應用場景
這個設定的目的是限制 IoT 裝置對 LAN (區域網路)的存取。這表示連接到 IoT 網路的裝置,如智慧設備或感應器,將無法與 LAN 網路中的裝置通訊或存取,LAN 網路通常包括了由使用者使用的電腦、伺服器和其他裝置。
另一方面,LAN 網路保留了與 IoT 設備存取和通訊的能力。這允許 LAN 網路內的使用者控制 IoT 設備並與其互動、收集資料或執行監控動作。
適用設備
ER605 V2
TL-SG2210MP V4
EAP660 HD V3
Omada Software Controller (Omada 軟體控制器) V5.9
設定方案
為了滿足這些需求,我們可以在路由器上設定單向/生效中 ACL 規則,防止 IoT 設備存取 LAN,並允許 LAN 存取 IoT 設備。設定如下:
1) 建立 VLAN 介面
2) 建立 生效中的 ACL 規則
3) 為 IoT 設備建立帶有 VLAN 的 SSID
4) 驗證
設定流程
在開始設定之前,我們需要使用控制器來納管 Omada 裝置。 如果您在操作過程中遇到任何問題,請參考以下常見問題來排查:
步驟 1. 前往 設定 > 有線網路 > 區域網路(LAN) 點選 +建立新的LAN 來建立 IoT 裝置的 VLAN 介面。
步驟 2. 前往 設定 > 網路安全性 > ACL> 路由器 ACL 來建立新的規則
方向: LAN-> LAN
規則: 拒絕
協定:All
來源:IoT
目的地:VLAN10
狀態類型:自動
說明:我們建議將狀態類型設定為 自動。 如果選擇 手動,請參考下圖。
符合狀態新的:符合初始狀態的連線。例如,SYN 封包到達 TCP 連線,或路由器僅接收一個方向的流量。
符合狀態已建立:符合已建立的連線。也就是說,防火牆已經看到了這個連線的雙向通訊。
符合狀態無效:符合行為為不符合預期之連接。
符合狀態相關的:符合主要連線的相關子連線,例如與 FTP 資料通道的連線。
步驟 3. 前往 設定 > 無線網路 > 無線網路 > 點選 建立新的無線網路 並將 IoT 的 VLAN ID 設定為 40。
步驟 4. 確認
手機連接 'IoT' SSID,IP 位址為 192.168.40.1,而電腦的 IP 位址為 192.168.10.4。手機無法 ping 通電腦,但電腦可以 ping 通手機。