本文介紹如何在控制器模式下透過設定 ACL 來管理網路。
- Omada 硬體/軟體/雲端控制器 V5.0 或更高版本
VLAN(虛擬區域網路)技術將實體區域網路分割為多個邏輯區域網,即VLAN。同一VLAN內的主機可以直接通信,而不同VLAN內的主機則無法通信,從而增強了區域網路的安全性。當局域網路被劃分為多個VLAN時,廣播訊息將被限制在相同VLAN內,即每個VLAN形成一個廣播域,有效地限制了廣播域的範圍。透過使用VLAN,可以將不同的主機分配到不同的工作群組,並且同一工作群組內的主機可以位於不同的實體位置,這使得網路建置和維護更加便捷靈活。
拓樸範例:主機 A 和 B 屬於網路 A(VLAN 10),主機 D 和伺服器屬於網路 B(VLAN 20)。在這種情況下,通常會建立對應的 VLAN 介面和位址池,以便連接到不同網路的用戶端可以從不同的子網路取得 IP 位址。假設伺服器的 IP 位址為 192.168.20.10。
範例中的介面/連接埠配置如下:
|
轉變 |
開關 A |
開關 B |
開關 C |
||||
|
港口 |
1 |
2 |
3 |
1 |
其他的 |
1 |
其他的 |
|
出口規則 |
標籤 |
標籤 |
標籤 |
標籤 |
未標記 |
標籤 |
未標記 |
|
原生網路 |
1 |
1 |
1 |
1 |
10 |
1 |
20 |
|
VLAN |
1,10,20 |
1,10 |
1,20 |
1,10 |
10 |
1,20 |
20 |
網路 A 和網路 B 不允許相互通信,但允許網路 A 存取網路 B 中的特定伺服器。
步驟 1.設定網路連接埠和介面。
前往「設定」>「站點設定」>「有線網路」>「區域網路」,然後按一下「建立新區域網路」開始建立 VLAN 10 和 VLAN 20 的介面。
步驟2.建立兩個介面並指定相關參數。輸入子網路 IP 位址後,按一下「更新 IP 位址範圍」以更新此子網路的 IP 位址池範圍。其他選項保持預設設置,然後按一下“應用”完成操作。
步驟 3.為每個交換器建立連接埠設定文件,並將其綁定到對應的連接埠。
在上一個步驟的 LAN 設定頁面中,按一下「設定檔」>「建立新連接埠設定檔」以建立連接埠設定檔。建立 VLAN 介面時,控制器會自動為對應的網路(網路 A、網路 B)建立設定檔。然後,您可以將其直接套用到對應交換器的存取連接埠。
為交換器 B/C 的上行鏈路連接埠建立設定文件,參數如下:
開關 B:
開關 C:
然後將每個設定檔綁定到對應的連接埠:按一下導覽列中的「裝置」,然後前往「交換器 A」>「連接埠」>「操作」編輯交換器 A 的連接埠設定檔。將連接埠 1 綁定到設定檔“全部”,並將連接埠 2(連接到交換器 B)和連接埠 3(連接到交換器 C)分別綁定到交換器 B 和 C 的上行鏈路設定檔。
執行相同的操作,將交換器 B 和 C 的設定檔綁定到它們的上行埠和存取埠。
開關 B:
開關 C:
步驟 4.建立 ACL 以拒絕網路 A 和網路 B 之間的相互存取。
前往網站設定 > 網路安全性 > ACL > 切換 ACL,然後按一下建立新規則。
此規則的參數如下。在進階設定中啟用雙向存取控制,即可將此存取控制清單套用至交換器 B 和交換器 C 上的所有連接埠。
步驟 5.建立一個 ACL,讓網路 A 存取網路 B 中的特定伺服器。
前往「網站設定」>「設定檔」>「群組」>「建立新群組」,選擇「IP 群組」作為類型,然後輸入伺服器位址作為IP 子網路。若要新增多個 IP 位址,請按一下「新增子網路」。
步驟 6.建立一個 ACL,允許 VLAN 10 存取伺服器 IP 群組,並將此 ACL 套用至交換器 B 和 C 的所有連接埠。
注意:完成後,所有 ACL 條目如下所示。由於 ACL 的生效遵循自上而下的優先級,因此我們需要將兩個 A_to_B_Server_permit ACL 放在清單頂部。
前:
後:
您可以限制特定 VLAN(網路)對網際網路的存取,只允許其存取內部網路。
基於先前的拓撲結構完成網路配置後,假設需要滿足以下要求:連接到網路 A 的裝置無法存取互聯網,但可以存取其他內部網路。由於 TP-Link 交換器的 ACL 預設採用黑名單機制,因此需要建立一個允許網路 A 存取所有其他子網路的 ACL,然後再建立一個禁止所有裝置存取網路 A 的 ACL。
步驟 1.前往「網站設定」>「網路安全性」>「ACL」>「交換器 ACL」>「建立新規則」,並以下列方式設定參數,以允許網路 A 存取所有子網路:
步驟 2.將此 ACL 套用至交換器 B 上的所有連接埠。
建立一個存取控制清單 (ACL),拒絕所有對網路 A 的訪問,這可以透過IPGroup_Any來實現。同時,將此 ACL 套用至交換器 B 上的所有連接埠。
完成後,所有 ACL 條目如下所示:
您可以允許特定的 VLAN 存取互聯網,並限制其對內部網路的存取(訪客網路需求)。
根據之前的拓撲結構完成介面和連接埠配置。
步驟 1.建立一條存取控制清單 (ACL),禁止網路 A 存取所有其他子網路。參考場景 2,並將此 ACL 套用到交換器 B 的所有連接埠。
步驟 2.建立一個 ACL 以允許存取網路 A,也可以透過IPGroup_Any實現,並將其應用於交換器 B 的所有連接埠。
依照上述說明,針對常見場景執行 ACL 設定。
如需了解各項功能和配置的更多詳細信息,請前往下載中心下載您產品的使用手冊。
Related Documents
針對具有不同VLAN的多子網路的熱點認證
08-25-2020
12374如何設定TP-Link AP的多SSID(VLAN)以與TP-Link交換器搭配使用
06-29-202224001當 Omada 軟體控制器 (V4) 無法發現裝置時,我該怎麼辦?
07-23-202415454如何在Linux系統上安裝Omada SDN控制器(控制器版本高於4.1.5)
01-04-202224106