Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Настройка и конфигурирование VLAN., UniFi Network
 
#1
06.04.2025 18:54:00
Я планирую заменить свою текущую сетевую инфраструктуру на оборудование Ubiquiti. Хочу понять, как продукты Ubiquiti могут заменить мою текущую установку:

Основной роутер: ASA5506x - внутренний IP 192.168.10.254
Ядро коммутатора: коммутатор Cisco C2960L с IP 192.168.10.250.
Коммутатор используется в качестве внутреннего шлюза для сети AD. Шлюз коммутатора для доступа в интернет: 192.168.10.254.
Другие коммутаторы доступа также C2960L x 3:
Настройка шлюза коммутатора: 192.168.10.250.
Внутренние коммутаторы в основном используются для нативной VLAN 1, некоторые порты настроены для других VLAN.
ASA используется для следующего:
Ограничения IP для доступа в интернет.
VPN-доступ для сотрудников и консультантов с ограничениями по конкретным IP-адресам.
Переадресация портов для конкретных устройств.

Смогут ли продукты Ubiquiti выполнять часть этой L3-маршрутизации?

Планирую использовать:
UDM-SE для замены ASA в качестве основного коммутатора агрегации.
EnterpriseXG 24' для обеспечения высокоскоростного соединения серверов.
Enterprise 48 PoE Gen1 и Pro Max 48 PoE коммутаторы для доступа.
 
 
 
#2
07.04.2025 18:58:00
@dlow Спасибо за подробное объяснение. В моей текущей сети VLANы выглядят так:

VLAN01 - 10.0.0.x – AD, все устройства подключаются, включая WIFI, DHCP, DNS.
VLAN02 - 10.0.2.x – Телефонная сеть, сеть изолирована на один выделенный коммутатор через один порт основной сети.
VLAN10 - 192.168.1.x – Сеть для камер видеонаблюдения. Аналогично VLAN02, используются отдельные коммутаторы в отдельной сети.
VLAN15 - 10.0.15.x – Сеть для IoT-устройств – VLAN-порты.
VLAN99 - 10.0.99.x – Сеть управления для коммутаторов, планирую использовать для сети управления серверами.

Учитывая, что сеть камер видеонаблюдения (VLAN10) использует тот же subnet, что и сеть управления по умолчанию для Unifi, мне нужно менять IP-адреса для сети камер видеонаблюдения, или я могу изменить сеть Unifi по умолчанию на другой IP-адрес в VLAN1? С точки зрения безопасности, VLAN1 в качестве сети по умолчанию или Native — это проблема? Или мне просто стоит настроить большинство портов на другой VLAN в качестве VLAN Native?

Я не являюсь сетевым администратором, но научился достаточно, чтобы навлечь на себя неприятности. Планирую разделить VLAN1 на отдельные VLANы для лучшего управления и контроля. Например:

*   10.0.0.x останется производственным subnet и будет зарезервирован для подключения производственных машин и подключения к внутренней базе данных оборудования.
*   10.0.1.x станет сетью AD и сетью для подключения серверов (SMB-соединения к VM).
*   10.0.3.x станет сетью для коммуникации серверов, в основном для VM-миграций, репликации VM, резервного копирования серверов.
*   10.0.5.x станет сетью доступа для настольных компьютеров и защищенной внутренней WIFI.
*   10.0.10.x станет сетью WIFI для прямого доступа в Интернет только для неадминистративных сотрудников и подключения подрядчиков.
*   10.0.99.x останется сетью управления для подключения оборудования.

Я понимаю, что лучше сегментировать сети в VLANы. Думаю, это хороший план, если только это не будет слишком сложно?

Буду благодарен за ваши комментарии и мысли.
Спасибо
 
 
 
#3
06.04.2025 19:31:00
Если вы планируете использовать 2 IP-адреса шлюза в одной подсети, то вам нужно будет это настроить для Unifi. Помните, что Cisco -> Unifi похоже на Cisco -> Meraki. Система программно-определяемой сети (SDN) будет более строгой, чем то, что позволит вам получить с помощью произвольной сетевой конфигурации.

Ваш текущий дизайн перегружен VLAN1 слишком большим количеством задач: управление, транзит и "AD" (которое вы не определили четко).

В Unifi: 1 сеть = 1 подсеть = 1 VLAN = 1 шлюз / маршрутизатор по умолчанию.

Pro Aggregation (aka. Hi Cap Aggregation) поддерживает L3-переключение, поэтому он может быть шлюзом для подсети, но я считаю, что только UDM-SE может быть шлюзом для VLAN1.

Unifi создаст Transit Network (VLAN4040, 10.255.253.x/24) для подключения L3-маршрутизаторов к UDM-SE. https://help.ui.com/hc/en-us/articles/360042281174-Layer-3-Routing

Вы также обнаружите, что Unifi по умолчанию использует VLAN1 (192.168.1.x/24) в качестве сети управления. И он использует 192.168.1.20 в качестве его аварийного статического IP-адреса при отсутствии DHCP. Избегайте этого IP-адреса, чтобы избежать проблем в будущем.

И профили портов по умолчанию используют VLAN1 в качестве Native (т.е. PVID=1, Untagged=VLAN1). Лучше всего, когда вы только начинаете, зарезервировать VLAN1 для управляющей плоскости Unifi. Сохраняйте соединения между Unifi устройствами на профиле порта по умолчанию (Native = VLAN1, все остальные VLAN помечены).

Это потому, что Unifi полагается на управление в полосе. Нет аварийного последовательного порта, который мог бы вас разблокировать! Если вы испортите VLAN1, у вас возникнет большая заварушка!

В итоге:

*   VLAN1 зарезервирована для управляющей плоскости Unifi.
*   VLAN4040 для "транзитной" сети между маршрутизаторами.
*   "AD Network" (192.168.10.x/24) переместите на другой VLAN. Может оставаться на VLAN1, если он ограничен функциями управления, и вы готовы изменить IP-адрес подсети.

UDM-SE может справиться со всем этим.
 
 
 
Страницы: 1
Читают тему (гостей: 1)