Долгий пост впереди / БлогПервое, это домашняя лаборатория с точной копией моих производственных сетей на работе, но с использованием оборудования UniFi. Огромная благодарность Уильяму Уоррену, который помогал мне в этом, Уилл просто потрясающий!Контекст и оборудованиеСначала немного о том, чего я хотел достичь и какое оборудование использую:pfSense Appliance – 172.16.1.1Ubiquiti UniFi Switch Pro Aggregation (USW-Pro-Aggregation) – C1-CORE-01 172.16.1.10Ubiquiti UniFi Switch Pro 48 (USW-Pro-48) – C1-SWITCH-01 – 172.16.1.11Ubiquiti UniFi 48 Port PoE Pro Switch (USW-Pro-48-POE) – C2-SWITCH-01 – 172.16.1.12Ubiquiti UniFi 48 Port PoE Pro Switch (USW-Pro-48-POE) – C3-SWITCH-01 – 172.16.1.13Ubiquiti UniFi Access Point WiFi 6 Pro (U6-PRO) – WAP Downstairs – 172.16.1.14Ubiquiti UniFi Access Point WiFi 6 Pro (U6-PRO) – WAP Upstairs – 172.16.1.15Ubiquiti UniFi Access Point WiFi 6 Pro (U6-PRO) – WAP Outdoor – 172.16.1.16Ubiquiti Cloud Key Gen 2СитуацияУ меня более 35 VLAN, которые обрабатывают много трафика с высокой пропускной способностью внутри сети, и я использую меж-VLAN маршрутизацию. Я отказался от традиционного “Маршрутизатора на палке” с pfSense, управляющего моими VLAN. Вместо этого я инвестировал в коммутатор UniFi Level 3 в качестве основного коммутатора (USG-Pro-Aggregation), который имеет два 10GB волоконных канала к каждому из downstream коммутаторов. ПроблемаЯ начал сталкиваться с странными проблемами: точки доступа Wi-Fi постоянно отключались, pfSense сообщал о потере пакетов к основному коммутатору, и Cloud Key Gen 2 становился неответчивым, пока я не перезагрузил его. Уильям вмешался и глубоко проанализировал мою сеть.Сначала он обнаружил, что устройство, которое я использовал для pfSense, было недостаточно мощным (маленький NUC ПК с 4 LAN портами). Мне повезло, что у меня есть 1 Гб/с на вход и выход от моего провайдера, но pfSense не мог справиться с этим соединением. Уилл предложил заменить устройство на что-то более мощное, и я купил старый Caswell CAR-3046 с процессором i7. Увеличение производительности было безумным! Теперь я могу полностью использовать свое соединение, и процессор едва достигает 3% загрузки.Когда с pfSense разобрались, пришло время пересмотреть настройку VLAN. Прежде чем Уилл начал работать, все мои VLAN были созданы в UniFi, при этом основной коммутатор служил шлюзом (Level 3), за исключением VLAN 5, которая была моей VLAN для управления. В pfSense у меня был интерфейс VLAN 5, подключенный к основному коммутатору, с VLAN 5, настроенной в UniFi как “VLAN шлюза третьих лиц”, а DHCP для этой VLAN управлялся pfSense. Мы решили упростить все, перенастроив все оборудование UniFi на стандартную VLAN 1 и избавившись от VLAN 5. Проблема с Cloud KeyДалее мы занялись проблемой с облачным ключом. Однажды ночью я заметил, что LCD облачного ключа получает DHCP-адрес от сервера на совершенно другой VLAN. Важно отметить, что на этой VLAN в UniFi не использовался DHCP реле. Мы поняли, что у нас есть проблема с утечкой трафика и необходимо внедрить правила ACL Level 3, чтобы остановить это. Облачный ключ работал медленно и не успевал за моими устройствами, поэтому мы поэкспериментировали, создав высокопроизводимую виртуальную машину Ubuntu и настроив собственный контроллер UniFi. Улучшение производительности оказалось колоссальным.Оптимизация WAP Уилл, будучи экспертом в радиосвязи, затем посмотрел на мои точки доступа WAP. Я не могу углубиться в детали того, что он обнаружил, но знаю, что он был недоволен ограниченными каналами, доступными в Великобритании. Он настроил каждую точку доступа на свой канал, чтобы остановить помехи, и с тех пор мои устройства Apple стали работать стабильно.ACL: Забавная частьТеперь перейдем к ACL, основной причине, по которой я решил написать этот пост. На данный момент нет безопасности между моими VLAN – это свободное общение! Каждая VLAN может взаимодействовать с другими, никаких ограничений. Нам нужно было найти способ ограничить обмен трафиком в сети и начать изолировать VLAN друг от друга. Вот и пришли правила ACL UniFi!С запуском UniFi Network Application 8.2.93 одной из “увлекательных” новых функций является поддержка правил ACL. Мы можем создать два типа правил ACL:Блокировать трафик между клиентами или MAC-адресами в одной сети, используя MAC ACL.Блокировать трафик между клиентами в разных сетях, используя IPv4 ACL (это то, что меня интересует).Звучит просто, правда? Давайте углубимся.Настройка правил ACLВ консоли UniFi в разделе Настройки есть два места, где вы можете настроить правила ACL:Изоляция сетей L3 (ACL) в разделе Сети. Этот параметр блокирует весь IPv4 трафик между устройствами в разных сетях, применяется на уровне коммутатора с использованием списка доступа IPv4 (ACL). Это могло бы сработать, но я хотел больше контроля, что привело меня ко второму параметру.Правила ACL в разделе Безопасность. Давайте создадим одно...Первое правило: заблокировать VLAN 10 от всех остальных VLAN. Я применил это ко всем коммутаторам, установил тип ACL на IPv4, действие – Блокировать, источник – VLAN 10, а назначения – 39 других VLAN (отмечая каждую по отдельности). Давайте проверим... могу ли я пропинговать VLAN 10 к какой-либо другой указанной VLAN? Нет, не могу. Отлично – правило ACL работает! Простой шаг, давайте повторим процесс для каждой VLAN. ОграничениеОднако когда я добрался до пятого правила ACL, я столкнулся с ошибкой: “Не удалось применить изменения. Пожалуйста, проверьте, что вся информация введена правильно.” Я пробовал другой VLAN в качестве источника, но появилась та же проблема. Каждое из четырех успешно созданных ACL имеет 29 целевых сетей, что в сумме составляет 116. Для пятого правила я уменьшил количество целевых сетей до одной, и оно сохранилось. Затем я добавил сети по одной, пока не достиг 12 целевых сетей. Когда я попытался добавить 13-ю, ошибка вернулась. Похоже, предел составляет 128 сетей. Я отправил тикет в UniFi, предоставил файл поддержки, загрузил скриншоты и попросил совета. На данный момент они не решили проблему или не дали мне ясного ответа, является ли это ограничением. Они попросили меня сбросить все коммутаторы до заводских настроек и заново спроектировать свою сеть в контроллере UniFi как новый сайт. Это заняло много времени на перепрограммирование, но я следовал их инструкциям. Думаете, это решило проблему? Конечно нет... сообщение об ошибке продолжало появляться.ЗаключениеЦель этого блога – проинформировать других об этом ограничении, если вы рассматриваете возможность перехода на коммутаторы Level 3. Очевидно, что UniFi L3 не готов к корпоративным условиям. Хотя я понимаю, что это еще новая разработка, я ожидал, что что-то столь простое будет тщательно протестировано. Очень надеюсь, что разработчики UniFi смогут внедрить решение для этого, в противном случае моя значительная инвестиция в оборудование Level 3 оказалась бесполезной.Хочу подытожить и выразить огромную благодарность Уильяму Уоррену. Этот человек был настоящим джентльменом, потратившим бесчисленное количество часов, помогая мне с этой проблемой. Огромное спасибо, Уилл. Мне было бы интересно узнать мнения и предложения всех – у вас был похожий опыт с внедрением Level 3?