Обновлено: 09.07.2025 в 18:08:23

Коммутаторы UniFi и списки управления доступом (ACL)

Коммутаторы UniFi поддерживают списки управления доступом (ACL), которые полезны для изоляции трафика устройств внутри одной VLAN. В сетях с высокими требованиями к производительности ACL также можно использовать для управления маршрутизацией между VLAN, не полагаясь на шлюз или межсетевой экран.

Требования

ACL доступны на всех коммутаторах UniFi за исключением: Flex и Flex Mini; US-8; USW Industrial; а также USW Ultra, Ultra-60W и Ultra-210W.

Примечание: ACL недоступны на портах коммутатора в UniFi-шлюзах и точках доступа In-Wall.

ACL на коммутаторах vs. правила межсетевого экрана

Правила межсетевого экрана являются стандартным методом управления трафиком между VLAN или для выхода в интернет.

Два основных варианта использования ACL на коммутаторах:

Изоляция устройств внутри одной сети/VLAN (MAC ACL): Правила межсетевого экрана применяются только к трафику между VLAN или во внешние сети. Для управления трафиком внутри одной VLAN требуются ACL на коммутаторе.
Производительно-ориентированная архитектура сети (IP ACL): Хотя это не обязательно в большинстве случаев, такой подход может сократить задержку на несколько миллисекунд, поскольку ограничения для трафика между VLAN применяются на уровне коммутатора, а не через шлюз.

Упрощённые ACL в UniFi

Мы разработали два параметра для упрощённой настройки ACL (в Настройки > Сети):

Изоляция сетей уровня 3 (L3 Network Isolation): Блокирует весь IPv4-трафик между устройствами из разных сетей.
Изоляция клиентских устройств (Client Device Isolation): Блокирует всё взаимодействие между устройствами в одной сети.

Более подробную информацию по реализации изоляции сети и устройств можно найти здесь.

Как работают ACL?

При создании ACL учитывайте следующие принципы:

Правила ACL обрабатываются сверху вниз.
- Размещайте конкретные правила "разрешить" перед более общими правилами "запретить всё".
- Создавайте правила "разрешить" в первую очередь, особенно при использовании правила "запретить всё" с параметрами Источник: Любой и Назначение: Любое.
MAC ACL применяются до IP ACL.
- Добавлять MAC ACL к сетям, используемым для управления устройствами UniFi, невозможно.

Примеры ACL

Пример MAC ACL

В этом примере шлюз UniFi и клиенты находятся в сети сотрудников (Employees). Этот набор из четырёх MAC ACL блокирует трафик между всеми клиентами в одной сети с учётом следующих исключений:

Разрешить клиентам доступ к шлюзу UniFi для выхода в интернет.
Запретить клиентам взаимодействие друг с другом.

Правило 1 – Разрешить трафик от шлюза UniFi ко всем устройствам в сети сотрудников.

Действие: Разрешить
Коммутатор: Все
VLAN / Сеть: Employees
Тип источника: MAC-адрес
Источник: ab:cd:ef:12:34:56
Тип назначения: Любое

Правило 2 – Разрешить трафик от всех устройств в сети сотрудников к шлюзу UniFi.

Действие: Разрешить
Коммутатор: Все
VLAN / Сеть: Employees
Тип источника: Любой
Тип назначения: MAC-адрес
Назначение: ab:cd:ef:12:34:56

Правило 3 – Запретить весь остальной трафик в сети сотрудников.

Действие: Запретить
Коммутатор: Все
VLAN / Сеть: Employees
Тип источника: Любой
Тип назначения: Любой

Пример IP ACL

В этом примере обычные клиентские устройства находятся в сети "Default", а устройства IoT – в отдельной сети "IoT". Этот набор из двух IP ACL блокирует трафик между всеми устройствами в этих сетях.

Правило 1 – Запретить трафик от всех устройств в сети "Default" в сеть "IoT".

Действие: Запретить
Коммутатор: Все
Протокол: Все
Тип источника: Сеть
Источник: Default
Тип назначения: Сеть
Назначение: IoT

Правило 2 – Запретить трафик от всех устройств в сети "IoT" в сеть "Default".

Действие: Запретить
Коммутатор: Все
Протокол: Все
Тип источника: Сеть
Источник: IoT
Тип назначения: Сеть
Назначение: Default

Была ли эта статья полезной?