Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Отдельная управляющая VLAN, wifiman
 
#1
18.02.2025 14:33:00
Я создал vlan (99) исключительно для управления и перенес все AP и Switch на него. Но UDR все еще использует 192.168.1.1 из vlan по умолчанию. Стоит ли мне пытаться перенести UDR на vlan для управления, или ему нужно оставаться на vlan по умолчанию? И если да, то как это сделать, пожалуйста?
 
 
 
#2
19.02.2025 07:46:00
Если кому-то хочется настроить отдельную Management VLAN и нужна полная инструкция, лучше сначала пройти один из бесплатных онлайн-курсов Cisco или Juniper по основам, прежде чем браться за реализацию Management VLAN. Однако, мое предыдущее высказывание о Management VLAN, возможно, было кратким, но содержало важную подсказку о самом простом способе ее достижения. Это не все, что нужно знать, но это указывает в правильном направлении.
 
 
 
#3
19.02.2025 07:34:00
С ИИ нужно быть крайне осторожным. Лучше избегать открытых вопросов.
 
 
 
#4
18.02.2025 23:07:00
Кажется, Unifi просто задыхается от неожиданной настройки. Инженеры, как и большинство разработчиков продуктов, не склонны тестировать все возможные комбинации, особенно те, которые кажутся маловероятными. Что касается вашего опасения по поводу "перепрыгивания VLAN", то это в основном не проблема, если вы не используете коммутируемые порты до конечных устройств. Unifi, кстати, не поддерживает протокол DPT (только Cisco?). Поэтому устройство не может создать коммутируемый порт.
 
 
 
#5
18.02.2025 23:03:00
Всегда полезно спросить, если не знаешь, почему ты делаешь что-то. Проблема в том, что по каждому вопросу есть множество разных мнений, и большинство из них редко учитывает всю ситуацию или предлагает полное решение. Соблюдение хороших практик безопасности — это необходимость сегодня, но некоторые из них сомнительно полезны в домашней сети. Некоторые даже могут снизить твой уровень безопасности, и ты об этом даже не поймешь. Использование управляющего VLAN, отличного от VLAN1, — не то, на что я бы обращал внимание в первую очередь, особенно если ты не особенно хорошо разбираешься в сетях.
 
 
 
#6
18.02.2025 22:49:00
Отвечает OP. Перешёл на ZBF, и в одном из видео упомянули про использование management VLAN. Тогда я спросил у AI от Ubiquiti, и он подтвердил, что это хорошая практика. Вот почему я иду по этому пути. Я не сетевой эксперт, поэтому полагаюсь на советы и поддержку других — моя мотивация использовать management VLAN от Ubiquiti — понять, как и зачем это делать.
 
 
 
#7
18.02.2025 22:21:00
Но вот в чем проблема... простые утверждения вроде этого, без страниц контекста, объясняющих, почему и как это было сделано так, приводят людей, подобных автору исходного поста, к проблемам, потому что они просто "кому-то сказали" или "это хорошая идея". В мире UniFi, насколько я понимаю, они в первую очередь ожидают трафик по умолчанию на LAN, и, возможно, как вы говорите, можно изменить это поведение, и те, кто понимает, почему и как, заставят оборудование делать то, что им нужно. Остальные же просто стреляют себе в ногу, и ожидания UniFi по умолчанию действительно дадут им пиковую производительность или безопасность, учитывая их уровень знаний. Я считаю, что подавляющее большинство их пользовательской базы UniFi попадает именно в эту категорию, исходя из количества и типа запросов на новые функции от "продвинутых пользователей".
 
 
 
#8
18.02.2025 21:00:00
Я старой закалки: оставляю шлюз на стандартной LAN и использую management VLAN для всех остальных сетевых устройств. На стандартной LAN не должно быть трафика. Я активно использую switchport profiles для достижения этой цели.
 
 
 
#9
18.02.2025 20:44:00
У меня на портах SFP настроено "native VLAN" как "none", где это применимо. Однако, у меня есть несколько старых Flex Mini коммутаторов, которые требуют настройки "native VLAN", чтобы можно было выбрать опцию "Allow All" для управления VLAN с тегами на портах SFP. Насколько я понимаю (возможно, неверно), мне нужно настроить "native" на неиспользуемый VLAN, который в моем случае VLAN 1, по причинам, которые объяснены тем, что произошло с принтером выше. Я не говорю, что проблема с принтером была в двойном тегировании, но для справки принтер подключен к Flex mini 2.5, на котором порт SFP настроен с "native" "none", а также порт SFP на шлюзе, который подключается к этому коммутатору. Если что-то непонятно попадет на VLAN 1, лучше, чтобы это была "черная дыра". SFP на шлюзе без "native VLAN" - SFP на коммутаторе без "native VLAN" - принтер на "native" IoT (управление VLAN с тегами "Block All"). UniFi почему-то любит VLAN 1. Поэтому я его не использую и ему не доверяю.
 
 
 
#10
18.02.2025 20:14:00
Вот что я смог перевести:

Уязвимость Vlan hopping: что это и как ей противостоять

Vlan hopping — это метод атак, при котором злоумышленник обходит сетевую безопасность, чтобы получить доступ к трафику, предназначенному для других VLAN. Это может привести к серьезным последствиям, включая утечку данных и компрометацию системы.

Как работает Vlan hopping

Vlan hopping обычно происходит, когда сетевое устройство настроено таким образом, что оно позволяет трафику из одного VLAN проникать в другой. Это может быть вызвано неправильной настройкой VLAN, использованием устаревшего оборудования или уязвимостями программного обеспечения.

Существует несколько типов атак Vlan hopping:

*   **Double Tagging:** Злоумышленник добавляет два тега VLAN к пакету данных. Первые теги могут быть настроены так, чтобы пакет прошел через первый VLAN. Вторые теги — чтобы пакет попал в целевой VLAN.
*   **Spoofing:** Злоумышленник подделывает пакеты, чтобы выглядеть как законный трафик из другого VLAN. Это может позволить им перехватить или изменить трафик, предназначенный для другого VLAN.

Как смягчить Vlan hopping

Существуют несколько способов смягчить Vlan hopping:

*   **Используйте VLAN порты только в режиме доступа.**
*   **Включите фильтрацию трафика на портах.**
*   **Настройте VLAN порты на проверку тегов VLAN.**
*   **Регулярно обновляйте свои сетевые устройства.**
*   **Используйте протоколы безопасности, такие как 802.1X.**

Защитите свою сеть от атак Vlan hopping, применив эти меры безопасности.

Я не могу перевести: `https://levelblue.com/blogs/security-essentials/vlan-hopping-and-mitigation`
 
 
 
#11
18.02.2025 19:57:00
Как только устройство подключено и перемещается в другой VLAN, дальше делать особо нечего. Я из тех людей, кто использует VLAN 1 как чёрную дыру, и делаю это по нескольким причинам. Хочу снизить риск двойного тегирования VLAN 1, если такое вдруг произойдет. И ещё хочу убедиться, что весь трафик на VLAN для управления состоит только из устройств UniFi (точек доступа и коммутаторов). Не хочу, чтобы какое-либо другое устройство имело нефильтрованный доступ на уровне 2 к этим устройствам каким бы то ни было образом. К тому же, я блокирую внешний доступ из этого VLAN, если какое-то устройство туда попадёт. В прошлом месяце у нас дома был продолжительный перебой электропитания, и когда мой 2.5 Flex Mini восстановился, мой принтер, подключенный к порту для IoT, почему-то оказался в VLAN 1. Если какое-то устройство находится в VLAN 1, оно там быть не должно, будь то сторонний коммутатор, атака с двойным тегированием или какая-либо другая неправильная настройка. Хочу, чтобы оно просто тихонько сидело там, без доступа к чему-либо, кроме своей собственной шлюзовой, пока я не разберусь, как оно туда попало, и не позабочусь об этом.
 
 
 
#12
18.02.2025 19:27:00
Да. На 100% согласен с этой философией. Переместите IoT в защищенную VLAN, но не на устройства Unifi. Вы усложняете себе жизнь без какой-либо выгоды. Или, может быть, людям стоит объяснить, почему они считают, что нужно переместить управление с VLAN1 по соображениям безопасности.
 
 
 
#13
18.02.2025 19:20:00
Я прекрасно понимаю VLAN'ы. Проблема в людях, которые заставляют управлять UniFi с немаркированной/стандартной LAN-сети, где это работает лучше всего и где обычно и предназначено. Конечно, можно изолировать IoT, гостевую сеть и прочее, но это не имеет никакого отношения к управлению устройствами UniFi. Под "устройствами" я имел в виду канал управления устройствами UniFi.
 
 
 
#14
18.02.2025 19:14:00
Устройства IoT печально известны своей небезопасностью. Размещение их на отдельной VLAN позволяет контролировать доступ, так что если одно из них будет скомпрометировано, оно не сможет навредить более важным устройствам. Это лишь часть многоуровневого подхода к сетевой безопасности.
 
 
 
#15
18.02.2025 14:53:00
Вижу это постоянно...люди пихают устройства на VLAN...что за увлечение этим?
 
 
 
#16
18.02.2025 14:41:00
Зачем тебе подключать все устройства, которые UDR должен принять и управлять ими, к другой сети? Ты можешь изменить IP-адрес UDR, это не проблема, но если VLAN уже существует, ты не сможешь изменить сеть по умолчанию на ту же самую. Подключи все устройства, которые тебе нужно принять и контролировать, к одной сети. Создавай VLAN для других устройств, например, IoT, гостевой Wi-Fi и т.д., но не для сетевых устройств.
 
 
 
Страницы: 1
Читают тему (гостей: 1)