UBNT-BR
Jan 21 · 3 min read

Port Isolation em Switches UniFi: Como Isolar o Tráfego de Máquinas Cabeadas e Minimizar o Broadcast?

Há vários modelos de Switches UniFi para ambientes de pequeno a grande porte, sendo que todos são gerenciados através da interface intuitiva do software UniFi Controller. Além disso, todos eles suportam uma grande variedade de recursos, incluindo VLANs e isolamento de portas.

A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.

No entanto, há situações em que o objetivo de projeto vai além dessa separação e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.

Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.

Fonte: Managing Broadcast Traffic in UniFi

Vale destacar que essa mesma configuração é automaticamente aplicada pelo software UniFi nos APs WiFi ao definir um SSID como guest. Dessa forma a simples marcação dessa opção será suficiente para isolar totalmente a comunicação dos visitantes, de forma que eles não possam alcançar nenhuma outra máquina que não seja o próprio gateway de saída para a Internet.


Para obter esse mesmo efeito de isolamento dos clientes para as máquinas cabeadas conectadas em um switch, independente das máquinas fazerem parte da mesma VLAN em L2 (e sub-rede lógica em L3), basta habilitar o recurso denominado Port Isolation nos Switches UniFi.

> Devices > Selecionar o Switch > Ports > Selecionar a Porta > + Profile Overrides > Enable Port Isolation

O procedimento é rápido e simples de ser feito, mas é importante o administrador estar ciente do que está fazendo antes de habilitar esse recurso nas portas do switch, já que configuração realmente irá isolar a comunicação entre clientes na mesma VLAN, algo que pode não ser desejado em equipamentos compartilhados, como por exemplo impressoras e afins.



Grupo UniFi no Facebook 
www.facebook.com/groups/ubnt.unifi.brFórum Oficial da Ubiquiti 
forum-pt.ubnt.comGrupo UniFi no LinkedIN 
www.linkedin.com/groups/12135007Grupo UniFi no Telegram 
t.me/ubiquitibr

Samuel Henrique Bucke Brito samuel.brito@ubnt.com Ubiquiti Networks

Blog UBNT BR

O blog oficial da Ubiquiti Networks no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ubnt.com

Blog UBNT BR

O blog oficial da Ubiquiti Networks no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.