UBNT-BR
UBNT-BR
Jan 21, 2019 · 3 min read

Port Isolation em Switches UniFi: Como Isolar o Tráfego de Máquinas Cabeadas e Minimizar o Broadcast?

Há vários modelos de Switches UniFi para ambientes de pequeno a grande porte, sendo que todos são gerenciados através da interface intuitiva do software UniFi Controller. Além disso, todos eles suportam uma grande variedade de recursos, incluindo VLANs e isolamento de portas.

Observação: Para obter informações detalhadas sobre os diferentes modelos de switch UniFi, recomendamos a leitura deste artigo.

A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.

Observação: Leia este artigo para saber mais detalhes sobre a configuração de VLANs e trunks nos switches da família UniFi.

No entanto, há situações em que o objetivo de projeto vai além dessa separação e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.

Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.

Image for post
Image for post
Fonte: Managing Broadcast Traffic in UniFi

Vale destacar que essa mesma configuração é automaticamente aplicada pelo software UniFi nos APs WiFi ao definir um SSID como guest. Dessa forma a simples marcação dessa opção será suficiente para isolar totalmente a comunicação dos visitantes, de forma que eles não possam alcançar nenhuma outra máquina que não seja o próprio gateway de saída para a Internet.

Observação: Leia este artigo para saber mais sobre a configuração de políticas de visitantes nas redes Wi-Fi da solução UniFi. Para saber mais sobre o sistema gratuito de Hotspot do UniFi, recomendamos a leitura deste artigo.


Para obter esse mesmo efeito de isolamento dos clientes para as máquinas cabeadas conectadas em um switch, independente das máquinas fazerem parte da mesma VLAN em L2 (e sub-rede lógica em L3), basta habilitar o recurso denominado Port Isolation nos Switches UniFi.

> Devices
> Selecionar o Switch
> Ports
> Selecionar a Porta
> + Profile Overrides
> Enable Port Isolation

Image for post
Image for post

Observação: Nas novas versões da controladora a opção "Advanced Options" exibida na animação acima foi renomeada para "Profile Overrides".

O procedimento é rápido e simples de ser feito, mas é importante o administrador estar ciente do que está fazendo antes de habilitar esse recurso nas portas do switch, já que configuração realmente irá isolar a comunicação entre clientes na mesma VLAN, algo que pode não ser desejado em equipamentos compartilhados, como por exemplo impressoras e afins.



Grupo UniFi no Facebook 
facebook.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr


Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução…

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store