Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Изоляция сети на основе ACL без миграции L3 – как это работает?, wifiman
 
#1
17.02.2025 07:11:00
В настройках сети мы можем определить сетевую изоляцию с помощью правил ACL. Эта изоляция остается эффективной даже при отсутствии активной L3-миграции, и все VLANы управляются UDM Pro. Если я не ошибаюсь, это правила ACL на основе IP-адресов, то есть они работают на уровне Layer 3. Но я всегда думал, что для применения правил ACL на основе IP-адресов на уровне коммутатора, сам коммутатор должен выступать в роли маршрутизатора, что требует включения L3-миграции. Я неверно понимаю, как работают ACL в этом случае? Спасибо за ваши соображения!
 
 
 
#2
18.02.2025 00:10:00
SwitchLite8PoE-US.7.1.26# cli
SwitchLite8PoE# show acl

IP access list global_ip_acl
  sequence 1 deny ip 192.168.6.1/255.255.255.0 192.168.2.1/255.255.255.0 
  sequence 2 deny ip 192.168.6.1/255.255.255.0 192.168.3.1/255.255.255.0 
  sequence 3 deny ip 192.168.6.1/255.255.255.0 192.168.20.1/255.255.255.0 
  sequence 4 deny ip 192.168.6.1/255.255.255.0 192.168.7.1/255.255.255.0 
  sequence 5 deny ip 192.168.6.1/255.255.255.0 192.168.1.1/255.255.255.0 
  sequence 65535 permit ip any any 
Да, я был довольно уверен, что это так 👍 Пока что использовал только с сетями на L3-коммутаторах, но большинство других коммутаторов были L2. И я вполне уверен, что хотя бы Device Isolation (ACL) будет работать, потому что UI ссылается на это в своих рекомендациях по Guest WiFi (без упоминания о необходимости L3-коммутаторов).
 
 
 
#3
17.02.2025 15:01:00
Если VLANы все еще управляются UDM Pro, то и правила брандмауэра тоже в действии.
 
 
 
#4
17.02.2025 13:56:00
Раз ACL-ы не поддерживаются на UniFi Gateway, я предполагаю, что проблема возникает на коммутаторе. Почитал немного и понял, что ACL-ы (которые не то же самое, что правила брандмауэра) могут работать именно так, потому что коммутатор может просматривать трафик и сопоставлять его со своими ACL-ами перед пересылкой. Для этого не обязательно заниматься маршрутизацией, если аппаратная часть коммутатора на это способна.
 
 
 
#5
17.02.2025 13:00:00
Ну, без включенной L3 Migration, если активировать настройки Switch Isolation с L3 Network Isolation (ACL), изоляция работает. Чтобы разрешить конкретному устройству из изолированной сети общаться с другой сетью, необходимо установить правило ALLOW IP ACL в правилах Security ACL. Значит ли это, что правила IP ACL применяются непосредственно к L3-коммутаторам, даже если L3 Migration не включена?
 
 
 
#6
17.02.2025 11:33:00
ACL работают только в сетях на L3-коммутаторах. Если все твои сети используют UDMP в качестве роутера, то любые настройки в ACL абсолютно бесполезны. Тебе нужно определить сеть на L3-коммутаторе, а затем создать соответствующие ACL для этой сети, которые затем будут применяться на коммутаторе.
 
 
 
#7
17.02.2025 12:00:00
Точно какие настройки ты установил/изменил? Мне кажется, можно хотя бы использовать MAC ACLs / Device Isolation (ACL) без L3 Network, но не уверен, надо проверить. https://help.ui.com/hc/en-us/articles/23352709241495-UniFi-Switches-and-Access-Control-Lists-ACLs https://help.ui.com/hc/en-us/articles/23948850278295-Best-Practices-Guest-WiFi
 
 
 
Страницы: 1
Читают тему (гостей: 1)