Vigtig meddelelse: |
Separate VLAN'er på en ZyWALL/USG
Vejledning:
1. Tjek, om VLAN'erne er i samme zone.
Beskrivelse af scenariet:
Når du har konfigureret flere VLAN, som alle tilhører den samme zone (f.eks. LAN1), er det muligt, at VLAN'erne kan kommunikere med hinanden uden at konfigurere en rute. Følg denne trin-for-trin-guide for at forhindre dette.
Bemærk!
De anvendte IP-adresser er kun eksempler, brug venligst dine egne IP-adresser.
- Tjek, om VLAN'erne er i den samme zone
Gå til Konfiguration > Objekt > Zone > Systemstandard for at se, om to eller flere VLAN'er er i samme zone som dette.
- Oprettelse af VLANs
Gå til Konfiguration > Objekt > Adresse/Geo IP > Adresse. Opret nu et objekt for hvert VLAN. Klik på Tilføj, og giv reglen et navn (i dette eksempel VLAN10). Indstil Address Type til SUBNET, og indtast VLAN'ets IP-adresse og maske. Gentag dette trin for ALLE dine VLANs.
- Opsæt policy-reglen
Gå til Konfiguration > Sikkerhedspolitik > Politikkontrol > IPv4-konfiguration. Opsæt nu følgende trin: Klik på Tilføj , og giv reglen et navn som VLAN_BLOCK eller noget i den stil.
Som et eksempel: For at blokere trafikken mellem VLAN10 og VLAN20 skal du indstille kilden til det oprettede VLAN10 og destinationen til VLAN 20. Reglens handling er "deny".
- Test resultatet
Når du nu prøver at pinge en enhed fra VLAN10 til VLAN20, har Policy Control afvist det. Når du går til Monitor > Log, kan du se her, at adgangen blev blokeret.