Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Конфигурация USG‑PRO на Comcast Ethernet Fiber, UniFi Network
 
#1
16.05.2017 02:07:00
Привет, эксперты! Мы настраиваем USG Pro как фронтенд для 200-мегабитного Ethernet-оптоволокна от Comcast. Они предоставляют нам WAN P2P-адрес, а наши статические блоки находятся за ним. Comcast дал немного информации в этой статье: View Ethernet equipment configuration examples. У меня возникает сложность с тем, как настроить USG Pro, чтобы мы могли использовать наши статические блоки с NAT-перенаправлениями портов.  
WAN P2P-адрес: 107.0.xxx.30/30  
WAN P2P-шлюз: 107.0.xxx.29  
IP-блоки:  
50.232.xxx.224/29 (.225-.229 доступны)  
50.224.xxx.240/28 (.241-.253 доступны)  
Как нам настроить USG Pro, чтобы это работало? Я хорошо знаком с CLI и изменением файла config.gateway.json.
 
 
 
#2
02.06.2017 22:57:00
@gregstergmo

Ещё один момент, который стоит учесть и что может упростить тебе жизнь в будущем: подсети, которые предоставляет Comcast, — это маршрутизируемые подсети. Как ты уже заметил, можно разместить все IP на публичном интерфейсе USG и делать NAT на внутренние IP. Это работает, но создает дополнительную нагрузку на USG (возможно, незаметную, но она есть) и здорово осложняет настройку. Особенно если используешь сервисы с IP-аутентификацией, которые могут перестать работать, если ты не настроишь исходящий NAT в USG — а это, скорее всего, вообще не отобразится в GUI.

Маршрутизируемые подсети рассчитаны на то, чтобы размещаться на LAN-интерфейсах (например, LAN1/LAN2 или VLAN), а USG в таком случае используется только как файрвол, который разрешает или блокирует трафик по IP и портам.

Например:

WAN1: 107.0.xxx.30 с шлюзом .29  
LAN1: 50.232.xxx.225 или 50.232.xxx.230  
VLANx: 50.224.xxx.241 или 50.224.xxx.254

Затем на устройствах, подключённых к LAN1, задаёшь другие IP из блока LAN1, маску подсети 255.255.255.248 и в качестве шлюза прописываешь IP интерфейса LAN1. USG в этом случае не делает NAT для этих хостов, только выполняет функции файрвола. VLANx настраивается по тому же принципу, но с маской 255.255.255.240 и своим IP как шлюзом. Работает аналогично LAN1.

Если хочешь, можно ещё добавить RFC1918 подсеть за другим VLAN или LAN2, и сделать для неё NAT от IP WAN1 USG. Тогда эта подсеть будет полностью отделена от двух маршрутизируемых подсетей, но при этом сможет к ним обращаться. По сути, это как DMZ.

Использование IPv6 с Comcast работает примерно так же и даёт около 20% прироста скорости — во многом за счёт лучшей производительности IPv6 по сравнению с IPv4, а ещё снижается нагрузка на IPv4, так как NAT не нужен.

Ещё плюсы — меньше расход памяти на USG из-за меньших NAT-таблиц и поменьше головной боли в настройке и сопровождении, потому что всё можно сделать прямо в GUI. Только не забудь отключить DHCP на маршрутизируемых подсетях, чтобы случайно не было конфликта IP, если кто-то воткнет устройство в свитч на этих сетях.
 
 
 
#3
02.06.2017 22:03:00
Оцените беты — они наконец-то стали значительно лучше!
 
 
 
#4
02.06.2017 14:59:00
Честно говоря, графический интерфейс почти бесполезен для настройки. Учитывая цену, все его баги и то, что многие функции работают только через конфигурационный файл или командную строку, у меня мало веры, что Ubiquiti сделает серию Unifi тем убийственным продуктом, каким они её рекламируют. Я заставляю это работать для клиентов, которые не могут позволить себе более продвинутые решения с удобным интерфейсом и функционалом. К счастью, когда настроено, оборудование работает надежно.
 
 
 
#5
02.06.2017 13:59:00
Возможность назначать другие IP-адреса скоро появится в графическом интерфейсе. Сейчас я не могу это найти, но недавно точно читал об этом где-то.
 
 
 
#6
02.06.2017 13:47:00
Эта тема как раз то, что мне было нужно прочитать. Немного удивительно, что это работает, учитывая, как нам приходится настраивать Fortinet или Cisco, чтобы добиться того же результата — но оно работает, и клиент очень доволен производительностью USG Pro 4. Правда, я думаю, со временем его энтузиазм по поводу необходимости настраивать статические IP-маппинги через json-файл конфигурации заметно поутихнет.
 
 
 
Страницы: 1
Читают тему (гостей: 1)