Изоляция сети в UniFi

После назначения устройств в VLAN UniFi предоставляет несколько инструментов для контроля и обеспечения изоляции на уровне шлюзов, коммутаторов и точек доступа. Хотя все эти инструменты служат общей цели — изоляции трафика — они работают на разных уровнях и выполняют различные задачи.

Сегментация на шлюзе

Межсетевой экран на основе зон (ZBF)

Межсетевые экраны на основе зон доступны на шлюзах UniFi и облачных шлюзах. Они обеспечивают политику безопасности, определяя правила трафика между различными сетевыми зонами, такими как VLAN, WAN и VPN. ZBF управляет тем, как VLAN взаимодействуют в пределах сети, что делает его наиболее гибким вариантом контроля между VLAN, особенно при необходимости сегментировать VPN-трафик.

Изоляция сети

Для тех, кто ищет упрощенное решение в один клик, UniFi предлагает Network Isolation, которая автоматически настраивает необходимые правила межсетевого экрана для блокировки трафика между VLAN. Чтобы включить:

1. Перейдите в Настройки > Сети.
2. Выберите нужную сеть или VLAN.
3. Включите Network Isolation.

Это наиболее распространённый способ ограничить трафик между VLAN с минимальными настройками.

Сегментация на коммутаторе: списки управления доступом (ACL)

ACL предоставляют дополнительный уровень сегментации, работая на уровне коммутатора. В то время как ZBF управляет трафиком между VLAN на уровне шлюза, ACL управляют трафиком, проходящим через коммутатор внутри или между VLAN. В отличие от ZBF, который применяет правила безопасности на уровне маршрутизации сети, ACL являются более легковесным решением и непосредственно обеспечивают безопасность на уровне коммутатора.

ACL могут использоваться для двух основных типов изоляции:

• Изоляция на уровне L3: блокирует трафик между разными VLAN, предотвращая взаимодействие между сетями без использования межсетевого экрана.
• Изоляция клиентских устройств: ограничивает взаимодействие между устройствами даже внутри одной VLAN, обеспечивая их изоляцию в рамках одной сети.

Чтобы настроить изоляцию клиентских устройств через ACL:

1. Перейдите в Настройки > Сети.
2. Включите Device Isolation (ACL) для соответствующей сети/VLAN.
3. Выберите сеть/VLAN, к которой будет применена изоляция.

ACL отлично подходят для ограничения взаимодействия между VLAN или изоляции отдельных устройств без участия шлюза.

Сегментация на точке доступа: изоляция клиентов

В отличие от ZBF и ACL, которые регулируют трафик между VLAN, Client Isolation блокирует взаимодействие внутри одной точки доступа — даже в пределах одной VLAN, что делает его идеальным решением для гостевых сетей и безопасности IoT. Эта функция дополняет ACL, обеспечивая, что даже внутри одной VLAN устройства остаются изолированными друг от друга.

Чтобы включить Client Isolation:

1. Перейдите в Настройки > WiFi.
2. Выберите WiFi, связанный с вашей сетью.
3. Включите Client Device Isolation.

Рекомендации по настройке общедоступного гостевого WiFi

Эти инструменты сегментации критически важны для защиты гостевых сетей, предотвращения несанкционированного взаимодействия между устройствами и обеспечения конфиденциальности пользователей. Чтобы получить пошаговую инструкцию по реализации этих техник в общедоступных гостевых WiFi-сетях, см. руководство по лучшим практикам для гостевого WiFi.

Дополнительные инструменты управления трафиком

Помимо сегментации сети, UniFi также предлагает средства управления на уровне приложений, такие как:

• Ограничения трафика для блокировки определённых приложений или сервисов.
• QoS (качество обслуживания) для приоритезации пропускной способности для критичных устройств.
• Маршрутизация по политике для направления трафика на основе заданных правил.

Эти функции позволяют более точно настраивать поведение сети в зависимости от задач и приоритетов.