Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Разделённая сеть: офис/общественная, UniFi Network
 
#1
31.05.2018 01:18:00
Привет, ребята! Я хочу настроить новую сеть, состоящую из локальной офисной сети и публичного Wi-Fi, работающих на одном интернет-соединении. Думаю сделать что-то похожее на схему ниже и интересно, возможно ли реализовать это с помощью VLAN или есть более удобный способ.

Я хочу, чтобы публичная сеть была отделена от офисной для безопасности, но UniFi-контроллер будет запущен в виртуальной машине на офисном сервере, поэтому потребуется доступ к контроллеру и из публичной, и из офисной сетей. Ещё хочу использовать функции мониторинга USG по всей сети.

Стоит ли полностью разделять сети, как на картинке, или можно настроить такую систему через USG и VLAN? Буду очень признателен за помощь, спасибо!
 
 
 
#2
21.06.2018 09:05:00
Звучит как хороший план. Не забудь отметить вопрос как решённый, если конкретные сообщения оказались полезными, чтобы другие люди, ищущие похожую информацию, смогли воспользоваться твоей темой.
 
 
 
#3
21.06.2018 09:03:00
Окей, спасибо за помощь. Возможно, я изменю тип сети, так как гости будут иметь доступ только к беспроводной сети, поэтому установка ограничений во вкладке беспроводной LAN кажется лучшим вариантом. Наверное, так будет меньше работы, если позже захочется добавить приватное беспроводное подключение.
 
 
 
#4
21.06.2018 08:44:00
Я обычно ставлю гостевые сети в режим «Corporate» и настраиваю правила файрвола под себя. Если задать режим «Guest», то сеть просто будет использовать стандартные правила файрвола для гостей. При этом я всё же ставлю ограничения для гостевой WLAN: просто блокирую всё с приватными IP-адресами назначения (кроме captive portal, если он настроен, хотя, по моему мнению, для домашней сети это излишне). По умолчанию VLAN — 1, и основная LAN-сеть использует именно её. Это изменить нельзя. Я устанавливаю эту VLAN как Native на большинстве портов коммутатора, а только те, что требуют другую VLAN (отмеченную тегами или нет), получают другой профиль.  
Stefan
 
 
 
#5
21.06.2018 08:12:00
Я использую точки доступа Unifi. Для сети, которую я создал для гостей с адресами 10.x.x.x, нужно ли выбирать тип сети «гостевая» (в контроллере есть вкладка Network и вкладка Wireless Network) или другой вариант, так как я включаю ограничения для гостей в беспроводной сети? Может ли установка обоих параметров на «гостевая» вызвать какие-то проблемы? Немного запутанно, потому что, похоже, есть несколько способов разделить сети. Я посмотрю функцию тегирования, о которой ты говорил, но нужно ли назначать VLAN и для корпоративной сети 192.x.x.x, или она будет по умолчанию на VLAN 1 и разделена с VLAN 200? Спасибо за быстрый ответ.
 
 
 
#6
21.06.2018 07:17:00
Вы можете создать несколько VLAN на USG и передавать их через транковый порт на коммутатор Unifi. Это оставит оба WAN-порта свободными для резервного подключения к Интернету. Вы используете Unifi AP? Если да, то сделайте основную сеть управления по умолчанию, а гостевую сеть — с VLAN ID. Настройка WLAN позволит выбрать этот VLAN ID для гостевого Wi-Fi, а также настроить фаервол, чтобы трафик с этой VLAN имел доступ только к Интернету. Кроме того, можно использовать политики гостя в WLAN, чтобы ограничить доступ к другим приватным подсетям и даже перенаправлять пользователей на страницу авторизации (captive portal).

Что касается VLAN, в зависимости от настройки портов коммутатора, можно просто установить портовый профиль для передачи VLAN-трафика в тегированном или нетегированном виде. Нетегированный значит, что для конечных устройств это прозрачно, но весь трафик, входящий на этот порт, внутри оборудования обрабатывается как тегированный. Говорю, может, не очень понятно, но на странице конфигурации контроллера это довольно наглядно.  
Стефан
 
 
 
#7
21.06.2018 07:05:00
Окей. У меня теперь есть всё оборудование, и я начал собирать сеть. Сейчас USG подключён к коммутатору Unify, для резервного WAN я буду использовать порт два. Я создал корпоративную LAN по умолчанию для офисной техники с адресами 192.168.30.x, контроллер стоит на .20. Также создал вторую сеть с назначением "гость", IP 10.254.0.x и присвоил VLAN ID 200. Потом создал новую беспроводную сеть, поставил галочку на ограничениях для гостей и тоже дал VLAN ID 200.

Во-первых, правильно ли я настроил гостевую сеть? Я заметил, что если привязать порт коммутатора к гостевому VLAN, появляется страница гостевого входа. Но нужно ли выбирать гостевую сеть и в обычной, и в беспроводной сети? Или лучше выключить гостевой режим в беспроводной сети и дать сети самой управлять авторизацией? Похоже, что всё работает как нужно: при подключении к Wi-Fi я вижу страницу входа, ввожу пароль и могу спокойно выходить в интернет. По Wi-Fi будет только гостевая сеть, потому что в офисе Wi-Fi не нужен.

Надеюсь, я понятно объяснил.

Ещё вопрос: корпоративная сеть не имеет VLAN. Нужно ли ему присвоить VLAN для безопасности? И стоит ли привязывать порты коммутатора, которые используются для гостевого доступа, к VLAN 200 или политики гостевого доступа сами обеспечат изоляцию?

И наконец: если я поставлю VLAN на корпоративную сеть, нужно ли будет настраивать его на всех устройствах или достаточно только на портах коммутатора?

Спасибо!
 
 
 
Страницы: 1
Читают тему (гостей: 1)