Belangrijke mededeling: |
VLAN's scheiden op een ZyWALL/USG
Handleiding:
1. Controleer of de VLAN's zich in dezelfde zone bevinden
Scenariobeschrijving:
Wanneer je verschillende VLAN's hebt geconfigureerd die allemaal tot dezelfde zone behoren (bijvoorbeeld LAN1), is het mogelijk dat de VLAN's met elkaar kunnen communiceren, zonder een route te configureren. Volg deze stapsgewijze handleiding om dit te voorkomen.
Opmerking:
De IP-adressen die worden gebruikt zijn slechts voorbeelden, gebruik alsjeblieft je eigen IP-adressen.
- Controleer of de VLAN's zich in dezelfde Zone bevinden
Ga naar Configuratie > Object > Zone > Systeem Standaard en kijk of twee of meer VLANs zich in dezelfde zone bevinden.
- VLAN's aanmaken
Ga naar Configuratie > Object > Adres/Geo IP > Adres. Maak nu voor elke VLAN een object aan. Klik op Toevoegen en geef de regel een naam (in dit voorbeeld VLAN10). Stel Adrestype in op SUBNET en typ het IP-adres en masker van de VLAN in. Herhaal deze stap voor AL je VLAN's.
- Stel de beleidsregel in
Ga naar Configuratie > Beveiligingsbeleid > Beleidscontrole > IPv4-configuratie. Stel nu de volgende stappen in: Klik op Toevoegen en geef de regel een naam zoals VLAN_BLOCK of iets dergelijks.
Als voorbeeld: Om het verkeer tussen VLAN10 en VLAN20 te blokkeren stel je de bron in op de aangemaakte VLAN10 en de bestemming op VLAN 20. De actie van de regel is "deny".
- Test het resultaat
Wanneer je nu een apparaat van VLAN10 naar VLAN20 probeert te pingen, heeft de Policy Control dit geweigerd. Als je naar Monitor > Log gaat, kun je hier zien dat de toegang werd geblokkeerd.