如何在商用路由器的獨立模式下設定存取控制

使用者場景 Ⅰ:在獨立模式下僅允許存取內部網路

一間公司分別在不同大樓裡管理不同部門，每棟大樓的機房內各有一台SMB路由器，且每層樓皆有放一台交換器。

我可以怎麼做?

例如要限制位於大樓2的3樓研發部門特定使用者，必須確保這些研發人員只能存取內部網路，但對於同部門的其它成員則無此限制。

以下步驟在大樓2的SMB路由器上設定ACL規則，這邊以ER8411為範例：

1. 前往 Preferences> IP Group> IP Address，點擊+Add 新增新的IP位址項目。

指定研發部門特定使用者的IP位址範圍192.168.0.32-192.168.0.63，然後點擊OK。.

接著指定所有內部網路的IP位址範圍

2. 在IP Group內為相對應的設定IP群組，預設會有一個“IPGROUP_ANY”項目，此項目涵蓋所有IP且無法編輯。

3. 前往 Firewall>Access Control，點擊 +Add按照以下規則設定。

路由器依序處理每個封包的規則，在存取列表中，ID較小的規則具有較高的優先級。由於路由器從最高優先級的規則開始評估，請確保 Allow 規則的ID號碼小於 Block 規則的ID號碼。

4. 驗證

完成設定後，研發部門的使用者在任何時間都無法存取外部IP。

使用者場景Ⅱ：在獨立模式下，僅允許HTTP服務，並阻擋所有其他服務。

這篇文章說明如何限制員工在任何時間僅透過HTTP存取網際網路上的網站。

我可以做什麼?

按照下列步驟設定，這裡以ER8411為例：

1. 前往> Access Control，設定下列三個項目。

1) 允許所有來源和目的地的HTTP service。

2) 允許 DNS service因為DNS服務是與HTTP服務一起工作。

3) 預設所有服務在存取規則中都是允許的。為了阻擋其他服務，block All Services放在最後。

路由器依次處理每個封包的規則。在存取控制列表中，ID較小號碼排序有較高的優先權。由於路由器從最高優先級開始評估規則，確保允許規則的ID號碼比阻擋規則的ID號碼小。

2. 驗證

設定後，員工無法透過HTTPS存取網路。

使用者場景Ⅲ:獨立模式下的單向 VLAN 存取

公司有兩個部門:研發以及行銷部門，兩個部門分別屬於不同網段。研發部門可以存取所有VLAN中的電腦進行資料備份，而行銷部門的電腦則限制存取研發部門VLAN，以增強資料安全性。

我可以怎麼做?

按照下列步驟設定，這裡以ER8411為例：

1. 前往Network > LAN ，點選+Add新增新的網路，並依照網路需求填寫設定。設定IP位址/子網路遮罩為192.168.10.1/255.255.255.0，模式為Normal，為網路分配VLAN 10，並啟用DHCP伺服器。

儲存後，路由器上的網路設定如下：

2. 前往Network > VLAN 變更VLAN設定

一般而言，建立新網路後，路由器的所有LAN埠都會保持預設網路中的UNTAG狀態，並自動新增至新網路的TAG VLAN。

根據拓樸：使用無網管交換器延伸更多乙太網路孔，將行銷LAN埠（Port4）更改為UNTAG VLAN 10並設定PVID為VLAN 10，研發LAN Port5更改為UNTAG VLAN 30並設定PVID分別連接到VLAN 30。

3. 前往Firewall > Access Control，點擊+Add 建立規則，請注意"LAN -> LAN"介面表示網路間流量ACL項目。該規則阻止行銷部門存取研發部門

注意：我們建議將states 類型保留為預設設定。如果您手動選擇，請參考下圖。

New：符合初始狀態的連線。例如，SYN 封包到達 TCP 連接，或路由器僅接收一個方向的流量。

Established：防火牆已觀察到此連接的雙向通訊。

Invalid：將不符合預期的連接進行匹配。

Related：匹配主連接的相關子連接，例如與 FTP 數據通道的連接。

4. 驗證

完成設定後，在VLAN 10的裝置無法通ping VLAN 30的裝置，而 VLAN 30 內的裝置則能夠 ping 通 VLAN 10 內的裝置。

設定ACL後，VLAN10中的192.168.10.100無法 ping通VLAN30中的 192.169.30.100。

VLAN30中的192.168.30.100仍可存取VLAN10中的192.168.10.100

使用者場景 Ⅳ：獨立模式下的雙向VLAN存取

公司禁止研發部門與行銷部門的員工互相存取對方的資源，但研發部門的管理員可以存取行銷部門的資源。

我可以怎麼做?

按照下列步驟設定，這裡以ER8411為例：

1. 在路由器上建立多個網段

1) 在路由器介面前往 Network > LAN ，點擊 +Add 建立一個新網段並依需求填寫參數。設定IP位址/子網路遮罩為192.168.10.1/255.255.255.0，模式設為 Normal 將VLAN 10分配給該網路，並啟用DHCP server。

儲存後，路由器的網路設定如下：

2) 前往 Network > VLAN 確認每個埠的設定

通常，在建立新網路後，路由器的所有LAN埠將保持為預設網路中的UNTAG狀態，並會自動被加入到新網路的TAG VLAN中。

由於一台管理型交換器連接到路由器，因此每個埠保持預設設定。

2. 在交換器上建立 VLAN

1) 前往 L2 Features > VLAN > 802.1Q VLAN > VLAN Config 在管理型交換器的網頁介面上，建立VLAN 10 和 VLAN 30; 將3-5埠設為Untagged，並將第1埠uplink設為Tagged，加入VLAN 10; 把6-8埠設為Untagged，再將第1埠uplink設為Tagged，加入VLAN 30

2) 在交換器上，前往 L2 Features > VLAN > 802.1Q VLAN > Port Config ，把3-5埠的PVID值設為10、6-8埠的PVID值設為30。完成後，請在網頁右上角點擊save以保存設定

3. 在路由器上設定ACL

1) 前往路由器介面 Preferences > IP Group > IP address。點擊 +Add 為研發部門的管理員新增一個IP位置項目

將IP網段指定為 192.168.30.100/32，IP 網段代表IP位址的範圍，例如，192.168.30.100 /32 為遮罩中的位數，點擊 OK

預設情況下，路由器上有一個項目 “IP_LAN” 涵蓋所有 IP 且無法編輯

2) 設定 IP Group 對應IP Group中的 IP 位址

3) 前往路由器上的 Firewall > Access Control ，點擊 +Add 建立以下規則

Direction ALL 包含 WAN in, LAN->WAN, LAN->LAN. Note Direction ALL 需要路由器升級到最新韌體

然後在VLAN10和VLAN30之間的規則選擇 block

路由器在存取控制清單中依序處理每個封包的規則，ID越小號碼排序有較高的優先權。由於路由器會從最高優先權開始評估規則，確保允許規則的 ID 號碼小於封鎖規則的 ID 號碼。所有規則應如下所示：

4. 驗證

在上述設定後，VLAN10 和 VLAN30 之間無法互相存取，但具有 192.168.30.100 的管理員仍能存取 VLAN10。

VLAN10 中的 192.168.10.100 無法 ping 通 VLAN30 中的 192.168.30.100。

具有 192.168.30.100 的管理員能夠存取 VLAN10 中的 192.168.10.100。

使用者場景 V： 僅允許在獨立模式下存取網路

為了增加安全性，公司已實施措施，防止來賓室的訪客存取辦公室和機房。

我可以怎麼做?

按照下列步驟設定，這裡以ER8411為例：

1. 在路由器上建立多個網段

1) 在路由器網頁介面上前往 Network > LAN ，點擊 +Add 建立新網段，並依網路需求填寫參數， 設定IP位址/子網路遮罩為192.168.10.1/255.255.255.0，模式設為 Normal 將VLAN 10並並啟用DHCP server。

儲存後，路由器的網路設定如下：

2) 前往 Network > VLAN 確認每個埠的設定

一般而言，在建立新網路後，路由器的所有 LAN 埠在預設網路中保持為 UNTAG 並將自動加入新網路的 TAG VLAN

由於簡易智慧型交換機連接到路由器，因此每個埠應保持預設設定。

2. 在交換器上建立 VLAN

1) 前往簡易智慧型交換器頁面， VLAN > 802.1Q VLAN ， Enable 802.1Q VLAN 功能，新增 uplink port 1 為 Tag 埠，接著將10-16 埠分配到 VLAN 10，點擊 Apply

注意: 只有在啟用 802.1Q VLAN 功能後，才能新增或修改 VLAN。

2) 前往 VLAN > 802.1Q VLAN PVID Setting 預設情況下，所有埠的 PVID 為 1，將埠 10-16 設為 10 然後點擊 Apply

3. 在路由器設定 ACL

1) 前往 Firewall > Access Control，點擊 +Add 以建立下列規則。注意 "LAN -> LAN" 介面表示一個跨網段流量的 ACL 項目。

“!vlan10” 指所有的網路介面除了 VLAN10，當建立網路時，系統會自動形成一個網路名稱，並在名稱開頭新增一個驚嘆號 (“!”) ，這個驚嘆號表示該網路包含所有介面，除了指定的介面以外。

“Me” 表示所有介面的閘道 IP，這裡指的是預設 LAN 的 192.168.0.1 和 VLAN10 閘道的 192.168.10.1。

2. 驗證

完成設定後，客房中的設備無法存取辦公室和機房中的設備。

VLAN10 中的 192.168.10.100 無法 Ping 通 VLAN1 中的 192.168.0.100，也無法 Ping 通 VLAN1 的閘道。

VLAN10 中的 192.168.10.100 無法 Ping 通 VLAN10 的閘道 IP，但仍然能夠 Ping 通 DNS 1.1.1.1

欲了解每個功能和設定的更多詳情，請前往 下載中心 下載您的產品。