add multiple IPs to the Group, click Add Subnet.
Step 6. Create an ACL to allow VLAN 10 to access the Server IP Group, and apply this ACL to all ports of Switch B and C.
Note: When finished, all ACL entries are as follows. Because the ACLs take effect based on a top-down priority, we need to put the two A_to_B_Server_permit ACLs at the top of the list.
Before:
After:
Allow the access to the internal network only
You can restrict a specific VLAN (network)’s access to the internet, and only allow it to access the internal network.
After completing the network configuration based on the previous topology, assume that such a requirement should be met: devices connected to Network A cannot access the internet but can access other internal networks. Due to the default blacklist mechanism of TP-Link switch's ACL, it is necessary to create a Permit ACL from Network A to all other subnets, and then create an ACL that denies any access to Network A.
Step 1. Go to Site Settings > Network Security > ACL > Switch ACL > Create New Rule, and configure the parameters as follows to allow Network A to access all subnets:
Step 2. Apply this ACL to all ports on Switch B.
Create an ACL that denies all access to Network A, which can be realized through IPGroup_Any. Apply this ACL to all ports on Switch B too.
When complete, all ACL entries are as follows:
Allow the access to the internet only
You can allow a specific VLAN to access the internet, and restrict its access to the internal network (guest network requirement).
Complétez les configurations d’interface et de port en fonction de la topologie précédente.
Étape 1. Créez une liste de contrôle d'accès pour refuser l'accès du réseau A à tous les autres sous-réseaux. Reportez-vous au scénario 2 et appliquez cette liste de contrôle d'accès à tous les ports du commutateur B.
Étape 2. Créez une ACL pour autoriser l'accès au réseau A, qui peut également être réalisé via IPGroup_Any , et appliquez-la à tous les ports du commutateur B.
Suivez les instructions ci-dessus pour effectuer la configuration ACL pour les scénarios courants.
Pour connaître plus de détails sur chaque fonction et configuration, veuillez consulter le Centre de téléchargement pour télécharger le manuel de votre produit.