Важно известие: |
Разделяне на VLAN в ZyWALL/USG
Ръководство: Включете се в списъка на потребителите, които искат да получат информация за своите услуги:
1. Проверете дали VLAN са в една и съща зона
3. Създаване на правило за политика
Описание на сценария:
Когато сте конфигурирали няколко VLAN, които принадлежат към една и съща зона (например LAN1), е възможно VLAN да комуникират помежду си, без да се конфигурира маршрут. Следвайте това ръководство стъпка по стъпка, за да предотвратите това.
Забележка:
Използваните IP адреси са само примери, моля, използвайте свои собствени IP адреси.
- Проверете дали VLAN са в една и съща зона
Отидете в Configuration (Конфигурация) > Object (Обект) > Zone (Зона) > System Default (Система по подразбиране) погледнете дали две или повече VLAN са в една и съща зона по следния начин.
- Създаване на VLAN
Отидете в Configuration (Конфигурация) > Object (Обект) > Address/Geo IP (Адрес/Гео IP) > Address (Адрес). Сега създайте за всяка VLAN обект. Щракнете върху Add (Добавяне) и дайте име на правилото (в този пример VLAN10). Задайте Address Type (Тип на адреса) на SUBNET (Мрежа) и въведете IP адреса и маската на VLAN. Повторете тази стъпка за ВСИЧКИ ваши VLANs.
- Настройте правилото на политиката
Отидете в Конфигурация > Политика за сигурност > Контрол на политиката > Конфигурация на IPv4. Сега настройте следните стъпки: Щракнете върху Add (Добавяне) и дайте на правилото име като VLAN_BLOCK или друго.
Като пример: За да блокирате трафика между VLAN10 и VLAN20, задайте източника на създадената VLAN10, а дестинацията - на VLAN 20. Действието на правилото е "deny".
- Тествайте резултата
Когато сега се опитате да пингнете устройство от VLAN10 към VLAN20, контролът на политиката го е отхвърлил. Когато отидете в Monitor (Монитор) > Log (Дневник) , можете да видите тук, че достъпът е бил блокиран.