Bem-vindo à Comunidade UBNT

Isolamento de SSID UniFi

Bom dia Amigos,
Um cliente já possui um firewall de outro fabricante e tem uma rede unifi com aproximadamente 30 dispositivos. Lá são 4 SSID, porém um SSID precisa ficar isolado dos demais queria fazer uma VLAN pra isso, minha pergunta é: Pra isso basta criar uma VLAN no SSID na controladora, ou preciso criar uma faixa de DHCP isolada no firewall para esse SSID.
Mais uma pergunta, é necessário colocar um USG para isso ?
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 984 Pontos
    editado agosto 2018
    Se você tivesse um USG seria muito fácil fazer essa configuração, mas ele não é necessário para fazer o isolamento. Como você já possui múltiplas VLANs configuradas no ambiente, então provavelmente seu firewall/roteador esteja configurado para fazer o roteamento inter-VLAN. Nesse caso basta simplesmente criar uma regra de firewall nessa caixa impedindo a comunicação das demais VLANs com essa VLAN que você pretende isolar. Em relação a boas práticas na configuração de roteamento inter-VLAN, via de regra toda VLAN em L2 deve ser associada com sua respectiva sub-rede em L3, logo o ideal é ter um escopo DHCP específico para cada VLAN/Sub-Rede. 

    Observação: Ao criar um SSID com política guest (visitante) no UniFi, automaticamente os clientes WiFi ficam isolados uns dos outros, sendo que é permitido apenas acesso ao gateway para fins de conectividade com a Internet. É claro que uma regra de firewall na borda bloqueando a comunicação com esse SSID é outra camada de segurança. 
    lucasfernando
  • Ao criar um SSID com política guest (visitante) no UniFi, automaticamente os clientes WiFi ficam isolados uns dos outros, neste caso, os clientes da rede guest ficam isolados e não enxergam nada das demais redes, certo ? (isso já resolveria meu problema por hora).
  • UI-SamuelUI-Samuel 984 Pontos
    Exato, essa seria uma solução rápida e fácil. 
    lucasfernando
  • uma nova SSID para Visitantes onde a faixa de IP atribuída a ele é diferente da minha LAN, sera um VLAN

  • UI-SamuelUI-Samuel 984 Pontos
    Se você vincular o SSID a uma VLAN, sim. No entanto, tenha em mente que apenas vincular um SSID a uma VLAN não muda o fato de que no seu seu roteador de borda deve estar devidamente configurado o roteamento inter-VLAN. 
    lucasfernando
  • R4V3RR4V3R 8484 Pontos
    editado agosto 2018
    Se você vincular o SSID a uma VLAN, sim. No entanto, tenha em mente que apenas vincular um SSID a uma VLAN não muda o fato de que no seu seu roteador de borda deve estar devidamente configurado o roteamento inter-VLAN. 
    Assim como qualquer switch no "meio do caminho" entre o roteador na borda e os pontos de acesso tem que ser adequadamente configurado para transportar aquela VLAN.  :-)
    lucasfernando
  • Se eu apenas vincular o SSID a uma VLAN, eu preciso no firewall por trás setar outra faixa de DHCP para a controladora ? @R4V3R e @UBNT-Samuel 

  • UI-SamuelUI-Samuel 984 Pontos
    editado agosto 2018
    A VLAN que você pretende vincular ao SSID precisa estar previamente criada no roteador/firewall porque nesse equipamento ficará a interface lógica do tipo VLAN que receberá o IP que será gateway da sub-rede. Além disso, será necessário alocar um escopo DHCP para entregar as devidas configurações de rede para os clientes, além do(s) switch(es) ser(em) devidamente configurado(s) com a VLAN. Ou seja, repare que vincular uma VLAN a um SSID é muito simples no UniFi Controller, no entanto toda essa estrutura já tem que existir previamente na sua rede. 
    lucasfernando
  • Acho que vai dar certo desta maneira @UBNT-Samuel só mais uma dúvida, na controladora em NETWORKS preciso criar o gateway/subnet (192.168.20.1/24) e o range DHCP também ou não é necessário ?
  • UI-SamuelUI-Samuel 984 Pontos
    editado agosto 2018
    No seu caso não, já que seu roteador/firewall não é um USG. Você somente faria essa configuração se tivesse um USG para fazer o roteamento inter-VLAN e configuração dos escopos DHCP. Como você já disse que possui outro roteador/firewall no seu ambiente, então todas essas configurações devem ser realizadas nele. No UniFi Controller basta vincular o SSID a sua VLAN...
Entre ou Registre-se para fazer um comentário.