Сетевое оборудование 9 мин чтения

Настройка VLAN в UniFi

VLAN (Virtual Local Area Network) позволяет логически разделить физическую сеть на изолированные сегменты. В UniFi настройка VLAN выполняется через раздел Networks и автоматически применяется к коммутаторам и точкам доступа.

Зачем нужны VLAN

Безопасность

Изоляция устройств IoT, гостей и критичной инфраструктуры. Ограничение распространения угроз.

Производительность

Уменьшение broadcast-трафика. Каждый VLAN — отдельный broadcast domain.

Организация

Логическое разделение отделов, проектов, типов устройств без физической перестройки сети.

Compliance

Соответствие требованиям PCI DSS, HIPAA и другим стандартам, требующим сегментации сети.

Основные понятия

VLAN ID

Числовой идентификатор VLAN от 1 до 4094. По умолчанию все устройства находятся в VLAN 1 (Default/Native VLAN).

Tagged vs Untagged

Tagged (тегированный): Кадры содержат VLAN tag (802.1Q). Используется на trunk-портах между коммутаторами.
Untagged (нетегированный): Кадры без VLAN tag. Используется на access-портах к конечным устройствам.
Native VLAN: VLAN для нетегированного трафика на trunk-порту.

Типы портов

Access: Один VLAN, весь трафик untagged. Для компьютеров, принтеров, телефонов.
Trunk: Несколько VLAN, трафик tagged. Между коммутаторами и к серверам.

UniFi упрощает терминологию: В интерфейсе UniFi вместо «Access» и «Trunk» используются понятия «Network» и «Port Profile». UniFi автоматически настраивает типы портов в зависимости от выбранного профиля.

Создание сети (VLAN)

Шаг 1: Откройте настройки сетей

В UniFi Network перейдите в Settings → Networks.

Шаг 2: Создайте новую сеть

Нажмите Create New Network и заполните параметры:

Параметр	Описание	Пример
Name	Понятное имя сети	IoT Devices
VLAN ID	Уникальный идентификатор	30
Gateway IP/Subnet	IP-адрес шлюза и маска	192.168.30.1/24
DHCP Mode	DHCP Server, None, Relay	DHCP Server
DHCP Range	Диапазон выдаваемых адресов	192.168.30.100 - 192.168.30.254

Шаг 3: Настройте изоляцию (опционально)

В разделе Advanced можно включить:

Isolate Network: Полная изоляция от других сетей
Allow Internet Access: Разрешить выход в интернет
Guest Network: Применить гостевые ограничения

Типовая схема VLAN

Пример сегментации для среднего офиса:

VLAN ID	Название	Подсеть	Назначение
1	Default	192.168.1.0/24	Управление, инфраструктура
10	Corporate	192.168.10.0/24	Рабочие станции сотрудников
20	Servers	192.168.20.0/24	Серверы, NAS, приложения
30	IoT	192.168.30.0/24	Умные устройства, датчики
40	Cameras	192.168.40.0/24	IP-камеры видеонаблюдения
50	Guest	192.168.50.0/24	Гостевой WiFi
100	VoIP	192.168.100.0/24	IP-телефония

Port Profiles

Port Profile определяет, какие VLAN доступны на порту коммутатора:

Создание Port Profile

Перейдите в Settings → Profiles → Port Profiles
Нажмите Create New Port Profile
Введите имя профиля
Выберите Native Network (для untagged трафика)
Добавьте Tagged Networks (для tagged трафика)
Сохраните профиль

Примеры Port Profiles

Профиль	Native VLAN	Tagged VLANs	Применение
Corporate-PC	Corporate (10)	—	Рабочие станции
VoIP-Phone	Corporate (10)	VoIP (100)	IP-телефон + PC
Access-Point	Default (1)	Corporate, Guest, IoT	Точка доступа
Camera	Cameras (40)	—	IP-камеры
Trunk	Default (1)	Все VLAN	Между коммутаторами

Настройка портов коммутатора

Применение профиля к порту

Откройте Devices и выберите коммутатор
Перейдите на вкладку Ports
Кликните на нужный порт
В поле Port Profile выберите профиль
Нажмите Apply Changes

Массовое применение

Для применения профиля к нескольким портам:

На вкладке Ports выделите несколько портов (Ctrl+клик)
Выберите Port Profile в появившейся панели
Примените изменения

Осторожно с uplink-портами: Не меняйте профиль на uplink-портах (между коммутаторами) без понимания последствий. Неправильная настройка может привести к потере связи с коммутатором.

VLAN и WiFi

При создании WiFi сети (SSID) выбирается Network, которая определяет VLAN:

Привязка SSID к VLAN

Перейдите в Settings → WiFi
Создайте или отредактируйте WiFi сеть
В поле Network выберите нужную сеть (VLAN)
Клиенты этого SSID будут в выбранном VLAN

Пример: Гостевая сеть

SSID	Guest-WiFi
Network	Guest (VLAN 50)
Guest Hotspot	Включен
Client Isolation	Включена

Маршрутизация между VLAN

По умолчанию UniFi Console маршрутизирует трафик между всеми VLAN. Для ограничения используйте Firewall Rules.

Блокировка трафика между VLAN

Перейдите в Settings → Firewall & Security → Firewall Rules
Создайте правило LAN In
Source: выберите сеть (например, IoT)
Destination: выберите другую сеть (например, Corporate)
Action: Drop

Типовые правила изоляции

Правило	Source	Destination	Action
IoT → Corporate блок	IoT Network	Corporate Network	Drop
Guest → All LAN блок	Guest Network	RFC1918 (все приватные)	Drop
Cameras → Internet блок	Cameras Network	Any	Drop
Corporate → Servers разрешить	Corporate Network	Servers Network	Allow

Traffic Rules для упрощения: Вместо детальных Firewall Rules можно использовать Traffic Rules — упрощённый интерфейс для типовых сценариев блокировки. Найдите их в Settings → Traffic Management → Traffic Rules.

Диагностика проблем

Устройство не получает IP

Проверьте, что порт коммутатора настроен на правильный VLAN
Убедитесь, что DHCP сервер включён для этой сети
Проверьте uplink — все VLAN должны быть tagged

Нет связи между VLAN

Проверьте Firewall Rules — нет ли блокирующих правил
Убедитесь, что маршрутизация включена на Console
Проверьте Traffic Rules

Нет интернета в VLAN

Проверьте настройку Network — включён ли Internet Access
Проверьте NAT правила для этой подсети
Проверьте DNS настройки

Полезные инструменты

Client Insights: Показывает VLAN и IP каждого клиента
Port Statistics: Трафик по портам коммутатора
Topology: Визуальная карта связей