Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Гостевые ACL в Unifi, UniFi Network
 
#1
29.09.2014 15:34:00
Как обрабатываются гостевые ACL на точках доступа? Влияет ли наличие ACL на производительность точек доступа? Интересуюсь, потому что сейчас они мне не нужны, но хотелось бы оставить их включёнными в качестве дополнительного уровня защиты.
 
 
 
#2
14.11.2014 21:12:00
Вот ответ, который я только что получил от службы поддержки, и он гораздо более логичный, чем это «сигнал уходит на контроллер», о чём говорили раньше.
 
 
 
#3
14.11.2014 20:19:00
Если они подключены к сети, которая является частью «гостевой сети с captive portal», то, насколько я понимаю, контроллер должен быть активен постоянно (я подразумеваю, что он выполняет функции брандмауэра или маршрутизатора). Если же они находятся в сети, которая не относится к «гостевой сети с captive portal», то контроллер не влияет на подключение к WLAN, и WLAN продолжит работать в режиме «без управления», даже если контроллер будет выключен.
 
 
 
#4
14.11.2014 20:07:00
Согласен. Надеюсь, кто-то знает ответ.
 
 
 
#5
14.11.2014 20:06:00
Гостевая беспроводная сеть работает не так. Контроллер нужен только для гостевого портала. ACL должны работать на точках доступа, как именно – я не знаю, и именно поэтому я создал эту тему.
 
 
 
#6
14.11.2014 20:04:00
Я не спорю о том, как это должно или не должно быть настроено. Я просто говорю... Если мои беспроводные гости находятся в той же подсети, что и другие проводные устройства, но я ограничиваю эту подсеть с помощью настроек «guest access control»... ТО ЭТО РАБОТАЕТ, как и должно, но КАК? Трудно поверить, что трафик, предназначенный хосту в той же подсети, уходит куда-то и потом возвращается. Я согласен, что устройства должны быть в разных подсетях, но именно этого я и не спрашиваю.
 
 
 
#7
14.11.2014 19:56:00
Ты слишком всё усложняешь. Если это обычная WLAN (например, SSID = myWLAN) и не гостевая сеть, то всё работает как обычная «неуправляемая» WLAN после того, как ты один раз настроишь каждую точку доступа. Если же это гостевая WLAN (например, SSID = «MyWLAN_Guests»), то 192.168.1.50 находится в совершенно другой подсети (надеюсь), чем принтер (например, 192.168.0.25). Тогда контроллер выступает как роутер и проверяет, разрешено ли гостю (1.50) подключаться к сети 0.0/24. Если разрешено — всё нормально, трафик идёт. Если нет — пакеты сбрасываются (или, возможно, гостю приходит отказ... с этим не уверен на 100%).
 
 
 
#8
14.11.2014 19:51:00
То, что я имею в виду под «одной подсетью», это... Если мой беспроводной клиент, например телефон, получает IP-адрес 192.168.100.50, а у меня есть принтер в той же подсети с адресом 192.168.100.60, обычно я могу добраться до этого принтера, используя L2/ARP, и тогда обнаруживаю, что принтер в той же подсети, значит, трафик не надо отправлять через маршрут по умолчанию. Ты говоришь, что точка доступа как-то перехватывает этот L2-трафик, отправляет его на контроллер в облаке, а потом обратно?
 
 
 
#9
14.11.2014 19:46:00
Если вы используете «гостевую сеть» (PCI Compliance или нет), контроллер ВСЕГДА должен быть запущен. Правда, не совсем понятно, что вы имели в виду под «хост на той же подсети»... Контроллер не обязателен для обычных WLAN после первоначальной настройки и конфигурации. Как только с этим закончите, точки доступа можно отключить от контроллера — они продолжат работать с теми настройками, которые им были назначены. Контроллер нужен только если у вас WLAN с гостевым порталом (отметьте галочку «guest network») или если хотите смотреть статистику, например, «самое активное устройство» или что-то подобное.
 
 
 
#10
14.11.2014 19:15:00
Если то, что ты говоришь, правда, то мне нужно убедиться, что контроллер всегда работает, если используется гостевой контроль доступа? Значит, ты ещё утверждаешь, что если я пытаюсь связаться с хостом в той же подсети, что и беспроводной гость, то трафик покидает эту подсеть, выходит из моего дома, идёт к L3-контроллеру, а потом возвращается обратно и доставляется туда, куда нужно — хотя на самом деле это всего лишь уровень L2 и пару шагов от беспроводного гостя?
 
 
 
#11
14.11.2014 19:10:00
Нет, это контроллер просто сообщает устройству, что оно не может получить доступ к ограниченной подсети. По сути, это «программный файрвол» внутри контроллера UniFi. Однако, если говорить о соответствии PCI... беспроводная сеть (да и вообще проводная) должна проходить через какой-то аппаратный файрвол вместе с механизмом аутентификации пользователей, прежде чем к ней кто-то получит доступ (например, полностью заблокировать «коммерческие» вещи и требовать вход в сильно ограниченную среду Citrix для выполнения любых действий).
 
 
 
#12
14.11.2014 18:46:00
Кто-нибудь может объяснить, как именно реализована эта штука с «ограниченной подсетью» на точках доступа? Я точно вижу, что это работает, как надо, но хочу лучше понять, как именно. Точки доступа же, наверняка, работают на какой-то версии Linux, так что есть ли в Linux что-то, что отвечает за такую фильтрацию? У меня есть человек, который спрашивает это для целей соответствия PCI, и ему нужно официальное подтверждение от производителя о том, как и какие подсети блокируются.
 
 
 
Страницы: 1
Читают тему (гостей: 1)