Как сделать больше подсетей в одном профиле LAN (для Vigor3900/2960)

Последние изменения: 25.05.2022

Vigor3900 и Vigor 2960 поддерживают несколько подсетей в одном профиле VLAN, что позволяет сетевому администратору разделять хосты LAN на разные IP-подсети без настройки VLAN на основе тегов или портов. В этой статье показано, как настроить эту функцию. Однако трафик между этими подсетями будет проходить по умолчанию. Необходимо настроить правила брандмауэра, если трафик запрещен.

1. Перейдите в  LAN >> General Setup и нажмите  Edit  , чтобы настроить профиль LAN.

2. Нажмите «Добавить» в поле «Дополнительная подсеть».

  1. Укажите IP роутера в этой подсети в поле IP
  2. Выберите Маску подсети в Subnet Mask .
  3. Выберите «NAT» для Mode
  4. Отключите DHCP, если в профиле LAN есть другой DHCP-сервер.
  5. Вы можете изменить начальный IP-адрес DHCP и конечный IP-адрес, если DHCP включен
  6. Нажмите Apply , чтобы сохранить

Теперь узлы могут решать, к какой подсети принадлежать, используя DHCP и получая IP-адрес в подсети 192.168.1.0/24 или вручную настраивая статический IP-адрес в подсети 192.168.3.0/24.

Блокировать доступ хостов друг к другу

Предположим, что есть два узла локальной сети, и их IP-адреса — 192.168.1.10 и 192.168.3.3. Они могут получить доступ друг к другу по умолчанию, что можно проверить с помощью команды ping.

Чтобы заблокировать трафик между ними, нам нужно будет настроить правила брандмауэра. Чтобы настроить правило брандмауэра:

1. Перейдите в  Objects Setting >> IP Object и добавьте два IP-объекта, один для подсети 192.168.1.0/24, а другой для подсети 192.168.3.0/24.

  1. Дайте profile name
  2. Выберите «Подсеть» для Address Type.
  3. Введите IP-адрес сети в поле «Start IP Address ».
  4. Укажите маску подсети
  5. Нажмите Apply , чтобы сохранить

2. Перейдите в  Firewall >> Filter Setup >> IP Filter, нажмите « Add », чтобы создать группу, затем нажмите «Добавить в группу», чтобы создать два правила брандмауэра:

  1. Дайте имя профиля и включите его
  2. Выберите «Блокировать» для Action
  3. Выберите первую подсеть в Source IP Object и вторую подсеть в Destination IP Object . Для второго правила исходный IP-объект должен быть второй подсетью, а целевой IP-объект должен быть первой подсетью.
  4. Нажмите Apply , чтобы сохранить

После завершения настройки настройки брандмауэра должны быть следующими.

Теперь мы можем использовать ping для проверки конфигурации брандмауэра.

Помогла ли вам статья?