Важное уведомление: |
Разделение виртуальных локальных сетей на ZyWALL/USG
Руководство:
1. Проверьте, находятся ли VLAN в одной зоне.
2. Создание виртуальных локальных сетей
Описание сценария:
Если вы настроили несколько VLAN, которые принадлежат к одной зоне (например, LAN1), возможно, что VLAN могут взаимодействовать друг с другом без настройки маршрута. Чтобы предотвратить это, следуйте данному пошаговому руководству.
Примечание:
Используемые IP-адреса являются лишь примерами, используйте свои собственные IP-адреса.
- Проверьте, находятся ли виртуальные локальные сети в одной зоне.
Перейдите в раздел Конфигурация > Объект > Зона > Система по умолчанию и посмотрите, не находятся ли две или более VLAN в одной зоне, как показано здесь.
- Создание виртуальных локальных сетей
Перейдите в меню Конфигурация > Объект > Адрес/Гео IP > Адрес. Теперь создайте для каждой VLAN свой объект. Нажмите Add (Добавить ) и дайте правилу имя (в данном примере VLAN10). Установите Тип адреса на SUBNET и введите IP-адрес и маску VLANs. Повторите этот шаг для всех ваших VLAN.
- Настройте правило политики
Перейдите в раздел Конфигурация > Политика безопасности > Контроль политики > Конфигурация IPv4. Теперь выполните следующие действия: Нажмите на Add (Добавить ) и дайте правилу имя, например VLAN_BLOCK или что-то в этом роде.
Например: Чтобы заблокировать трафик между VLAN10 и VLAN20, установите источник в созданную VLAN10, а пункт назначения - в VLAN 20. Действие правила - "запретить".
- Проверьте результат
Когда вы теперь пытаетесь пропинговать устройство из VLAN10 в VLAN20, Policy Control отклоняет его. Перейдя в Monitor > Log, вы увидите, что доступ был заблокирован.