Port Isolation em Switches UniFi: Como Isolar o Tráfego de Máquinas Cabeadas e Minimizar o Broadcast?
Há vários modelos de Switches UniFi para ambientes de pequeno a grande porte, sendo que todos são gerenciados através da interface intuitiva do software UniFi Controller. Além disso, todos eles suportam uma grande variedade de recursos, incluindo VLANs e isolamento de portas.
Observação: Para obter informações detalhadas sobre os diferentes modelos de switch UniFi, recomendamos a leitura deste artigo.
A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.
Observação: Leia este artigo para saber mais detalhes sobre a configuração de VLANs e trunks nos switches da família UniFi.
No entanto, há situações em que o objetivo de projeto vai além dessa separação e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.
Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.
Vale destacar que essa mesma configuração é automaticamente aplicada pelo software UniFi nos APs WiFi ao definir um SSID como guest. Dessa forma a simples marcação dessa opção será suficiente para isolar totalmente a comunicação dos visitantes, de forma que eles não possam alcançar nenhuma outra máquina que não seja o próprio gateway de saída para a Internet.
Observação: Leia este artigo para saber mais sobre a configuração de políticas de visitantes nas redes Wi-Fi da solução UniFi. Para saber mais sobre o sistema gratuito de Hotspot do UniFi, recomendamos a leitura deste artigo.
Para obter esse mesmo efeito de isolamento dos clientes para as máquinas cabeadas conectadas em um switch, independente das máquinas fazerem parte da mesma VLAN em L2 (e sub-rede lógica em L3), basta habilitar o recurso denominado Port Isolation nos Switches UniFi.
> Devices
> Selecionar o Switch
> Ports
> Selecionar a Porta
> + Profile Overrides
> Enable Port Isolation
Observação: Nas novas versões da controladora a opção "Advanced Options" exibida na animação acima foi renomeada para "Profile Overrides".
O procedimento é rápido e simples de ser feito, mas é importante o administrador estar ciente do que está fazendo antes de habilitar esse recurso nas portas do switch, já que configuração realmente irá isolar a comunicação entre clientes na mesma VLAN, algo que pode não ser desejado em equipamentos compartilhados, como por exemplo impressoras e afins.
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.
