Omada 交換器上的常見場景 ACL 設定方式(控制器模式)

TL-SG2008P , TL-SG3452X , SG3452XMPP , TL-SG2218P , TL-SG3452XP , TL-SG2016P , SG2210XMP-M2 , SG3428XPP-M2 , SG3428XMPP , ER7406 , TL-SG2210P , SG2210MP , TL-SX3008F , ER7206 , ER8411 , TL-SL2428P , TL-SX3016F , SG2218 , SG3428 , TL-SG3452P , TL-SG3428X , ER605 , SG3218XP-M2 , SL2428P , TL-SG3428X-M2 , SG3210X-M2 , TL-SG3428XF , ER707-M2 , ER7412-M2 , TL-SG2210MP , SG3428X-M2 , SG3210 , SG3452 , TL-SG3428XPP-M2 , SX3032F , SG3452X , SG3210XHP-M2 , TL-SG3210XHP-M2 , SG2008 , TL-SG2428P , ER7212PC , SG3428XF , TL-SG2452 , SG2005P-PD , SG2428LP , SX3008F , SG3428MP , SG3428X , SG3452P , SX3016F , TL-SG3428X-UPS , SG2218P , SG2428P , SG2008P , SG3452XP , SG2452LP , TL-SG3428 , TL-SG2218 , SG2210P , SG2016P , TL-ER7206 , TL-SG3428MP , TL-SG2008 , ER706W-4G , TL-SG3210 , TL-SG3452 , ER605W , TL-SX3206HPP , SG3428XMP , TL-SG3428XMP , SX3206HPP , ER706W
Recent updates may have expanded access to feature(s) discussed in this FAQ. Visit your product's support page, select the correct hardware version for your device, and check either the Datasheet or the firmware section for the latest improvements added to your product. Please note that product availability varies by region, and certain models may not be available in your region.
內容
這篇文章介紹了如何透過在控制器模式下設定交換器 ACL 來管理網路。
- Omada 硬體/軟體/雲端控制器 V5.0 或以上版本
VLAN(虛擬區域網路)技術將一個物理區域網路(LAN)劃分為多個邏輯區域網路,即 VLAN。處於同一 VLAN 的主機可以直接互相通信,而不同 VLAN 之間的主機則無法直接通訊,進而增加了區域網路的安全性。當一個區域網路被劃分為多個 VLAN 時,廣播封包將限制在同一 VLAN 內傳播,也就是說,每個 VLAN 產生一個廣播網域,這有效地限制了廣播網域的範圍。透過使用 VLAN,不同的主機可以被分配到不同的工作群組,同一工作群組中的主機可以位於不同的實體位置,這使得網路的建設與維護更加方便且擁有彈性。
拓樸範例:主機 A 和 B 屬於網路 A(VLAN 10),主機 D 和伺服器屬於網路 B(VLAN 20)。在這種情況下,通常會建立對應的 VLAN Interface 和位址 Pool,以便連接到不同網路的用戶端可以從不同的子網路取得 IP 位址。假設伺服器的 IP 位址是 192.168.20.10。
說明:本篇 FAQ 使用 v.5.15 版本控制器作為架構測試範例說明。
範例中的介面/連接埠設定如下:
交換器 |
交換器 A |
交換器 B |
交換器 C |
||||
連接埠 |
1 |
2 |
3 |
1 |
其他 |
1 |
其他 |
Egress Rule |
Tagged |
Tagged |
Tagged |
Tagged |
Untagged |
Tagged |
Untagged |
Native Network |
1 |
1 |
1 |
1 |
10 |
1 |
20 |
VLAN |
1,10,20 |
1,10 |
1,20 |
1,10 |
10 |
1,20 |
20 |
網路 A 與網路 B 之間不允許互相通訊,但網路 A 可以存取網路 B 中的特定伺服器。
步驟 1. 設定網路連接埠和介面。
前往 設定 > 有線&無線網路 > 區域網路 然後點擊「建立新 LAN」,開始建立 VLAN 10 和 VLAN 20 的介面。
步驟 2. 透過指定相關參數來建立兩個介面。輸入子網 IP 後,點擊 更新 IP 範圍 來更新該子網路的 IP 位址池範圍。其他選項保持預設,然後點擊 套用 來完成設定。
步驟 3. 為每個交換器建立連接埠設定檔,並將其綁定到對應的連接埠。
在上一個步驟區域網路設定頁面切換到交換器設定檔分頁,點選 建立新的連接埠設定檔 來建立連接埠埠設定檔。在建立 VLAN 介面時,控制器已經會自動為對應的網路(網路 A、網路 B)建立設定檔。所以在這邊您可以直接將它套用到對應交換器的 Access 埠即可。
為交換器 B/C的 Uplink 連接埠建立設定檔,參數如下:
交換器 B:
交換器 C:
接著,將每個設定檔綁定到對應的埠:在選單列選擇 設備 ,然後進入 交換器 A > 連接埠 > 編輯 來編輯交換器 A 的埠設定檔。將 Port1 綁定至 All 設定檔,並將 Port2(連接至交換器 B)和 Port3(連接至交換器 C)分別綁定至交換器 B 和交換器 C 的 Uplink 設定檔。
對交換器 B 和交換器 C 執行相同的操作,將它們的設定檔綁定到各自的 Uplink 埠和 Access 埠。
交換器 B:
交換器 C:
步驟 4. 建立一個 ACL 來拒絕網路 A 和網路 B 之間的互相存取。
前往 站點設定 > 網路安全性 > ACL > 交換器 ACL 然後點擊 建立新規則。
規則的參數如下。在進階設定中啟用「雙向」,將此 ACL 套用於交換器 B 和交換器 C 上的所有連接埠。
步驟 5. 建立一個 ACL 來允許網路 A 存取網路 B 中的特定伺服器。
前往 設定 > 基本設定檔 > 群組 > 建立新群組,選擇 IP 群組 為 類型,並在 IP 網段 欄位中輸入伺服器的 IP 位址。若要將多個 IP 加入群組,請點選 新增網段。
步驟 6. 建立一個 ACL,允許 VLAN 10 存取伺服器 IP 群組,並將這個 ACL 套用於交換器 B 和 C 的所有連接埠。
說明:完成後,所有的 ACL 項目如下。由於 ACL 依照自上而下的優先順序生效,我們需要將兩個 A_to_B_Server_允許 ACL 放在列表的最上方。
調整前:
調整後:
你可以限制特定 VLAN(網路)對網際網路的存取,只允許它存取內部網路。
在依據前述拓撲完成網路設定後,假設應該滿足這樣的需求:連接到網路 A 的裝置無法存取網際網路,但可以存取其他內部網路。由於 Omada 交換器 ACL 的預設黑名單機制,需要先建立一個允許從網路 A 到所有其他子網路的允許 ACL,然後再建立一個拒絕任何對網路 A 存取的 ACL。
步驟 1. 前往 站點設定 > 網路安全性 > ACL > 交換器 ACL > 建立新規則,並設定以下參數,以允許網路 A 存取所有子網路:
步驟 2. 將這個 ACL 套用於交換器 B 的所有連接埠。
建立一個 ACL,拒絕所有對網路 A 的存取,這可以透過 IPGroup_Any 來實現。將這個 ACL 套用到交換器 B上的所有連接埠。
完成後,所有 ACL 項目如下:
您可以允許特定 VLAN 存取網際網路,並限制其存取內部網路(訪客網路需求)。
依據先前的拓撲完成介面和連接埠設定。
步驟 1. 建立一個 ACL,拒絕網路 A 存取所有其他子網路。參考情境 2,並將此 ACL 套用於交換器 B 的所有連接埠。
步驟 2. 建立一個 ACL 來允許網路 A 存取網際網路,這也可以透過 IPGroup_Any 實現,並將其套用於交換器 B 的所有連接埠。
依照上述指示,進行常見情境的交換器 ACL 設定。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品的手冊。
相關 FAQ
這篇faq是否有用?
您的反饋將幫助我們改善網站
What’s your concern with this article?
- Dissatisfied with product
- Too Complicated
- Confusing Title
- Does not apply to me
- Too Vague
- 其他
謝謝
感謝您的反饋。
點擊此處與TP-Link技術支持聯繫。
基本 Cookies
These cookies are necessary for the website to function and cannot be deactivated in your systems.
TP-Link
accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType
Livechat
__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID
Youtube
id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ
分析和行銷 Cookies
Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.
The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.
Google Analytics & Google Tag Manager
_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>
Google Ads & DoubleClick
test_cookie, _gcl_au
Meta Pixel
_fbp
Crazy Egg
cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs
lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or