How to implement unidirectional VLAN access through ACL configuration on the Omada Gateway in Controller mode

Knowledgebase

FAQ

2023-09-19

應用場景

這個設定的目的是限制 IoT 裝置對 LAN (區域網路)的存取。這表示連接到 IoT 網路的裝置，如智慧設備或感應器，將無法與 LAN 網路中的裝置通訊或存取，LAN 網路通常包括了由使用者使用的電腦、伺服器和其他裝置。

另一方面，LAN 網路保留了與 IoT 設備存取和通訊的能力。這允許 LAN 網路內的使用者控制 IoT 設備並與其互動、收集資料或執行監控動作。

ER605 V2

TL-SG2210MP V4

EAP660 HD V3

Omada Software Controller (Omada 軟體控制器) V5.9

為了滿足這些需求，我們可以在路由器上設定單向/生效中 ACL 規則，防止 IoT 設備存取 LAN，並允許 LAN 存取 IoT 設備。設定如下：

1) 建立 VLAN 介面

2) 建立生效中的 ACL 規則

3) 為 IoT 設備建立帶有 VLAN 的 SSID

4) 驗證

在開始設定之前，我們需要使用控制器來納管 Omada 裝置。如果您在操作過程中遇到任何問題，請參考以下常見問題來排查：

步驟 1. 前往設定 > 有線網路 > 區域網路(LAN) 點選 +建立新的LAN 來建立 IoT 裝置的 VLAN 介面。

步驟 2. 前往 設定 > 網路安全性 > ACL> 路由器 ACL 來建立新的規則

方向： LAN-> LAN

規則：拒絕

協定：All

來源：IoT

目的地：VLAN10

狀態類型：自動

說明：我們建議將狀態類型設定為自動。如果選擇手動，請參考下圖。

符合狀態新的：符合初始狀態的連線。例如，SYN 封包到達 TCP 連線，或路由器僅接收一個方向的流量。

符合狀態已建立：符合已建立的連線。也就是說，防火牆已經看到了這個連線的雙向通訊。

符合狀態無效：符合行為為不符合預期之連接。

符合狀態相關的：符合主要連線的相關子連線，例如與 FTP 資料通道的連線。

步驟 3. 前往設定 > 無線網路 > 無線網路 > 點選 建立新的無線網路 並將 IoT 的 VLAN ID 設定為 40。

步驟 4. 確認

手機連接 'IoT' SSID，IP 位址為 192.168.40.1，而電腦的 IP 位址為 192.168.10.4。手機無法 ping 通電腦，但電腦可以 ping 通手機。