虚拟网络 (VLAN) 可以对网络进行分割,从而提高性能、安全性和流量管理。它们有助于隔离设备和用户,降低未经授权访问的风险,并限制网络内潜在威胁的传播。本指南介绍如何使用 UniFi 和第三方网关创建 VLAN 并隔离设备。
创建 VLAN
UniFi 允许在 UniFi 网关和第三方网关上创建 VLAN ,而 VLAN Magic 则可以作为小型站点的替代方案。
UniFi 网关上的 VLAN
这是 UniFi 部署的 默认 VLAN 创建方法。
- 在 UniFi 网络中,导航至 设置 > 网络 并 创建一个新的虚拟网络。
- 命名网络。
- 可选择配置 VLAN ID、子网范围、DHCP、隔离、内容过滤和 DNS 等设置。
- 单击 “应用更改”。
默认情况下,在 UniFi 网关上创建的 VLAN 不会自动分配给客户端等设备。请参阅本文分配部分了解更多。
第三方网关上的 VLAN
如果使用第三方网关,则 必须先在网关上创建 VLAN,然后才能在 UniFi 中识别。
- 在第三方网关上配置网络的 子网、VLAN ID 和 DHCP 设置。
- 在 UniFi 中,导航至设置>网络并 创建一个新的虚拟网络。
- 在 路由器 下,选择 第三方网关。
- 使用与第三方网关 相同的 VLAN ID 以保持一致性。
- 单击 “应用更改”。
大多数第三方网关默认阻止 VLAN 间通信。如有需要,请在第三方网关上配置 VLAN 路由和防火墙规则。
VLAN Magic:小型站点的捷径
VLAN Magic 通过直接通过 MAC 地址分配 VLAN 来简化 VLAN 的创建。
- 在 UniFi 网络中,单击左侧导航栏上的“拓扑” 。
- 单击“⊕”符号打开 创建虚拟网络 面板。
- 命名 VLAN 并从拓扑中选择设备。
- (可选)启用网络隔离或阻止互联网访问。
- 单击 “应用更改”。
以下交换机不支持 VLAN Magic:
- USW Flex
- USW Flex Mini
- USW Ultra
- USW Flex 2.5G系列
- ECS Aggregation
将设备分配到 VLAN
VLAN 对网络进行分割,以提高安全性、优化流量并简化管理。UniFi 提供静态和动态 VLAN 分配方法,具体取决于网络需求。
要设置 VLAN,请遵循我们的 创建虚拟网络 指南。以下是按复杂性和需求分类的 VLAN 分配方法。
简单/静态 VLAN 分配
这些方法根据 SSID 或交换机端口分配 VLAN,确保设备保持在固定 VLAN 上而无需身份验证。
将 VLAN 分配给 WiFi SSID
每个 SSID 可以绑定单个 VLAN,确保所有连接设备均位于指定 VLAN 内。为了提高灵活性,PPSK(按密码分配 VLAN)允许同一 SSID 上存在多个 VLAN,其中使用的密码决定 VLAN 分配。
此方法最适合需要基本无线分割且无需复杂身份验证的环境。点击此处了解更多信息。
为有线客户端分配 VLAN
VLAN 可以直接分配给交换机端口,确保连接到特定端口的任何设备都位于指定的 VLAN 中。此方法非常适合位于固定位置的有线设备,例如服务器、打印机或需要统一 VLAN 分配的工作站。点击此处了解更多信息。
高级/动态 VLAN 分配
动态 VLAN 分配通过使用身份验证机制根据用户凭据或设备属性分配 VLAN,从而提供更大的灵活性。
这些方法最适合用户或设备可能在接入点或交换机端口之间移动但仍需要保留特定 VLAN 分配的网络。
基于用户名和密码的 VLAN 分配
RADIUS 身份验证 (802.1X) 允许根据用户凭据分配 VLAN。当用户登录时,RADIUS 服务器会确定应将用户置于哪个 VLAN 中。
这种方法非常适合那些需要根据用户角色分配不同 VLAN 访问权限的组织,例如将会计人员分配到“会计 VLAN”中。点击此处了解更多信息。
通过 RADIUS 基于 MAC 的 VLAN 分配
无需用户凭据,可以根据设备的 MAC 地址分配 VLAN。此方法可确保特定设备始终连接到同一 VLAN,即使在不同的接入点、交换机端口或用户之间移动也是如此。这对于物联网设备、安全摄像头或任何必须保持一致 VLAN 分配的客户端非常有用。点击此处了解更多信息。
这需要使用 UniFi 网关,并且是基于 MAC 地址分配 VLAN 的最常用方法。
充分利用 VLAN
VLAN 可以增强网络分割、安全性和流量管理。了解如何应用这些原则可确保您充分利用 VLAN 设置:
