Cómo configurar el control de acceso del enrutador TP-Link Omada en modo independiente y controlador

Una empresa opera varios departamentos en varios edificios. Cada edificio está equipado con un router SMB en la sala de servidores y un interruptor en cada piso.

¿Cómo puedo hacer eso?

Por ejemplo, para restringir las acciones de esos usuarios específicos en el departamento de I+D ubicado en el piso 3 del edificio 2, es necesario garantizar que estos usuarios de I+D solo puedan acceder a la red interna. Para el resto de usuarios del departamento de I+D no existe ninguna limitación.

Siga los pasos a continuación para configurar la regla ACL en el router SMB en el Edificio #2, aquí toma ER8411 como demostración:

1. Vaya a Preferencias > Grupo IP > Dirección IP en el router. Haga clic en +Agregar para agregar una nueva entrada de dirección IP.

Especifique el rango de direcciones IP como 192.168.0.32-192.168.0.63 para los usuarios específicos del departamento de I+D y haga clic en Aceptar .

Luego especifique el rango de direcciones IP para toda la red interna.

2. Configure el grupo IP para la dirección IP correspondiente en el grupo IP. De forma predeterminada, hay una entrada "IPGROUP_ANY" que cubre todas las IP y no se puede editar.

3. Vaya a Firewall > Control de acceso , haga clic en +Agregar y configure las reglas como se muestra a continuación.

El router procesa reglas secuencialmente para cada paquete. En la Lista de control de acceso, la regla con un ID más pequeño tiene mayor prioridad . Dado que el router evalúa las reglas comenzando desde la prioridad más alta, asegúrese de que la regla Permitir tenga el número de ID más pequeño que la regla Bloquear.

4. Verificación

Después de la configuración, estos usuarios del departamento de I+D no pueden acceder a la IP pública en ningún momento.

Todos los departamentos están en la misma red y limitan las acciones de los usuarios del departamento de I+D.

¿Cómo puedo hacer eso?

Por ejemplo, para limitar las acciones de los usuarios del departamento de I+D, se requiere que los usuarios de I+D no tengan acceso a Internet. Para otros departamentos no hay limitación.

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Configuración > Perfiles > Grupos . De forma predeterminada, hay una entrada que cubre todas las IP y no se puede editar. Haga clic en +Crear nuevo grupo para agregar una nueva entrada de grupo.

2. Especifique el nombre del grupo de IP como “I+D” y seleccione Grupo de IP como tipo.

Especifique la subred IP como 192.168.0.32/27. La subred IP representa el rango de direcciones IP que desea. En este ejemplo, 192.168.0.32 significa la dirección IP y /27 significa la cantidad de bits en la máscara. Haga clic en Aplicar .

3. Vaya a Configuración > Seguridad de red > ACL . En la pestaña ACL de puerta de enlace, haga clic en +Crear nueva regla .

Especifique el nombre como "Denegar I+D", marque Habilitar en el estado. Seleccione Dirección como LAN -> WAN , la política de reglas como Denegar , Protocolo como Todo , “ R&D ” como grupo de IP de origen , “ IPGROUP_ANY ” como grupo de IP de destino . Mantenga la sección de configuración avanzada como predeterminada, haga clic en Crear .

4. Verificación

Después de la configuración, estos usuarios del departamento de I+D no pueden acceder a la IP pública en ningún momento.

El artículo demuestra cómo restringir el acceso de los empleados a sitios web exclusivamente a través de HTTP en Internet en cualquier momento.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Firewall > Control de acceso en el router. Configure las siguientes tres entradas como se muestra.

1) Permitir el servicio HTTP para todos los orígenes y destinos .

2) Permitir el servicio DNS porque el servicio DNS siempre funciona junto con el servicio HTTP.

3) De forma predeterminada, todos los servicios están permitidos en las Reglas de acceso. Para bloquear otros servicios, bloquee Todos los servicios al final.

El router procesa reglas secuencialmente para cada paquete. En la Lista de control de acceso, la regla con un ID más pequeño tiene mayor prioridad . Dado que el router evalúa las reglas comenzando desde la prioridad más alta, asegúrese de que la regla Permitir tenga el número de ID más pequeño que la regla Bloquear .

2. Verificación

Después de la configuración, los empleados no pueden acceder a Internet a través de https.

El artículo demuestra cómo restringir el acceso de los empleados a sitios web exclusivamente a través de HTTP en Internet en cualquier momento.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Configuración > Perfiles > Grupos . De forma predeterminada, hay una entrada que cubre todas las IP y no se puede editar. Haga clic en +Crear nuevo grupo para agregar una nueva entrada de grupo.

2. Especifique el nombre del grupo de puertos IP como “oficina”, seleccione Grupo de puertos IP como tipo y elija Rango de puertos IP como Tipo de puerto IP.

Haga clic en + Agregar subred , especifique las subredes IP como 192.168.0.1/24. La subred IP representa el rango de direcciones IP que desea. En este ejemplo, 192.168.0.1 significa la dirección IP y /24 significa el número de bits de la máscara.

Especifique el puerto como puerto DNS 53 y HTTP 80 porque el servicio DNS siempre funciona junto con el servicio HTTP. Luego haga clic en Aplicar .

3. Vaya a Configuración > Seguridad de red > ACL . En la pestaña ACL de puerta de enlace, haga clic en +Crear nueva regla .

Especifique el nombre de la nueva regla como "permitHTTP", marque Habilitar en el estado. Seleccione Dirección como LAN -> WAN , la política de reglas como Permitir , Protocolo como Todo , “ oficina ” como grupo de puerto IP de origen , “ IPGROUP_ANY ” como grupo de IP de destino . Mantenga la sección de configuración avanzada como predeterminada, haga clic en Crear .

Nota: Solo las puertas de enlace Omada con ciertas versiones de firmware pueden establecer el estado de una regla ACL como deshabilitada. Asegúrese de que su puerta de enlace admita la función antes de adoptarla. La configuración del estado se perderá si la puerta de enlace adoptada no es compatible.

4. Especifique el nombre de la nueva regla como " bloquear otra", marque Habilitar en el estado. Seleccione Dirección como LAN -> WAN , la política de reglas como Denegar , Protocolo como Todo , “ LAN ” como red de origen , “ IPGROUP_ANY ” como grupo de IP de destino . Haga clic en Crear .

Todas las reglas son las que se muestran a continuación. Tenga en cuenta que la regla del permiso debe ser la primera regla .

5. Verificación

Después de la configuración, los empleados no pueden acceder a Internet a través de https.

Una empresa tiene dos departamentos: el departamento de I+D y el departamento de marketing, y se encuentran en subredes diferentes. El departamento de I+D tiene acceso a las computadoras en todas las VLAN para realizar copias de seguridad de los datos, mientras que las computadoras del departamento de marketing tienen restringido el acceso a la VLAN del departamento de I+D para mejorar la seguridad de los datos.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Red > LAN en el router, haga clic en +Agregar para crear una nueva red y complete la configuración de acuerdo con los requisitos de la red. Configure la dirección IP/máscara de subred como 192.168.10.1/255.255.255.0, el modo Normal, asigne VLAN 10 a la red y habilite el servidor DHCP.

Después de guardar, la configuración de red en el router se muestra a continuación.

2. Vaya a Red > VLAN para cambiar la configuración de VLAN.

Normalmente, después de crear una nueva red, todos los puertos LAN del router permanecerán UNTAG en la red predeterminada y se agregarán automáticamente a la TAG VLAN de la nueva red .

Según la topología de la red: se utiliza un conmutador no administrado para ampliar más puertos Ethernet, cambiar el puerto LAN de marketing (puerto 4) a UNTAG VLAN 10 y configurar el PVID en VLAN 10 , el puerto LAN 5 de R&D a UNTAG VLAN 30 y configurar el PVID a VLAN 30 respectivamente.

3. Vaya a Firewall > Control de acceso y haga clic en el botón +Agregar para crear la regla como se muestra a continuación. Tenga en cuenta que la interfaz " LAN -> LAN " significa una entrada ACL de tráfico entre redes. Esta regla impide que el departamento de marketing acceda al departamento de I+D.

Nota: Stateful ACL requiere el firmware compatible del router.

Nota: Recomendamos mantener el tipo de estados como configuración predeterminada. Si lo selecciona manualmente, consulte la siguiente imagen.

Nuevo : Haga coincidir las conexiones del estado inicial. Por ejemplo, un paquete SYN llega a una conexión TCP o el router solo recibe tráfico en una dirección.

Establecido : Coincide con las conexiones que se han establecido. Es decir, el firewall ha visto la comunicación bidireccional de esta conexión.

No válido : haga coincidir las conexiones que no se comportan como se esperaba.

Relacionado : Haga coincidir las subconexiones asociadas de una conexión principal, como una conexión a un canal de datos FTP.

4. Verificación

Después de la configuración, los dispositivos en la VLAN 10 no pueden hacer ping a los dispositivos en la VLAN 30, mientras que los dispositivos en la VLAN 30 pueden hacer ping a los dispositivos en la VLAN 10.

192.168.10.100 en VLAN10 no puede hacer ping a 192.169.30.100 en VLAN30 después de configurar ACL.

192.168.30.100 en VLAN30 aún puede acceder a 192.168.10.100 en VLAN10.

Una empresa tiene dos departamentos: el departamento de I+D y el departamento de marketing, y se encuentran en subredes diferentes. El departamento de I+D tiene acceso a las computadoras en todas las VLAN para realizar copias de seguridad de los datos, mientras que las computadoras del departamento de marketing tienen restringido el acceso a la VLAN del departamento de I+D para mejorar la seguridad de los datos.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Configuración > Redes cableadas > Redes LAN y haga clic en +Crear nueva LAN para crear interfaces VLAN para los dos departamentos.

Después de guardar, la configuración de red en el router se muestra a continuación.

2. Según la topología de la red: se utiliza un conmutador no administrado para ampliar más puertos Ethernet, por lo que debemos cambiar el puerto LAN de marketing (puerto 4) a UNTAG VLAN 10 y configurar el PVID a VLAN 10 , el puerto LAN de I+D 5 a UNTAG VLAN 30 y configurar el PVID a VLAN 30 respectivamente en el router.

Haga clic en el router Omada en Dispositivos , vaya a Puertos en la ventana emergente, haga clic en Editar en WAN/LAN3, cambie el PVID a 10 y haga clic en Aplicar .

Nota: cambiar el PVID del puerto requiere el firmware compatible.

3. Vaya a Configuración > Seguridad de red > ACL . En la pestaña ACL de puerta de enlace, haga clic en +Crear nueva regla .

Especifique el nombre de la nueva regla como " blockvlan10tovlan30 ", marque Habilitar en estado. Seleccione Dirección como LAN -> LAN , la política de regla como Denegar , Protocolo como Todo , “ vlan10 ” como red de origen , “ vlan30 ” como red de destino . Mantenga la sección de configuración avanzada como predeterminada, haga clic en Crear .

Nota: Recomendamos mantener el tipo de estados como configuración predeterminada. Si lo selecciona manualmente, consulte la siguiente imagen.

Coincidir estado Nuevo : Coincide con las conexiones del estado inicial. Por ejemplo, un paquete SYN llega a una conexión TCP o el router solo recibe tráfico en una dirección.

Estado de coincidencia establecido : haga coincidir las conexiones que se han establecido. Es decir, el firewall ha visto la comunicación bidireccional de esta conexión.

Coincidir con el estado relacionado : haga coincidir las subconexiones asociadas de una conexión principal, como una conexión a un canal de datos FTP.

Estado de coincidencia no válido : haga coincidir las conexiones que no se comportan como se esperaba.

4. Verificación

Después de la configuración, los dispositivos en la VLAN 10 no pueden hacer ping a los dispositivos en la VLAN 30, mientras que los dispositivos en la VLAN 30 pueden hacer ping a los dispositivos en la VLAN 10.

Una empresa prohíbe a los empleados del departamento de I+D y del departamento de marketing acceder a los recursos de cada uno, pero un administrador del departamento de I+D puede acceder al departamento de marketing.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Cree múltiples redes en el router

1) Vaya a Red > LAN en la interfaz web del router, haga clic en +Agregar para crear una nueva red y complete la configuración según los requisitos de la red. Establezca la dirección IP/máscara de subred como 192.168.10.1/255.255.255.0, el modo Normal, asigne la VLAN 10 a la red y habilite el servidor DHCP .

Después de guardar, la configuración de red en el router se muestra a continuación.

2) Vaya a Red > VLAN para confirmar la configuración en cada puerto.

Normalmente, después de crear una nueva red, todos los puertos LAN del router permanecerán UNTAG en la red predeterminada y se agregarán automáticamente a la TAG VLAN de la nueva red .

Dado que un conmutador administrado se conecta al router, mantenga la configuración predeterminada para cada puerto.

2. Cree VLAN en el conmutador

1) Vaya a Funciones L2 > VLAN > VLAN 802.1Q > Configuración de VLAN en la interfaz web del conmutador administrado , cree VLAN 10 y VLAN 30; agregue el puerto sin etiquetar 3-5 y el puerto de enlace ascendente etiquetado 1 a la VLAN 10; agregue el puerto sin etiquetar 6-8 y el puerto de enlace ascendente etiquetado 1 a la VLAN 30.

2) Vaya a Funciones L2 > VLAN > VLAN 802.1Q > Configuración de puerto en el conmutador, establezca el valor de PVID en 10 para los puertos 3-5 y 30 para los puertos 6-8 respectivamente. Después de eso, haga clic en la página web superior derecha para guardar la configuración.

3. Configure ACL en el router

1) Vaya a Preferencias > Grupo IP > Dirección IP en el router . Haga clic en +Agregar para agregar una nueva entrada de dirección IP para el administrador en el departamento de I+D.

Especifique la subred IP como 192.168.30.100/32. La subred IP representa el rango de direcciones IP. En este ejemplo, 192.168.30.100 significa la dirección IP y /32 significa la cantidad de bits en la máscara. Haga clic en Aceptar .

De forma predeterminada, hay una entrada "IP_LAN" que cubre todas las direcciones IP del router y no se puede editar.

2) Configure el grupo IP para la dirección IP correspondiente en el grupo IP.

3) Vaya a Firewall > Control de acceso en el router y haga clic en el botón +Agregar para crear la regla como se muestra a continuación.

La dirección TODO incluye entrada WAN, LAN->WAN, LAN->LAN. Nota Direction ALL requiere que el router se actualice al firmware más reciente.

Luego cree una regla de bloqueo entre VLAN10 y VLAN30.

El router procesa reglas secuencialmente para cada paquete. En la Lista de control de acceso, la regla con un ID más pequeño tiene mayor prioridad . Dado que el router evalúa las reglas comenzando desde la prioridad más alta, asegúrese de que la regla Permitir tenga el número de ID más pequeño que la regla Bloquear . Todas las reglas deben ser las siguientes:

4. Verificación

Después de la configuración anterior, VLAN10 y VLAN30 no pueden acceder entre sí mientras que el administrador con 192.168.30.100 puede acceder a VLAN10.

192.168.10.100 en VLAN10 no puede hacer ping a 192.168.30.100 en VLAN30

El administrador con 192.168.30.100 puede acceder a 192.168.10.100 en VLAN10.

Una empresa prohíbe a los empleados del departamento de I+D y del departamento de marketing acceder a los recursos de cada uno, pero un administrador del departamento de I+D puede acceder al departamento de marketing.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Vaya a Configuración > Redes cableadas > Redes LAN y haga clic en +Crear nueva LAN para crear interfaces VLAN para los dos departamentos.

Después de guardar, la configuración de red en el router se muestra a continuación.

2. Vaya a Configuración > Redes cableadas > LAN > Perfiles , podemos ver todos los perfiles como se muestra a continuación.

Cuando se crea una red, el sistema creará automáticamente un perfil con el mismo nombre y configurará la red como la red nativa para el perfil. En este perfil, la red en sí está configurada como Redes sin etiquetar , mientras que ninguna red está configurada como Redes etiquetadas. El perfil se puede ver y eliminar, pero no editar.

Y el perfil TODO agregará automáticamente la nueva red como etiquetada .

3. Haga clic en el interruptor en Dispositivos , vaya a Puertos en la ventana emergente, haga clic en Editar en el puerto 3 y luego aplique Perfil vlan10. Luego haga el mismo proceso para otros puertos. Una vez terminado, conecte las computadoras al conmutador correspondientemente.

4. Vaya a Configuración > Seguridad de red > ACL . En la pestaña ACL de puerta de enlace, haga clic en +Crear nueva regla .

Especifique el nombre de la nueva regla como "bidireccional", marque Habilitar en el estado. Seleccione Dirección como LAN -> LAN , la política de regla como Denegar , Protocolo como Todo , “ vlan10 ” como red de origen , “ vlan30 ” como red de destino . Habilite Bidireccional en Configuración avanzada , haga clic en Crear .

Luego generará la regla del verso automáticamente .

5. Luego cree otra regla de bloqueo desde vlan10 y vlan30 a la página de administración de puerta de enlace.

Especifique el nombre de la nueva regla como " blockGUI ", marque Habilitar en el estado. Seleccione Dirección como LAN -> LAN , la política de reglas como Denegar , Protocolo como Todo , “vlan10” y “ vlan30 ” como la red de origen , “ Página de administración de puerta de enlace ” como el tipo de destino . Mantenga la configuración avanzada como predeterminada, haga clic en Crear .

6. Verificación

Después de la configuración anterior, VLAN10 no puede acceder a VLAN30.

VLAN30 no puede acceder a VLAN10

No se puede acceder a la IP de la puerta de enlace en cada interfaz.

Para mejorar la seguridad, una empresa ha implementado medidas para evitar que los visitantes de la habitación de invitados accedan tanto a la oficina como a la sala de servidores.

¿Cómo puedo hacer eso?

Siga los pasos a continuación para configurarlo, aquí toma ER8411 como demostración:

1. Cree múltiples redes en el router

1) Vaya a Red > LAN en la interfaz web del router, haga clic en +Agregar para crear una nueva red y complete la configuración según los requisitos de la red. Establezca la dirección IP/máscara de subred como 192.168.10.1/255.255.255.0, el modo Normal, asigne la VLAN 10 a la red y habilite el servidor DHCP .

Después de guardar, la configuración de red en el router se muestra a continuación.

2) Vaya a Red > VLAN para confirmar la configuración en cada puerto.

Normalmente, después de crear una nueva red, todos los puertos LAN del router permanecerán UNTAG en la red predeterminada y se agregarán automáticamente a la TAG VLAN de la nueva red .

Dado que un conmutador inteligente sencillo se conecta al router, mantenga la configuración predeterminada para cada puerto.

2. Cree VLAN en el conmutador

1) Vaya a VLAN > VLAN 802.1Q para cargar la siguiente página en el conmutador inteligente fácil . Habilite la función VLAN 802.1Q. Agregue el puerto de enlace ascendente 1 como puerto etiquetado y el puerto 10-16 a la VLAN 10, luego haga clic en Aplicar .

Nota: Solo después de habilitar la función VLAN 802.1Q, se pueden agregar o modificar VLAN.

2) Vaya a VLAN > Configuración de PVID de VLAN 802.1Q para cargar la siguiente página. De forma predeterminada, el PVID de todos los puertos es 1. Especifique el PVID del puerto 10-16 como 10 y haga clic en Aplicar .

3. Configure ACL en el router

1) Vaya a Firewall > Control de acceso en el router y haga clic en el botón +Agregar para crear la regla como se muestra a continuación. Tenga en cuenta que la interfaz " LAN -> LAN " significa una entrada ACL de tráfico entre redes.

“!vlan10” significa todas las interfaces de red excepto VLAN10. Cuando se crea una red, el sistema genera automáticamente un nombre de red agregando un signo de exclamación (“!”) al principio. Este signo de exclamación significa que la red incluye todas las interfaces excepto la especificada.

“Yo” significa toda la IP de la puerta de enlace de la interfaz, aquí significa LAN predeterminada 192.168.0.1 y puerta de enlace VLAN10 192.168.10.1.

2. Verificación

Después de la configuración, los dispositivos de la habitación de invitados no pueden acceder a los dispositivos de la oficina ni a la sala de servidores.

192.168.10.100 en VLAN10 no puede hacer ping a 192.168.0.100 en VLAN1 y no puede hacer ping a la puerta de enlace de VLAN1.

192.168.10.100 en VLAN10 no puede hacer ping a la IP de la puerta de enlace de VLAN10, pero aún puede hacer ping al DNS público 1.1.1.1