Тебе нужно вернуться к основам безопасности. Поищи в интернете информацию о "Ds безопасности" – материалов много. Например, "Отпугивать, обнаруживать и замедлять". Суть в том, что идеальной безопасности не существует. В конце концов, тебе придётся либо запугивать/конфронтировать злоумышленника, либо выиграть время для блокировки/отступления. Это неплохое начало для отпугивания. Совершенно ужасно в плане задержки! Как только злоумышленник получает физический доступ к твоему компьютерному оборудованию, игра окончена! Больше об этом позже! Если есть оголённые кабели, то тебе нужна стальная гофрированная труба, чтобы их защитить. Иначе они привлекут внимание и спровоцируют атаку! Отпугивание работает 24/7, и лучший способ выиграть эту битву – это избежать её. Тебе нужно либо сделать своё оборудование в подвале невидимым, либо очень страшным для злоумышленников. Мне жаль это говорить, но 802.1x не вселяет страх в сердце злоумышленника. Если они вообще знают, что он используется!

Перейдём к обнаружению. Ты ничего не сказал о сигнализациях, камерах или оповещениях. Тебе нужно сразу знать, что кто-то осмелился начать взламывать твой шкаф или кабели. Извини, 802.1x не сообщит тебе, что кто-то открыл дверцу шкафа (есть ли там дверца?). Но UP-Sense и Unifi Camera сообщат! Superlink собирается выпустить кучу датчиков. Потрать больше усилий сюда, чем на желание "море 802.1x"! Твой шкаф всё ещё самое слабое место, и не из-за 802.1x! Им нужна всего лишь скрепка и 10 секунд, чтобы сбросить настройки Cloud Gateway. Теперь твоя сигнализация деактивирована, а камеры слепы. Они просто могут стереть Cloud Gateway со всеми компрометирующими видео! Видишь! Игра окончена! Более хитрый злоумышленник поменяет SD-карту и закроет дверцу шкафа. Вернётся в свою злую обитель и начнёт извлекать все твои пароли, настройки и конфигурации из резервных копий. Если слот SD-карты пуст, они могут вставить свою карту и извлечь её через несколько дней. Не нужно возиться с 802.1x!

Надеюсь, ты замечаешь закономерность здесь! Наконец, глупый злоумышленник случайно обойдёт 802.1x безопасность даже не зная, что она там есть! Unifi применяет 802.1x по MAC-адресу, что означает, что каждое устройство в твоей сети, даже гостевые, должно быть зарегистрировано в RADIUS! Это слишком громоздко. Поэтому есть более слабый режим, который откроет физический сетевой порт, как только ОДНО устройство аутентифицируется (например, коммутатор или AP). Проблема в том, что без шифрования весь порт полностью открыт! Злоумышленник с $10 коммутатором и $1 за Ethernet-кабели случайно обойдёт 802.1x! Взлом шкафа <= Твоё самое слабое место! Перезагрузи Cloud Gateway с помощью скрепки (короткое нажатие). Отключи свой "802.1x коммутатор" и вставь глупый коммутатор между ними. Сделано! Они могут подключать ноутбук или беспроводной мост к глупому коммутатору в любое время! Никаких соединений, и они даже не знали, что там есть 802.1x! Ты можешь увидеть оповещение о перезагрузке UCG, но, возможно, он просто вышел из строя? Не так, как будто это оповещение о том, что кабель был отключен или перерезан, верно? 🤷802.1x должен быть частью большего пакета под названием 802.1ae MACsec. Он накладывает шифрование поверх 802.1x, которое очень похоже на WPA2-Enterprise! Это позволит аутентифицированному коммутатору пропускать неизвестные MAC-адреса, чтобы можно было иметь гостевую сеть без бремени регистрации RADIUS. Злоумышленник всё ещё может подключить глупый коммутатор, но их оборудование будет вызываться 802.1x и не сможет манипулировать зашифрованной сессией MACSec коммутатора для внедрения собственных пакетов. Конфигурация MACSec end-to-end будет стоить во много тысяч долларов! И после всего этого, её всё ещё можно будет победить скрепкой 📎!!! Твоё самое слабое место сейчас – физическое отпугивание (открытые провода), обнаружение и физическая задержка (этот убогий шкаф, который можно легко взломать)! Займись этими мерами физической безопасности, прежде чем беспокоиться о виртуальной безопасности, такой как 802.1x! И ради всего святого! Не оставляй свой Cloud Gateway одного в подвале! Оставь коммутатор там и используй VLAN для маршрутизации WAN в твою комнату, где ты можешь держать Cloud Gateway в безопасности… безопаснее!

Слишком много комбинаций и недостаточно деталей о вашей ситуации, чтобы дать конкретную рекомендацию. Любой Cloud Gateway + Любой Switch, поддерживающий 802.1x и Link Aggregation, подойдет для вашей общей потребности в 802.1x/Virtual Network Override в домашней сети. У всех “домашняя сеть” разная. Ваша скорость интернета будет определять выбор шлюза, а скорость Ethernet/WiFi вашего оборудования – выбор коммутатора. Затем просто подстройте выбор под них, чтобы всё заработало.

Потому что это функции коммутатора, а UDM никогда не были (и никогда не позиционировались как) полнофункциональными коммутаторами. Если вам нужны функции коммутатора, вам нужен коммутатор, а не универсальное устройство.