Я ценю все высказанные комментарии. Unfi Switch и Edge Switch — это одна и та же аппаратная платформа, так что, учитывая это, было бы легко добавить в Unfi Switch функции, которые есть у Edge Switch. Мне просто хотелось узнать, планирует ли Unfi расширить набор функций Unfi Switch, чтобы позволить сегментировать сети, даже если это будет статическая, а не динамическая сегментация. Единственная функция, которую я хотел бы видеть — возможность создавать разные сети на коммутаторе без необходимости использовать «роутер на палочке» или, в случае Unfi, «фаервол на палочке». Я считаю, что Unfi AP и бренд Unfi в целом просто потрясающие и очень мощные, но вот этой функции им не хватает. Я ищу именно эту возможность, и если удастся найти способ объединить управление или, по крайней мере, обеспечить совместимость между контроллерами Unfi и Edge, это было бы для меня идеальным решением.

У каждого уважающего себя производителя есть L3-коммутаторы. Что такого сложного в реализации L3-коммутаторов в UniFi Controller? UBNT могли бы просто добавить ещё один тип «сети» в контроллер. Тогда можно было бы иметь два типа корпоративных сетей:

Тип 1. Корпоративная сеть с неограниченным L3-коммутированием (маршрутизация между VLAN происходит на L3-коммутаторе)

Тип 2. Корпоративная сеть с ограниченным L3-коммутированием (маршрутизация между VLAN на USG или стороннем роутере/фаерволе)

Если сеть настроена как Тип 1, то граница L3 — это SVI на L3-коммутаторе. Если сеть настроена как Тип 2, то граница L3 — это SVI на USG или стороннем роутере/фаерволе.

L3-коммутатор и USG обмениваются информацией через протокол маршрутизации (по выбору пользователя: OSPF, RIP или статические маршруты) для координации своих SVI. USG рекламирует в L3-коммутатор маршрут по умолчанию.

Если пользователь выбирает UniFi L3-коммутатор, но хочет использовать сторонний роутер/фаервол (например, pfSense), UniFi Controller настраивает L3-коммутатор и протокол маршрутизации, а сам сторонний роутер/фаервол пользователь должен настроить вручную. Для pfSense выбор протокола маршрутизации к UniFi L3-коммутатору — либо RIP, либо статические маршруты.

Если пользователь выбирает статические маршруты, UniFi Controller настраивает статический маршрут по умолчанию на роутер/фаервол для всех сетей Типа 2 и для всего трафика, направленного в интернет.

Естественно, L3-коммутаторы должны иметь возможность стэкинга для отказоустойчивости, чтобы L2-коммутаторы можно было подключать с двойными (multi-homed) uplink-каналами через LAG к стэку L3-коммутаторов. В стэке несколько коммутаторов работают как одно устройство L2/L3. Соответственно, у всего стэка одна CAM-таблица (таблица MAC-адресов) и одна таблица маршрутизации.

Кроме того, USG должен поддерживать активный/активный или активный/резервный режимы для отказоустойчивости роутера/фаервола и резервирования WAN/интернет-каналов.

Все перечисленные функции уже доступны у других производителей более 15 лет. Это самые базовые возможности. Сетевой компании просто невозможно ориентироваться на малый и средний бизнес без них.

@sirozha

=> Я видел, что ты много участвуешь в обсуждении функций коммутаторов unifi L3. Получал ли ты какой-нибудь отзыв от UBNT по этому поводу? Потому что тема, если честно, сейчас почти мёртвая.

Если нужно установить фаервол между двумя подсетями, можно применить списки доступа на L3-коммутаторе, чтобы блокировать определённый трафик между подсетями, либо, как вариант, перенести границу L3 на фаервол. Но есть много случаев, когда сеть разбивают на подсети, но блокировать трафик между ними не требуется. Подсети голоса — именно такой пример.

Так что, если вопрос в том, зачем сегментировать хосты на несколько подсетей и потом организовывать между ними меж-VLAN маршрутизацию, то ответ — чтобы сократить размер широковещательных доменов. В одном широковещательном домене никогда не должно быть больше 254 хостов. Ещё одна причина использовать подсети /25, /26 и так далее — определить, в каких ERL находятся VoIP-телефоны, и назначить правильные ELIN для целей e911. Это лишь несколько очевидных примеров.

Такие подсети лучше маршрутизировать между VLAN с помощью L3-коммутатора, а не отправлять трафик вверх на роутер-on-a-stick для меж-VLAN маршрутизации.

Отправлено с моего iPhone

@NYRican79

=> Я начал работать с мультикастом и широковещанием, так как рано или поздно получил похожие задачи. Если посмотреть на конфигурацию свича, то, как минимум, если широковещательный шторм — это проблема, её можно легко контролировать через настройки свича. При этом вы увидите улучшение производительности самого свича (меньше загрузка CPU, а значит ниже энергопотребление).

Что я сделал: использую одну VLAN, так что по умолчанию всё работает на уровне коммутации, кроме защищённого оборудования (IoT, CCTV, DMZ). Сервисы, такие как VOIP, находятся в той же сети, что и IP-сеть. Поля DSCP в телефоне позволяют приоритизировать трафик прямо на свиче, а умная очередь USG снижает задержки.

Настройки портов свича контролируют широковещательный и мультикаст трафик: порты VOIP не разрешают мультикаст и сводят широковещание к минимуму (но оно всё равно нужно хотя бы для DHCP!).

Это моё мнение, но я понимаю, зачем L3 может иметь смысл — чтобы упростить настройку и приблизиться к производительности коммутации. Хотя L3 всё равно добавляет задержку, даже в свиче, потому что всё равно нужен L3 lookup (по порту)!

Удачи! Похоже, что L3-свичи появятся не скоро, они ещё не вышли на альфа-стадию.

@NYRican79

Есть пара вопросов, так как я работаю в среде с довольно высокими требованиями к производительности и безопасности. Если тебе нужен L3-маршрутизатор между сетями, то либо нужна безопасность, либо нет, верно? Если нужна, то большинство L3-маршрутов на свитчах очень базовые, разве что брать дорогие коммутаторы высокого класса, и тогда в конечном итоге всё равно приходится делать маршрутизацию через роутер, чтобы получить всю возможную детализацию. То есть, в итоге L3 на свитче нет, а есть только на роутере, как сейчас в Unifi.

Если безопасность не нужна, тогда достаточно просто коммутации, так зачем в таком случае не использовать один IP-диапазон и VLAN? Мне этот вопрос задавали несколько недель назад по поводу некоторых элементов SAN, к которым можно получить доступ только с внутренней LAN (VLAN 1), но не с VLAN 2 для гостей. Почему не делать L3 на свитче, если создать VLAN 3? Просто потому что в 99% случаев, проще всего просто поместить SAN в VLAN 1! Так это останется коммутацией и будет работать на полной пропускной способности!

Один из крайних случаев: если двум VLAN нужно получить доступ к одному и тому же SAN, но при этом VLAN не должны общаться друг с другом. Сейчас можно легко назначить SAN два IP-адреса — по одному на каждый VLAN, даже сделать trunk нескольких интерфейсов, если SAN их поддерживает, и в итоге получить доступ к SAN из обеих VLAN.

Лично я считаю, что L3-маршрутизация полезна в снижении нагрузки на роутер, пока не понимаешь, насколько бедные ACL бывают, и тогда понимаешь, что L3 на роутере и L2 на свитче могут отлично дополнять друг друга. А L3 на свитче часто переоценивают в 90% IT-сценариев (прошу воспринимать это как правило для большинства случаев, а не для всех).

@di3 Спасибо, что вообще ответил на вопрос.

@sirozha

=> Между продуктовыми линейками Broadband (EdgeMax, AirMax, EdgeSwitch) и Unifi существует огромная разница в концепции.

Линейка Unifi, особенно через контроллер, это:  
- полностью автоматизированная настройка: контроллер настраивает каждый элемент индивидуально на основе вашей конфигурации (то есть вы делаете дизайн сети один раз, а конфигурации применяются сами без вашего вмешательства)  
- интеграция в контроллер для статистики, производительности и обработки данных  
- ограничение в дизайне зависит от возможностей контроллера (в общем, контроллер не может сделать всё, а только отдельные части, но с течением времени добавляются новые функции)

Линейка Broadband:  
- никакой автоматизации, каждый элемент нужно настраивать вручную (через HTTPS или CLI)  
- UNMS позволяет собирать, создавать резервные копии и восстанавливать конфигурации  
- централизованно отображает статус и производительность устройств  
- ограничения в дизайне зависят от прошивок на устройствах: используя HTTPS и CLI, вы можете сделать гораздо больше

Итог: если вы точно знаете, что хотите сделать — выбирайте UNMS/Broadband, но будьте готовы делать всё вручную.  
Если нужно быстро развернуть простое и интегрированное решение с проверенным дизайном сети — выбирайте линейку Unifi.

На данный момент нет планов их объединять, и это логично, ведь они не нацелены на одну и ту же аудиторию/пользователей/администраторов. И пусть так и останется: мне нравится простота Unifi, а администраторы Broadband любят гибкость и расширенные возможности железа. UNMS хоть немного помогает лучше управлять их конфигурациями

Могу ответить на этот вопрос — нет. Планы использовать UNMS вместо контроллера UniFi нет. Они выполняют разные задачи для разных продуктовых линеек. В какой-то момент (четвёртый квартал этого года, согласно опубликованному графику) UNMS сможет мониторить контроллеры UniFi как конечные точки в UNMS. Это будет нужно, чтобы убедиться, что они на месте, и получить базовую информацию, но не для полного управления, как это уже делает UniFi. Контроллер UniFi останется основным способом настройки и управления продуктами UniFi. Джим