Wichtiger Hinweis: |
Getrennte VLANs auf einer ZyWALL/USG
Anleitung:
1. Prüfen Sie, ob sich die VLANs in der gleichen Zone befinden.
Beschreibung des Szenarios:
Wenn Sie mehrere VLANs konfiguriert haben, die alle zur gleichen Zone gehören (z. B. LAN1), ist es möglich, dass die VLANs miteinander kommunizieren können, ohne dass eine Route konfiguriert wurde. Befolgen Sie diese Schritt-für-Schritt-Anleitung, um dies zu verhindern.
Beachten Sie:
Die verwendeten IP-Adressen sind nur Beispiele, bitte verwenden Sie Ihre eigenen IP-Adressen.
- Prüfen Sie, ob sich die VLANs in der gleichen Zone befinden
Gehen Sie zu Konfiguration > Objekt > Zone > Systemstandard und prüfen Sie, ob sich zwei oder mehr VLANs in derselben Zone befinden wie hier.
- VLANs erstellen
Gehen Sie zu Konfiguration > Objekt > Adresse/Geo IP > Adresse. Erstellen Sie nun für jedes VLAN ein Objekt. Klicken Sie auf Hinzufügen und geben Sie der Regel einen Namen (in diesem Beispiel VLAN10). Setzen Sie den Adresstyp auf SUBNET und geben Sie die IP-Adresse und Maske des VLANs ein. Wiederholen Sie diesen Schritt für ALLE Ihre VLANs.
- Einrichten der Richtlinienregel
Gehen Sie zu Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle > IPv4-Konfiguration. Führen Sie nun die folgenden Schritte aus: Klicken Sie auf Hinzufügen und geben Sie der Regel einen Namen wie VLAN_BLOCK oder ähnlich.
Ein Beispiel: Um den Verkehr zwischen VLAN10 und VLAN20 zu blockieren, setzen Sie die Quelle auf das erstellte VLAN10 und das Ziel auf VLAN 20. Die Aktion der Regel ist "verweigern".
- Testen Sie das Ergebnis
Wenn Sie nun versuchen, ein Gerät von VLAN10 nach VLAN20 anzupingen, hat die Richtlinienkontrolle dies abgelehnt. Wenn Sie zu Monitor > Log gehen , können Sie hier sehen, dass der Zugriff blockiert wurde.