Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Лучший способ заблокировать и обезопасить трафик между проводными и беспроводными клиентами в этой сети?, wifiman
 
#1
31.12.2023 20:54:00
Привет! Я настраиваю Wifi-сеть, как показано на схеме ниже. В идеале хотелось бы изолировать проводных клиентов от общедоступных Wifi-клиентов для безопасности. Публичный Wifi управляется U6-Mesh и роутером UDR Dream Router. Компьютер для видеонаблюдения работает на Windows и, соответственно, на нём есть фаервол, но дополнительная защита не помешает. Я также почти уверен, что терминал для оплаты прачечной надежно защищён. Роутер Asus хостит приватную Wifi-сеть для двух сотрудников. Я открыт к использованию VLAN и блокировке трафика между VLAN, если это хороший способ решения.  

Я нашёл в настройках Wifi опцию Client Device Isolation — она запрещает устройствам общаться друг с другом, когда они подключены к одному AP. Она же не даёт устройствам общаться с другими Wifi-клиентами на той же сети, но с разных AP? А с проводными клиентами в той же сети тоже блокирует связь? Это, наверное, был бы простой и удобный способ решить вопрос… надеюсь.  

И извини, Грегорио, за прошлую тему — я немного расстроился.
 
 
 
#2
16.01.2024 23:16:00
Хорошо, значит подход с назначением VLAN на основе порта для WAP — это не совсем стандартный способ, верно?
 
 
 
#3
26.02.2024 00:37:00
Привет! Наконец-то завтра приступаю к настройке VLAN. Всё уже решено, кроме VLAN и Flex Mini Switch 1. Хотел уточнить одну вещь... Flex Mini Switch 1 должен справиться со статичным IP у компьютера видеонаблюдения, терминала для оплаты стирки и примерно 23 камерами с фиксированными IP, которые все подключены к двум не-ubiquiti unmanaged-коммутаторам, верно? Просто интересно, ведь эти unmanaged-коммутаторы явно не поддерживают VLAN — это не создаст проблем, да? Напомню, я использую VLAN1 для управляющей сети и устройств Unifi, VLAN2 для Wi-Fi, а VLAN3 для компьютера безопасности, камер и терминала оплаты. И Flex Mini Switch 1 должен пропускать VLAN2 для Wi-Fi к WAP, а также нативный VLAN1 для управляющей сети, правильно? Спасибо!
 
 
 
#4
12.02.2024 20:57:00
Просто оставьте Default LAN (VLAN1) без тегов на транковых портах. Всё остальное только усложняет и может привести к тому, что Unifi начнёт глючить.
 
 
 
#5
12.02.2024 19:59:00
@gregorio Когда ты говоришь, имеешь в виду управляющую сеть / сетевой оверрайд? Ещё раз спасибо.
 
 
 
#6
26.01.2024 01:01:00
Снимут теги? Обычно — нет. Обычно пропускают нетегированный трафик и могут пропускать или не пропускать трафик с тегами. Использовать такой немаркированный коммутатор — лотерея. Но я могу гарантировать, что ваши точки доступа не смогут назначать VLAN клиентам по принадлежности к WLAN при использовании немаркированного коммутатора.
 
 
 
#7
26.01.2024 00:35:00
Быстрый вопрос — насколько я понял, вы сказали, что неуправляемые коммутаторы, не относящиеся к Ubiquiti, сбрасывают VLAN-теги. Значит, если я не буду менять коммутатор 1 на схеме и использую VLAN, могу ли я просто через native LAN пометить Ethernet-кадры от двух WAP, идущих к нужному порту на UDR? Скорее всего, там будет использоваться Ubiquiti Flex, но просто хочу знать свои варианты.
 
 
 
#8
21.01.2024 22:01:00
Не совсем. Статический IP, отсутствие DHCP и строгие правила файрвола обычно достаточно, чтобы остановить большинство таких атак. К тому же, если ваш коммутатор или точка доступа отключены так долго, что кто-то может провести такую атаку, а вы на это не отреагировали, значит у вас проблемы посерьёзнее.
 
 
 
#9
21.01.2024 19:35:00
@gregorio Есть ли повод беспокоиться о атаке с двойным тегированием? Читал об этом. Ещё раз спасибо за помощь :)
 
 
 
#10
20.01.2024 22:37:00
Используйте VLAN1, также известную как Default LAN, только для всего вашего оборудования Unifi и ни для чего другого. Создайте VLANы как минимум для Trusted, Guest и IoT и назначьте их соответствующим WLAN. Установите профиль порта коммутатора для AP на Default в качестве Native/Untagged, а все остальные VLANы — с тегами.
 
 
 
#11
20.01.2024 19:59:00
@gregorio Как мне настроить VLANы? Нужно ли привязать WAP к одной VLAN, а для всего другого нетегированного трафика сделать назначение по портам с использованием Native LAN?
 
 
 
#12
16.01.2024 23:20:00
Верно, вы можете создать пользовательский профиль порта, чтобы ограничить только VLAN, связанные с WLAN, обслуживаемыми этой точкой доступа, но это только усложнит ситуацию. По умолчанию LAN идёт как Native, а все остальные VLAN тегируются — это самый распространённый вариант настройки в Unifi.
 
 
 
#13
15.01.2024 04:11:00
Не совсем понимаю, но типичный профиль порта для точки доступа — это Trunk с нативным VLAN по умолчанию для LAN, а все остальные VLANы отмечены тегами. Точка доступа сама разруливает назначение VLAN в зависимости от принадлежности к WLAN.
 
 
 
Страницы: 1
Читают тему (гостей: 1)