Описание сценария:
Когда настроено несколько VLAN, принадлежащие к одной и той же зоне (например, LAN1), , они могут связываться друг с другом без настройки маршрутизации. Следуйте этому пошаговому руководству, чтобы изолировать такие VLAN интерфейсы между собой.
Пример топологии:
Замечания:
Используемые IP-адреса являются только примерами, используйте собственные IP-адреса в локальной сети.
- Проверьте, принадлежат ли VLAN интерфейсы к одной и той же зоне
Перейдите в раздел CONFIGURATION>Object>Zone>System Default, проверьте, находятся ли две или более VLAN в одной Зоне, как на примере:
- Создание объекта
Перейдите в раздел CONFIGURATION>Object>Address/Geo IP>Address. Теперь создайте для каждой VLAN адрес-объект. Нажмите кнопку Add и присвойте правилу имя (в этом примере VLAN10). Установите для параметра «Address Type» значение «SUBNET » и введите IP-адрес и маску VLAN. Повторите этот шаг для ВСЕХ VLAN интерфейсов.
- Установите правило политики безопасности
Перейдите в раздел CONFIGURATION>Security Policy>Policy Control>IPv4 Configuration. Теперь настройте следующие шаги: Нажмите «Add » и присвойте правилу имя, к примеру, VLAN_BLOCK. Например, чтобы заблокировать VLAN10 и VLAN20, установите в качестве источника созданный объект - VLAN10, а в качестве места назначения - VLAN 20. Действие правила - «deny»
- Проверьте результат
Теперь, когда попытаетесь пропинговать устройство из VLAN20 в VLAN10, шлюз отбросит icmp пакет. В разделе «Monitor>Log» можно увидеть, что доступ заблокирован политиками безопасности.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.