UniFi 提供一系列功能来实现网络/VLAN 和客户端设备隔离。了解这些功能的工作原理和实现方式可以显著提高网络的安全。
网关功能
网络隔离
网络隔离是将一个网络/VLAN 与所有其他网络/VLAN 完全隔离的最简单方法。启用后,会自动创建防火墙规则。
实现方式:
- 跳转到 Settings 设置 > Networks 网络
- 选择所需的网络
- 启用 Isolate Network 隔离网络
流量和防火墙规则
当需要更多的灵活性和控制时,流量和防火墙规则可提供隔离解决方案。它们不是将一个网络/VLAN 与所有其他网络/VLAN 完全隔离,而是允许您:
- 阻止特定网络/VLAN 与其他网络/VLAN 的通信。
- 阻止特定网络/VLAN 上的某些设备与网络/VLAN(或这些网络/VLAN 上的特定设备)通信。
- 将隔离限制在特定 端口 或 协议 上。
如需了解更多信息,请阅读关于流量和防火墙规则的文章。
交换机功能
设备隔离 (ACL)
设备隔离可限制 同一网络或 VLAN 内 设备之间的通信,适用于结合使用 UniFi 网关和 UniFi 交换机,或者将 UniFi 三层交换机设置为路由器的网络。有关交换机 ACL 和支持的交换机型号的更多信息,请单击此处。
实现方式:
- 跳转到 Settings 设置 > Networks 网络
- 启用 Device Isolation 设备隔离 (ACL)
- 选择要应用隔离的网络/VLAN
从 UniFi Network 8.2 版本开始,可以在 Settings 设置 > Security 安全 > ACL Rules ACL 规则中找到更灵活的配置选项。
L3 网络隔离 (ACL)
三层网络隔离与网络隔离功能 相同,但允许自定义特定网络或 VLAN。三层网络隔离利用 UniFi 交换机上的 ACL,适用于结合使用 UniFi 网关和 UniFi 交换机,或者将 UniFi 三层交换机设置为路由器的网络。有关交换机 ACL 和受支持的交换机型号的更多信息,请单击此处。
实现方式:
- 跳转到 Settings 设置 > Networks 网络
- 启用 L3 Network Isolation L3 网络隔离 (ACL)
从 UniFi Network 8.2 版本开始,可以在 Settings 设置 > Security 安全 > ACL Rules ACL 规则中找到更灵活的配置选项。
端口隔离
启用此设置后,端口隔离将阻止指定交换机和交换机上其他端口之间的流量。
实现方式:
- 跳转到 Ports 端口并选择相关交换机上的端口
- 启用 Port Isolation 端口隔离
AP 功能
热点门户
除了提供用于访客身份验证的专用热点外,热点门户还提供 AP 级别的网络隔离。默认情况下,连接到热点门户的访客将与除其分配到的网络之外的所有其他网络隔离。这可以通过启用预授权许可来修改。有关更多信息,请阅读我们的热点门户文章。
此功能对于仅使用 UniFi 接入点 的 UniFi 部署特别有用。
实现方式:
- 跳转至 Settings 设置 > WiFi ,然后选择 WiFi 配置文件
- 启用 Hotspot Portal 热点门户
客户端设备隔离
客户端设备隔离是 WiFi 配置中的一项设置,可防止同一 AP 上的无线客户端相互通信。该设置通常与交换机 ACL 结合使用,以确保完全的客户端隔离。
实现方式:
- 跳转至 Settings 设置 > WiFi ,然后选择 WiFi 配置文件
- 启用 Client Device Isolation 客户端设备隔离
注意:这可能会抑制 AirPlay、Chromecast、Sonos 设备、屏幕镜像和无线打印机的功能。
如何实现公共访客网络的完全隔离
- 跳转到 Settings 设置 > Networks 网络
- 选择或创建一个 网络。
- 启用 网络隔离 可将此网络/VLAN 与所有其他网络/VLAN 隔离。如果您想要更多自定义功能,请使用流量和防火墙规则。
- 跳转到 Settings 设置 > WiFi ,并选择或创建 WiFi。
- 将步骤(2)中的网络分配给 WiFi。 6.(可选)如果您希望 WiFi 客户端通过专用热点进行身份验证,请启用热点门户。有关更多信息,请阅读我们的热点门户文章。
- 启用 客户端设备隔离 以防止连接到同一 AP 的客户端之间的通信。
- 启用 设备隔离(ACL) 以在交换机级别完成客户端隔离。
