Dôležité upozornenie: |
Oddelené siete VLAN v zariadení ZyWALL/USG
Príručka: V prípade, že sa v rámci projektu WANWAN (WANWAN) nachádza v sieti WANWAN (WANWAN), je potrebné, aby ste sa oboznámili s touto problematikou:
1. Skontrolujte, či sú siete VLAN v rovnakej zóne
3. Nastavenie pravidla politiky
Popis scenára:
Keď ste nakonfigurovali niekoľko sietí VLAN, ktoré patria do rovnakej zóny (napríklad LAN1), je možné, že tieto siete VLAN môžu navzájom komunikovať bez toho, aby ste nakonfigurovali trasu. Ak tomu chcete zabrániť, postupujte podľa tohto návodu krok za krokom.
Poznámka:
Použité adresy IP sú len príkladmi, použite svoje vlastné adresy IP.
- Skontrolujte, či sú siete VLAN v rovnakej zóne
Prejdite do položky Konfigurácia > Objekt > Zóna > Predvolené nastavenie systému a pozrite sa, či sú dve alebo viac sietí VLAN v rovnakej zóne takto.
- Vytvorenie VLAN
Prejdite do ponuky Konfigurácia > Objekt > Adresa/Geo IP > Adresa. Teraz vytvorte pre každú VLAN objekt. Kliknite na tlačidlo Pridať a dajte pravidlu názov (v tomto príklade VLAN10). Nastavte položku Address Type (Typ adresy) na hodnotu SUBNET (Sieť) a zadajte IP adresu a masku VLAN. Tento krok zopakujte pre VŠETKY siete VLAN.
- Nastavenie pravidla politiky
Prejdite do ponuky Konfigurácia > Bezpečnostné zásady > Kontrola zásad > Konfigurácia IPv4 . Teraz nastavte nasledujúce kroky: Kliknite na Pridať a pravidlo pomenujte napríklad VLAN_BLOCK alebo podobne.
Ako príklad uvedieme Ak chcete blokovať prevádzku medzi VLAN10 a VLAN20, nastavte zdroj na vytvorenú VLAN10 a cieľ na VLAN 20. Akcia pravidla je "deny".
- Otestujte výsledok
Keď sa teraz pokúsite odoslať ping na zariadenie z VLAN10 do VLAN20, Policy Control ho zamietol. Keď prejdete do položky Monitor > Log , môžete tu vidieť, že prístup bol zablokovaný.