Configuring Vlans
Bonjour,
J'ai décidé de faire mon installation réseau avec Omada, j'ai donc actuelement un ER7206 connecté à une livebox et un commutateur TL-SG2210P, qui lui même est connecté à un autre commutateur TL-SG2210P (qui sera utilisé pour le travail) et un point d'accès EAP660 HD.
Mon besoin :
Avoir plusieurs Vlans pour sécuriser et controler l'accès internet.
Ce qui a été mis en place :
5 VLANS :
- Lan : no 1, SUBNET 192.168.10.1
- Maison : no 20, SUBNET 192.168.20.1
- Travail : no 30, SUBNET 192.168.30.1
- Cameras: no 40, SUBNET 192.168.40.1
- Domotics: no 50, SUBNET 192.168.50.1
5 Wifi SSID :
- Maison (vlan20)
- Travail (vlan30)
- Cameras (vlan40)
- Domotics(vlan50)
2 Profils :
- ALLVLANS (réseau natif : Lan, tagged network : Maison, Travail, Cameras, Domotics)
- TravailVLANS (réseau natif : Lan, tagged network : Travail, Cameras, Domotics)
Switch Settings :
- Port lié au router lié au profil ALLVLAN
- Port lié àu commutateur de travail lié au profil : TravailVLANS
- Port du second commutateur associé au VLAN Cameras
Profils de groupe :
DenyOCEtRouter : 192.168.30.1, subnet 192.168.40.1, 192.168.50.1 - ports : 80 8080 443
Gateway ACL :
Règle sur le vlan Camera vers IPGroup_Any (pour qu'elles ne puissent pas accéder à internet)
Switch ACL:
- DenyCamera : Vlan Cameras ne peut pas accéder à Lan, Maison, Travail (Cameras peut acceder à Cameras et Domotics)
- DenyDomotics: Vlan Domotics ne peut pas accéder à Lan, Maison, Travail (Domotics peut acceder à Cameras et Domotics)
- DenyMaison : Vlan Maison ne peut pas accéder à Travail
- DenyTravail : Vlan travail ne peut pas accéder à Maison
- DenyOCEtRouter : Vlan Travail, Cameras et Domotics ne peuvent pas accéder au group d'Ip-Port DenyOCEtRouter
EAP ACL:
Mêmes règles qu'au dessus
Mes problèmes/Questions :
- J'ai branché ma camera sur le port associé au VLAN Cameras du second commutateur, elle apparait bien en tant que client mais n'a pas de d'adresse Ip associée (elle est configurée pour utiliser le DHCP).
- Lorsque j'ai un ordinateur connecté sur le Vlan Home, je n'ai pas accès à l'interface web du controller Omada, pourtant ni le sous réseau, ni le vlan n'est dans la règle d'interdiction, qu'est ce que j'ai mal interprété ?
- J'ai du mal à comprendre l'intéret du VLAN LAN (par défaut). Car si quelqu'un vient se branché en ethernet sur un port qui n'est pas associé à un VLAN, il aura alors accès à tout ? De plus, je ne sais pas, si du coup, il faut que j'ajoute des règles pour l'empecher de communiquer avec les autres VLANs.