內容
這篇文章介紹了如何透過在控制器模式下設定交換器 ACL 來管理網路。
- Omada 硬體/軟體/雲端控制器 V5.0 或以上版本
VLAN(虛擬區域網路)技術將一個物理區域網路(LAN)劃分為多個邏輯區域網路,即 VLAN。處於同一 VLAN 的主機可以直接互相通信,而不同 VLAN 之間的主機則無法直接通訊,進而增加了區域網路的安全性。當一個區域網路被劃分為多個 VLAN 時,廣播封包將限制在同一 VLAN 內傳播,也就是說,每個 VLAN 產生一個廣播網域,這有效地限制了廣播網域的範圍。透過使用 VLAN,不同的主機可以被分配到不同的工作群組,同一工作群組中的主機可以位於不同的實體位置,這使得網路的建設與維護更加方便且擁有彈性。
拓樸範例:主機 A 和 B 屬於網路 A(VLAN 10),主機 D 和伺服器屬於網路 B(VLAN 20)。在這種情況下,通常會建立對應的 VLAN Interface 和位址 Pool,以便連接到不同網路的用戶端可以從不同的子網路取得 IP 位址。假設伺服器的 IP 位址是 192.168.20.10。
說明:本篇 FAQ 使用 v.5.15 版本控制器作為架構測試範例說明。
範例中的介面/連接埠設定如下:
|
交換器 |
交換器 A |
交換器 B |
交換器 C |
||||
|
連接埠 |
1 |
2 |
3 |
1 |
其他 |
1 |
其他 |
|
Egress Rule |
Tagged |
Tagged |
Tagged |
Tagged |
Untagged |
Tagged |
Untagged |
|
Native Network |
1 |
1 |
1 |
1 |
10 |
1 |
20 |
|
VLAN |
1,10,20 |
1,10 |
1,20 |
1,10 |
10 |
1,20 |
20 |
網路 A 與網路 B 之間不允許互相通訊,但網路 A 可以存取網路 B 中的特定伺服器。
步驟 1. 設定網路連接埠和介面。
前往 設定 > 有線&無線網路 > 區域網路 然後點擊「建立新 LAN」,開始建立 VLAN 10 和 VLAN 20 的介面。
步驟 2. 透過指定相關參數來建立兩個介面。輸入子網 IP 後,點擊 更新 IP 範圍 來更新該子網路的 IP 位址池範圍。其他選項保持預設,然後點擊 套用 來完成設定。
步驟 3. 為每個交換器建立連接埠設定檔,並將其綁定到對應的連接埠。
在上一個步驟區域網路設定頁面切換到交換器設定檔分頁,點選 建立新的連接埠設定檔 來建立連接埠埠設定檔。在建立 VLAN 介面時,控制器已經會自動為對應的網路(網路 A、網路 B)建立設定檔。所以在這邊您可以直接將它套用到對應交換器的 Access 埠即可。
為交換器 B/C的 Uplink 連接埠建立設定檔,參數如下:
交換器 B:
交換器 C:
接著,將每個設定檔綁定到對應的埠:在選單列選擇 設備 ,然後進入 交換器 A > 連接埠 > 編輯 來編輯交換器 A 的埠設定檔。將 Port1 綁定至 All 設定檔,並將 Port2(連接至交換器 B)和 Port3(連接至交換器 C)分別綁定至交換器 B 和交換器 C 的 Uplink 設定檔。
對交換器 B 和交換器 C 執行相同的操作,將它們的設定檔綁定到各自的 Uplink 埠和 Access 埠。
交換器 B:
交換器 C:
步驟 4. 建立一個 ACL 來拒絕網路 A 和網路 B 之間的互相存取。
前往 站點設定 > 網路安全性 > ACL > 交換器 ACL 然後點擊 建立新規則。
規則的參數如下。在進階設定中啟用「雙向」,將此 ACL 套用於交換器 B 和交換器 C 上的所有連接埠。
步驟 5. 建立一個 ACL 來允許網路 A 存取網路 B 中的特定伺服器。
前往 設定 > 基本設定檔 > 群組 > 建立新群組,選擇 IP 群組 為 類型,並在 IP 網段 欄位中輸入伺服器的 IP 位址。若要將多個 IP 加入群組,請點選 新增網段。
步驟 6. 建立一個 ACL,允許 VLAN 10 存取伺服器 IP 群組,並將這個 ACL 套用於交換器 B 和 C 的所有連接埠。
說明:完成後,所有的 ACL 項目如下。由於 ACL 依照自上而下的優先順序生效,我們需要將兩個 A_to_B_Server_允許 ACL 放在列表的最上方。
調整前:
調整後:
你可以限制特定 VLAN(網路)對網際網路的存取,只允許它存取內部網路。
在依據前述拓撲完成網路設定後,假設應該滿足這樣的需求:連接到網路 A 的裝置無法存取網際網路,但可以存取其他內部網路。由於 Omada 交換器 ACL 的預設黑名單機制,需要先建立一個允許從網路 A 到所有其他子網路的允許 ACL,然後再建立一個拒絕任何對網路 A 存取的 ACL。
步驟 1. 前往 站點設定 > 網路安全性 > ACL > 交換器 ACL > 建立新規則,並設定以下參數,以允許網路 A 存取所有子網路:
步驟 2. 將這個 ACL 套用於交換器 B 的所有連接埠。
建立一個 ACL,拒絕所有對網路 A 的存取,這可以透過 IPGroup_Any 來實現。將這個 ACL 套用到交換器 B上的所有連接埠。
完成後,所有 ACL 項目如下:
您可以允許特定 VLAN 存取網際網路,並限制其存取內部網路(訪客網路需求)。
依據先前的拓撲完成介面和連接埠設定。
步驟 1. 建立一個 ACL,拒絕網路 A 存取所有其他子網路。參考情境 2,並將此 ACL 套用於交換器 B 的所有連接埠。
步驟 2. 建立一個 ACL 來允許網路 A 存取網際網路,這也可以透過 IPGroup_Any 實現,並將其套用於交換器 B 的所有連接埠。
依照上述指示,進行常見情境的交換器 ACL 設定。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品的手冊。
相關文件
Omada 交換器上的 AVoIP 協定的建議設定方式(控制器模式)
09-13-2024
3568Omada 路由器如何透過設定 ACL 實現單向 VLAN 存取(控制器模式)
09-19-20232990關於 Omada 雲端控制器的常見問題
07-23-20243463如何透過 Omada AP 設定 ACL(控制器模式)
10-24-20244085故障排除:Omada AP 故障排除用的的常見 SSH 指令
08-05-20243525