Изолировать VLAN на USG - Форум UBIQUITI.RU

Изолировать VLAN на USG, UniFi Network

davess

Guest

20.04.2015 16:21:00

Привет, я пытаюсь изолировать VLAN’ы на USG. У меня USG, подключённый к коммутатору Unifi. Насколько я понимаю, сделать это через контроллер нельзя, поэтому собираюсь попробовать через ssh, хотя, честно говоря, понятия не имею, что делаю!

Следую инструкции на форуме edgemax от UBNT-stig, но хочу убедиться, что всё делаю правильно.

Вот мои VLAN’ы и подсети, настроенные в контроллере:

Интерфейс IP-адрес S/L Описание
--------- ---------- --- -----------
eth1 192.168.1.1/24 u/u
eth1.5 192.168.5.1/24 u/u
eth1.10 192.168.10.1/24 u/u
eth1.11 192.168.11.1/24 u/u
eth1.12 192.168.12.1/24 u/u
eth1.13 192.168.13.1/24 u/u
eth1.14 192.168.14.1/24 u/u
eth1.15 192.168.15.1/24 u/u
eth1.16 192.168.16.1/24 u/u
eth1.17 192.168.17.1/24 u/u
eth1.18 192.168.18.1/24 u/u
eth1.19 192.168.19.1/24 u/u
eth1.20 192.168.20.1/24 u/u
eth1.21 192.168.21.1/24 u/u
eth1.22 192.168.22.1/24 u/u
eth1.23 192.168.23.1/24 u/u
eth1.24 192.168.24.1/24 u/u
eth1.31 192.168.31.1/24 u/u
eth1.32 192.168.32.1/24 u/u
eth1.33 192.168.33.1/24 u/u
eth1.34 192.168.34.1/24 u/u
eth1.35 192.168.35.1/24 u/u
eth2 - A/D

Контроллер работает через eth1, подсеть 192.168.1.1. У нас также есть ПК, работающие в этом VLAN/подсети — нужно ли включать 192.168.1.1 в список ниже или это заблокирует контроллер?

eth1.5 — 192.168.1.5 — гостевой VLAN. Предполагаю, что этот VLAN/подсеть включать не нужно, так как он уже изолирован?

Для начала создаём firewall-группу из LAN-сетей, которые нужно заблокировать:

show firewall group network-group VLAN_NETS {
network 192.168.10.0/24
network 192.168.11.0/24
network 192.168.12.0/24
network 192.168.13.0/24
network 192.168.14.0/24
network 192.168.15.0/24
network 192.168.16.0/24
network 192.168.17.0/24
network 192.168.18.0/24
network 192.168.19.0/24
network 192.168.20.0/24
network 192.168.21.0/24
network 192.168.22.0/24
network 192.168.23.0/24
network 192.168.24.0/24
network 192.168.31.0/24
network 192.168.32.0/24
network 192.168.33.0/24
network 192.168.34.0/24
network 192.168.35.0/24
}

Далее создаём firewall-группу для адресов роутера, чтобы VLAN’ы могли общаться с USG (192.168.1.1):

show firewall group address-group ROUTER_IP {
address 192.168.10.1
address 192.168.11.1
address 192.168.12.1
address 192.168.13.1
address 192.168.14.1
address 192.168.15.1
address 192.168.16.1
address 192.168.17.1
address 192.168.18.1
address 192.168.19.1
address 192.168.20.1
address 192.168.21.1
address 192.168.22.1
address 192.168.23.1
address 192.168.24.1
address 192.168.31.1
address 192.168.32.1
address 192.168.33.1
address 192.168.34.1
address 192.168.35.1
}

Потом создаём набор правил firewall, чтобы разрешить доступ в интернет, разрешить доступ к роутеру и заблокировать сети VLAN:

show firewall name VLAN_IN default-action accept
rule 10 {
action accept
destination {
group {
address-group ROUTER_IP
}
}
}
rule 20 {
action drop
destination {
group {
network-group VLAN_NETS
}
}
}

Наконец применяем к VLAN-интерфейсам:

show interfaces ethernet eth2
duplex auto
vif 10 {
address 192.168.10.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 11 {
address 192.168.11.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 12 {
address 192.168.12.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 13 {
address 192.168.13.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 14 {
address 192.168.14.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 15 {
address 192.168.15.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 16 {
address 192.168.16.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 17 {
address 192.168.17.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 18 {
address 192.168.18.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 19 {
address 192.168.19.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 20 {
address 192.168.20.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 21 {
address 192.168.21.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 22 {
address 192.168.22.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 23 {
address 192.168.23.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 24 {
address 192.168.24.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 31 {
address 192.168.31.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 32 {
address 192.168.32.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 33 {
address 192.168.33.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 34 {
address 192.168.34.1/24
firewall {
in {
name VLAN_IN
}
}
}
vif 35 {
address 192.168.35.1/24
firewall {
in {
name VLAN_IN
}
}
}

Стоит ли заменить ‘ROUTER_IP’ на 192.168.1.1?
И вообще, всё остальное будет работать, если просто скопировать и вставить?

Извиняюсь за отсутствие знаний в этой области — надеюсь, в будущих обновлениях появится возможность сделать это напрямую из контроллера?!

Дэйв

Bytechanger

Guest

09.03.2017 10:29:00

Привет! Я тоже хочу настроить изолированные VLAN. Хочу подключить уличные LAN-камеры в отдельный VLAN. Доступ ко всем остальным VLAN должен быть заблокирован. Только мой внутренний домашний VLAN должен иметь доступ к камерам. Это похоже на твою проблему с изоляцией VLAN. Ты нашёл решение для своей задачи с изоляцией VLAN?
С уважением, Byte

davess

Guest

08.02.2016 09:23:00

Насколько я знаю, всё ещё нужно делать это через CLI на USG... хотя я уже перешёл на Cloud Key и пока не разобрался, как это сделать там. Контроллером ограничить скорость на коммутаторе нельзя (исправьте, если ошибаюсь), но, может быть, через CLI? Насколько я понимаю, один из способов сделать это через контроллер — назначить каждого отдельно взятого «клиента» в группу пользователей, хотя это не очень удобно...

davess

Guest

09.03.2017 11:05:00

Да, вот в этом и была загвоздка... Я просто думал, что изоляция VLAN теперь должна быть простой задачей в контроллере, например, отдельная вкладка переключения изоляции. Наверняка есть способ сделать это через контроллер с помощью новых настроек фаервола — как только обновлюсь, обязательно попробую. D

Bytechanger

Guest

09.03.2017 10:56:00

Привет, спасибо за быстрый ответ. Я новичок в Unifi. Но я читал, что когда меняешь настройки через SSH, их нужно экспортировать в файл и положить этот файл на контроллер (потому что когда контроллер обновляет настройки на USG, он перезаписывает изменения, сделанные через SSH). Что ты имеешь в виду под «на данный момент изоляция VLAN — это простой процесс включения и выключения внутри контроллера»? В версии 5.4.11 можно задавать некоторые настройки файрвола через контроллер. Пожалуйста, держи меня в курсе.

davess

Guest

09.03.2017 10:48:00

Привет, Byte! Да, мне удалось настроить это, следуя инструкциям из этого поста, но потом я обновил контроллер и потерял все настройки. Сейчас у меня версия 5.07, вчера пытался обновиться до 5.4.11, но у меня не получилось — позже расскажу об этом подробнее! Я думал, что на данный момент изоляция VLAN будет простой задачей — просто включить или выключить в контроллере, может, в версии 5.4.11? Если нет, придется снова пробовать через ssh. Спасибо, Дэйв.

Ambul Guest	#7 07.02.2016 03:23:00 С последней версией Unifi Controller 4.8.12, USG и коммутатором Unifi, какой сейчас лучший способ изолировать проводные VLAN друг от друга? У меня в здании 4 офиса, и я хочу, чтобы у каждого офиса был свой VLAN с отдельным DHCP, изолированным друг от друга. Офис 1 подключен к порту 1 Офис 2 подключен к порту 2 Офис 3 подключен к порту 3 Офис 4 подключен к порту 4 Устройство в порту 1 должно быть в VLAN 10, IP 10.0.10.101, с доступом в интернет, но без доступа к другим VLAN. Устройство в порту 2 — VLAN 20, IP 10.0.20.101, с доступом в интернет, но без доступа к другим VLAN. Устройство в порту 3 — VLAN 30, IP 10.0.30.101, с доступом в интернет, но без доступа к другим VLAN. Устройство в порту 4 — VLAN 40, IP 10.0.40.101, с доступом в интернет, но без доступа к другим VLAN. Также хочу ограничить скорость на каждом порту: Порт 1 VLAN 10 — медленная скорость загрузки/выгрузки Порт 2 VLAN 20 — средняя скорость загрузки/выгрузки Порт 3 VLAN 30 — высокая скорость загрузки/выгрузки Порт 4 VLAN 40 — без ограничений по скорости Какие настройки в софте Unifi нужны, чтобы это всё настроить?

Читают тему (гостей: 1)