Omada 路由器如何透過設定 ACL 實現單向 VLAN 存取(控制器模式)

Knowledgebase
Configuration Guide
09-19-2023

應用場景

這個設定的目的是限制 IoT 裝置對 LAN (區域網路)的存取。這表示連接到 IoT 網路的裝置,如智慧設備或感應器,將無法與 LAN 網路中的裝置通訊或存取,LAN 網路通常包括了由使用者使用的電腦、伺服器和其他裝置。

另一方面,LAN 網路保留了與 IoT 設備存取和通訊的能力。這允許 LAN 網路內的使用者控制 IoT 設備並與其互動、收集資料或執行監控動作。

適用設備

ER605 V2

TL-SG2210MP V4

EAP660 HD V3

Omada Software Controller (Omada 軟體控制器)  V5.9

 

設定方案

為了滿足這些需求,我們可以在路由器上設定單向/生效中 ACL 規則,防止 IoT 設備存取 LAN,並允許 LAN 存取 IoT 設備。設定如下:

1) 建立 VLAN 介面

2) 建立 生效中的 ACL 規則

3) 為 IoT 設備建立帶有 VLAN 的 SSID

4) 驗證

 

設定流程

在開始設定之前,我們需要使用控制器來納管 Omada 裝置。 如果您在操作過程中遇到任何問題,請參考以下常見問題來排查:

 

步驟 1. 前往 設定 > 有線網路 > 區域網路(LAN)  點選 +建立新的LAN 來建立 IoT 裝置的 VLAN 介面。

 

步驟 2. 前往 設定 > 網路安全性 > ACL> 路由器 ACL 來建立新的規則

 

方向: LAN-> LAN

規則: 拒絕

協定:All

來源:IoT

目的地:VLAN10 

狀態類型:自動

說明:我們建議將狀態類型設定為 自動。 如果選擇 手動,請參考下圖。

符合狀態新的:符合初始狀態的連線。例如,SYN 封包到達 TCP 連線,或路由器僅接收一個方向的流量。

符合狀態已建立:符合已建立的連線。也就是說,防火牆已經看到了這個連線的雙向通訊。

符合狀態無效:符合行為為不符合預期之連接。

符合狀態相關的:符合主要連線的相關子連線,例如與 FTP 資料通道的連線。

步驟 3. 前往 設定 > 無線網路 > 無線網路 > 點選 建立新的無線網路 並將 IoT 的 VLAN ID 設定為 40。

 

步驟 4. 確認

手機連接 'IoT' SSID,IP 位址為 192.168.40.1,而電腦的 IP 位址為 192.168.10.4。手機無法 ping 通電腦,但電腦可以 ping 通手機。

Please Rate this Document

Related Documents