Omada Pro Logo official website Vigi Logo official website
Contactez-nous
France / Français

Configuration ACL recommandée sur le switch Omada pour les scénarios courants

Base de connaissance
Guide de configuration
VLAN
ACL
SignetsCopier lien
08-05-2024
30070

Contenu

Objectif

Exigences

Introduction

Configuration

Autoriser uniquement l'accès à des ressources spécifiques.

Autoriser uniquement l'accès au réseau interne

Autoriser uniquement l'accès à Internet

Conclusion

 

Objectif

Cet article explique comment gérer le réseau en configurant les ACL en mode contrôleur.

Exigences

  • Contrôleur matériel/logiciel/cloud Omada V5.0 ou supérieur

Introduction

La technologie VLAN (Virtual Local Area Network) divise un réseau local physique en plusieurs réseaux locaux logiques, appelés VLAN. Les hôtes appartenant à un même VLAN peuvent communiquer directement entre eux, contrairement à ceux appartenant à des VLAN différents, ce qui renforce la sécurité du réseau. Lorsqu'un réseau local est divisé en plusieurs VLAN, la diffusion des messages est limitée à un seul VLAN ; chaque VLAN forme ainsi un domaine de diffusion, ce qui restreint efficacement la portée de ce domaine. Grâce aux VLAN, différents hôtes peuvent être affectés à différents groupes de travail, et les hôtes d'un même groupe de travail peuvent être situés à différents emplacements physiques, ce qui simplifie et assouplit la construction et la maintenance du réseau.

Configuration

Exemple de topologie : les hôtes A et B appartiennent au réseau A (VLAN 10), tandis que l’hôte D et le serveur appartiennent au réseau B (VLAN 20). Dans ce scénario, des interfaces VLAN et des plages d’adresses correspondantes sont généralement créées afin que les clients connectés à différents réseaux puissent obtenir des adresses IP de sous-réseaux différents. Supposons que l’adresse IP du serveur soit 192.168.20.10.

Les configurations d'interface/de port de l'exemple sont les suivantes :

Changer

Interrupteur A

Interrupteur B

Interrupteur C

Port

1

2

3

1

Autres

1

Autres

Règle de sortie

Étiqueté

Étiqueté

Étiqueté

Étiqueté

Non étiqueté

Étiqueté

Non étiqueté

Réseau natif

1

1

1

1

10

1

20

VLAN

1,10,20

1,10

1,20

1,10

10

1,20

20

Autoriser uniquement l'accès à des ressources spécifiques.

Les réseaux A et B ne sont pas autorisés à communiquer entre eux, mais le réseau A est autorisé à accéder à des serveurs spécifiques du réseau B.

Étape 1. Configurer les ports et interfaces réseau.

Accédez à Paramètres > Paramètres du site > Réseaux câblés > LAN et cliquez sur Créer un nouveau LAN pour commencer à créer les interfaces des VLAN 10 et VLAN 20.

Étape 2. Créez les deux interfaces en spécifiant leurs paramètres respectifs. Après avoir saisi l'adresse IP du sous-réseau, cliquez sur « Mettre à jour la plage d'adresses IP » pour actualiser la plage d'adresses IP de ce sous-réseau. Laissez les autres options par défaut, puis cliquez sur « Appliquer » pour terminer.

 

Étape 3. Créez un profil de port pour chaque commutateur et associez-le au port correspondant.

Sur la page de configuration LAN de l'étape précédente, cliquez sur Profil > Créer un profil de port pour créer un profil de port. Lors de la création d'une interface VLAN, le contrôleur créera automatiquement un profil pour le réseau correspondant (Réseau A, Réseau B). Vous pourrez ensuite l'appliquer directement au port d'accès du commutateur correspondant.

Créez un profil pour le port de liaison montante du commutateur B/C avec les paramètres suivants :

Interrupteur B :

Interrupteur C :

Ensuite, associez chaque profil au port correspondant : cliquez sur Périphériques dans la barre de navigation, puis accédez à Commutateur A > Ports > ACTION pour modifier le profil des ports du commutateur A. Associez Port1 au profil « Tous », et associez Port2 (connecté au commutateur B) et Port3 (connecté au commutateur C) aux profils de liaison montante des commutateurs B et C respectivement.

Effectuez la même opération pour lier les profils des commutateurs B et C à leurs ports de liaison montante et d'accès.

Interrupteur B :

Interrupteur C :

Étape 4. Créez une ACL pour refuser l'accès mutuel entre le réseau A et le réseau B.

Accédez à Paramètres du site > Sécurité réseau > ACL > Changer d'ACL et cliquez sur Créer une nouvelle règle .

Les paramètres de la règle sont les suivants. Activez l'option bidirectionnelle dans les paramètres avancés pour appliquer cette liste de contrôle d'accès à tous les ports des commutateurs B et C.

Étape 5. Créez une ACL pour permettre au réseau A d'accéder à un serveur spécifique du réseau B.

Accédez à Paramètres du site > Profil > Groupes > Créer un groupe , sélectionnez Groupe IP comme type et saisissez l'adresse du serveur dans Sous-réseau IP . Pour ajouter plusieurs adresses IP au groupe, cliquez sur Ajouter un sous-réseau .

Étape 6. Créez une ACL pour autoriser le VLAN 10 à accéder au groupe d'adresses IP du serveur et appliquez cette ACL à tous les ports des commutateurs B et C.

Remarque : Une fois la configuration terminée, voici la liste complète des entrées ACL. Les ACL étant appliquées selon un ordre de priorité descendant, les deux ACL A_to_B_Server_permit doivent être placées en haut de la liste.

Avant:

Après:

Autoriser uniquement l'accès au réseau interne

Vous pouvez restreindre l'accès à Internet d'un VLAN (réseau) spécifique et l'autoriser uniquement à accéder au réseau interne.

Une fois la configuration réseau effectuée selon la topologie précédente, il est nécessaire de respecter l'exigence suivante : les périphériques connectés au réseau A ne peuvent pas accéder à Internet, mais peuvent accéder aux autres réseaux internes. En raison du mécanisme de liste noire par défaut des listes de contrôle d'accès (ACL) des commutateurs TP-Link, il est indispensable de créer une ACL autorisant l'accès du réseau A à tous les autres sous-réseaux, puis une ACL interdisant tout accès au réseau A.

Étape 1. Accédez à Paramètres du site > Sécurité réseau > ACL > Commutateur ACL > Créer une nouvelle règle et configurez les paramètres comme suit pour autoriser le réseau A à accéder à tous les sous-réseaux :

Étape 2. Appliquez cette ACL à tous les ports du commutateur B.

Créez une liste de contrôle d'accès (ACL) qui bloque tout accès au réseau A, par exemple via IPGroup_Any . Appliquez cette ACL à tous les ports du commutateur B.

Une fois complétées, toutes les entrées ACL sont les suivantes :

Autoriser uniquement l'accès à Internet

Vous pouvez autoriser un VLAN spécifique à accéder à Internet et restreindre son accès au réseau interne (exigence du réseau invité).

Complétez les configurations d'interface et de port en fonction de la topologie précédente.

Étape 1. Créez une liste de contrôle d'accès (ACL) pour interdire l'accès du réseau A à tous les autres sous-réseaux. Reportez-vous au scénario 2 et appliquez cette ACL à tous les ports du commutateur B.

Étape 2. Créez une ACL pour autoriser l'accès au réseau A, ce qui peut également être réalisé via IPGroup_Any , et appliquez-la à tous les ports du commutateur B.

Conclusion

Suivez les instructions ci-dessus pour configurer les ACL dans les scénarios courants.

Pour en savoir plus sur chaque fonction et configuration, veuillez vous rendre dans le Centre de téléchargement pour télécharger le manuel de votre produit.

Veuillez noter ce document

Documents connexes

Guide de configuration des options DHCP sur le switch Omada

Guide de configuration
08-20-2024
51259

Exemples de configuration CLI typiques pour le switch TP-Link JetStream

Guide de configuration
12-22-2022
36249

Comment implémenter un accès VLAN unidirectionnel via la configuration ACL sur la passerelle Omada en mode contrôleur

Guide de configuration
09-19-2023
37748

Guide de configuration du relais DHCP du switch Omada

Guide de configuration
09-20-2024
37271

Why Can I Configure Fewer VLANs Than Expected on My Agile Switch

FAQ
03-09-2026
7933

Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .

Your Privacy Choices

Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .

Cookies basiques

Ces cookies sont nécessaires au fonctionnement du site Web et ne peuvent pas être désactivés dans vos systèmes.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies d'analyse et marketing

Les cookies d'analyse nous permettent d'analyser vos activités sur notre site Web pour améliorer et ajuster les fonctionnalités de notre site Web.

Les cookies marketing peuvent être définis via notre site Web par nos partenaires publicitaires afin de créer un profil de vos intérêts et pour vous montrer des publicités pertinentes sur d'autres sites Web.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads et DoubleClick

test_cookie, _gcl_au