컨트롤러 모드의 Omada 게이트웨이에서 ACL 구성을 통해 단방향 VLAN 액세스를 구현하는 방법
적용 시나리오
다음 구성의 목적은 IoT 장치의 LAN 네트워크로의 액세스를 제한하기 위함입니다. 즉, 스마트 장치나 센서와 같이 IoT 네트워크에 연결된 장치들이 LAN 네트워크 상에 있는 장치(일반적으로 컴퓨터, 서버 및 이외의 사용자 장치로 구성)와 통신 및 액세스 할 수 없도록 하기 위함입니다.
반면에, LAN 네트워크는 IoT 장치와 통신 및 액세스를 할 수 있도록 유지됩니다. 이로서 LAN 네트워크상의 사용자는 IoT 장치에 대한 제어 및 상호동작, 데이터 수집 및 모니터링 작업을 수행할 수 있습니다.
적용 장치
ER605 V2
TL-SG2210MP V4
EAP660 HD V3
Omada 소프트웨어 컨트롤러 V5.9
구성 계획
이런 요구사항을 만족하기 위해 단방향/Stateful ACL 규칙을 라우터에 구성하여 IoT 장치의 LAN 액세스를 차단하고 LAN의 IoT 장치 액세스를 허용할 수 있습니다. 구성 개요는 다음과 같습니다.
1) VLAN 인터페이스 생성
2) Stateful ACL 규칙 생성
3) IOT 장치를 위한 VLAN을 포함하는 SSID 생성
4) 검증
구성 절차
구성을 시작하기 전에 컨트롤러를 통해 Omada 장치를 관리해야 합니다. 연동 시 문제가 발생한 경우 다음 FAQ를 참조해 문제를 해결하십시오.
- Omada 소프트웨어 컨트롤러 (V4)가 장치를 발견하지 못하는 경우 어떻게 해야 하나요?
- Omada 소프트웨어 컨트롤러 OC200이 Omada EAP와 연동할 수 없는 경우 어떻게 해야 하나요?
1단계. 설정> 유선 네트워크 > LAN으로 이동하고 IoT 장치를 위한 VLAN 인터페이스를 생성하기 위해 + 새 LAN 생성을 클릭합니다.
2단계. 설정 > 네트워크 보안 > ACL > 게이트웨이 ACL로 이동하여 새 규칙을 생성합니다.
방향: LAN-> LAN
정책: 거부
프로토콜: 모두
소스: IOT
목적지: LAN
상태 유형: 자동
참고: 상태 유형을 자동으로 유지하는 것을 권장합니다. 수동을 선택할 경우, 다음 이미지를 참고하십시오.
신규 상태와 일치: 초기 상태의 연결과 매칭합니다. 예를 들어, SYM 패킷이 TCP 연결에서 수신되거나 라우터가 한 방향으로만 트래픽을 수신하는 것입니다.
설정된 상태와 일치: 이미 설정된 연결과 매칭합니다. 즉, 방화벽은 이 연결의 양방향 통신을 확인했습니다.
관련된 상태와 일치: FTP 데이터 채널로의 연결과 같이 메인 연결과 관련된 하위 연결과 매칭합니다.
유효하지 않은 상태와 일치: 예상대로 동작하지 않는 연결과 매칭합니다.
3단계. 설정 > 무선 네트워크 > WLAN로 이동하고 새 SSID 생성을 클릭한 다음 IoT 장치들을 위한 VLAN ID를 20으로 설정합니다.
4단계. 검증
휴대폰이 'IOT' SSID로 연결했으며 IP 주소는 192.168.20.99이고 컴퓨터는 IP 주소가 192.168.0.100입니다. 휴대폰은 컴퓨터에 ping을 보낼 수 없으나 컴퓨터는 휴대폰에 ping을 보낼 수 있습니다.
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.