UniFi 交换机具有访问控制列表 (ACL),可用于隔离同一 VLAN 上的设备流量。具有高性能要求的网络也可以使用它们来管理 VLAN 间路由,而不是依赖网关或防火墙。

有关 UniFi 流量和策略管理 功能的完整概述,请参阅此处

有关 UniFi 网络和网络安全 功能的完整概述,请参阅此处

要求

除以下设备外,所有 UniFi 交换机均标配 ACL:Flex & FlexMini;US-8;USW Industrial;以及 USW Ultra、Ultra-60W 和 Ultra-210W。

注意:ACL 在 UniFi 网关或墙面式接入点的交换端口上不可用。

交换机 ACL 与防火墙规则

防火墙规则是控制 VLAN 之间 或往返互联网流量的标准方法。交换机 ACL 的两个主要用例包括:

  1. 同一网络/VLAN 内的设备隔离(MAC ACL):防火墙规则仅适用于在 VLAN 之间路由或往返外部网络的流量。管理单一 VLAN 内的流量需要交换机 ACL。
  2. 性能驱动的网络设计(IP ACL):虽然在大多数部署中不是必需的,但这可以节省几毫秒的延迟,因为可以在交换机处应用 VLAN 间流量限制,而不是向上游通过网关。

UniFi 的简化 ACL

我们创建了两个设置来简化常见的 ACL 实现(位于“设置 > 网络”中)。请注意,这些设置要求 至少有一个网络配置UniFi 网关 或作为路由器的 3 层 UniFi 交换机

  • L3 网络隔离:阻止不同网络中设备之间的所有 IPv4 流量。
  • 终端设备隔离:阻止同一网络中设备之间的所有通信。

有关实施网络和设备隔离的更全面信息,请访问此处

ACL 是如何工作的?

在创建 ACL 时,请记住以下逻辑:

  1. ACL 规则 自上而下 进行处理。
    • 将特定的“允许”规则放在更通用的“全部阻止”规则之前。
    • 先创建允许规则,特别是当 使用源:任意目的地:任意 的“全部阻止”规则时。
  2. MAC ACL 在 IP ACL 之前应用。
    • 无法将 MAC ACL 添加到用于管理 UniFi 设备的网络中。

ACL 示例

  1. MAC ACL 示例

    在此场景中,Employees 网络中存在 UniFi 网关和客户端。这组四个 MAC ACL 阻止了同一网络上所有客户端之间的流量,并增加了以下内容:

    • 允许客户端与 UniFi 网关通信以访问互联网。
    • 允许客户端发送广播流量(DHCP 请求)。
    • 阻止客户端相互通信。

    规则 1 - 允许从 UniFi 网关到 Employees 网络上所有设备的流量。

    • Action: Allow
    • Switch: All Switches
    • VLAN / Network: Employees
    • Source Type: MAC Address
    • Source: ab:cd:ef:12:34:56 (UniFi Gateway's MAC address)
    • Destination Type: Any

    规则 2 - 允许从 Employees 网络上所有设备到 UniFi 网关的单播流量。

    • Action: Allow
    • Switch: All Switches
    • VLAN / Network: Employees
    • Source Type: Any
    • Destination Type: MAC Address
    • Destination: ab:cd:ef:12:34:56 (UniFi Gateway's MAC address)

    规则 3 - 允许来自 Employees 网络上所有设备的广播流量(DHCP 请求)。

    • Action: Allow
    • Switch: All Switches
    • VLAN / Network: Employees
    • Source Type: Any
    • Destination Type: MAC Address
    • Destination: ff:ff:ff:ff:ff:ff (Broadcast address)

    规则 4 - 阻止 Employees 网络上的所有其他流量。

    • Action: Block
    • Switch: All Switches
    • VLAN / Network: Employees
    • Source Type: Any
    • Destination Type: Any
  2. IP ACL 示例

    在此场景中,普通客户端设备存在于 Default 网络中,并且有一个包含其他客户端设备的 IoT 网络。这组两个 IP ACL 阻止了 Default 和 IoT 网络上所有设备之间的流量。

    规则 1 - 阻止从 Default 网络上所有设备到 IoT 网络的流量。

    • Action: Block
    • Switch: All Switches
    • Protocol: All
    • Source Type: Network
    • Source: Default
    • Destination Type: Network
    • Destination: IoT

    规则 1 - 阻止从 IoT 网络上所有设备到 Default 网络的流量。

    • Action: Block
    • Switch: All Switches
    • Protocol: All
    • Source Type: Network
    • Source: IoT
    • Destination Type: Network
    • Destination: Default