Багажник / Настройка управления

Багажник / Настройка управления, UniFi Network

patchmonk

Guest

05.05.2025 17:18:00

Привет! Хочу настроить домашнее оборудование более профессионально, поэтому хочу научиться делать это правильно. Я мучился и думал, что все делаю верно, но на последних этапах конфигурирования потерял несколько устройств.

Нативные VLANы:
Назначай каждому порту разные профили портов.

Транки между коммутаторами и точками доступа:
Полагаю, что незаметный трафик пропускать нельзя.

Сеть VLANы:
10 Гости (10.10.10.0/24)
15 IoT (10.10.15.0/24)
20 NOT (10.10.20.0/24)
25 Камера (10.10.25.0/24)
30 Инфраструктура (10.10.30.0/24) (PiHole, Proxmox и другие серверы)
99 Управление (10.10.99.0/24)
999 Транк (Без DHCP) (10.99.99.0/24)

Профили портов.
Например: Управление
Нативный VLAN: 99
Тегированные: 10, 15, 20

Транк2Switch:
Нативный VLAN: 999
Тегированные: 10, 15, 20, 99

Стоит ли устанавливать VLAN 1 по умолчанию на UDM Pro на 10.10.99.1/24, как и подсеть Управления?

Следует ли устанавливать коммутаторы и точки доступа на принудительное переопределение IP-адресов?

Следует ли устанавливать транк-порты на обеих сторонах на Trunk2Switch?

bmwm3

Guest

07.05.2025 19:57:00

Ну да, проще всего и безопаснее всего просто отключать неиспользуемые порты. Но я часто использую концепцию "черной дыры" с изолированным VLAN, когда подключаю новые устройства или перемещаю существующие, потому что тогда в Ports Manager видно, к какому порту подключено устройство, прежде чем выбирать подходящий профиль Ethernet Port.

bmwm3

Guest

05.05.2025 19:19:00

С точки зрения безопасности, скорее всего, вполне можно использовать Default VLAN 1 для трафика управления, если у вас только устройства UniFi в Default VLAN 1 и Internal Zone, и вы соответствующим образом настроите правила брандмауэра. Также хорошей идеей будет использовать Blackhole Zone для сетевых портов, которые не используются, и специальную изолированную Ghost VLAN, которая также не помечена ни на одном trunk порту в коммутаторах – для хороших мер безопасности. https://community.ui.com/questions/Management-VLAN-and-ZBF/ad778a9d-5182-4c6c-906b-e2f913e7d41c#answer/37f9d8dd-3850-4e34-b3de-75c77bd580cd

s_squire

Guest

05.05.2025 18:07:00

В некоторых средах это может быть полезно с точки зрения безопасности, но это также чревато головнякам, вроде неотзывающихся устройств, так что большинство пользователей считают, что игра не стоит свеч в домашней сети. Чтобы все тегированные VLANы работали как надо, нужно все делать аккуратно.

patchmonk

Guest

05.05.2025 17:54:00

Спасибо, возможно, верну управление обратно на VLAN 1. Я думал, использовать стандартный немаркированный VLAN 1 – это плохая идея. У меня были проблемы с подключением пары Wi-Fi камер, они подключались, но через пару минут переставали отвечать.

s_squire Guest	#6 05.05.2025 17:30:00 Если вы его не меняли, то UDM Pro уже имеет следующие IP-адреса на каждой связанной VLAN: 10 Guest (10.10.10.1) 15 IOT (10.10.15.1) 20 NOT (10.10.20.1) 25 Camera (10.10.25.1) 30 Infrastructure (10.10.30.1) 99 Management (10.10.99.1) 999 Trunk (No DHCP) (10.99.99.1) Хотя это разные вещи (L2, а не L3), нельзя присвоить несколько VLAN одну и ту же подсеть. Обычно рекомендуется оставлять управление на VLAN1, так как Unifi по умолчанию настроен на это, чтобы упростить жизнь, когда что-то неизбежно пойдет не так. Override IP используется для указания контроллера в нестандартной ситуации. Порты "Trunk" должны иметь управление как Native и все VLAN разрешены (иначе они не смогут передавать трафик между UDMP/коммутаторами/точками доступа). Нет необходимости в "порте управления" или "VLAN-транке".

Читают тему (гостей: 1)