Port Isolation em Switches UniFi: Como Isolar o Tráfego de Máquinas Cabeadas e Minimizar o Broadcast?

Compartilhar

Data de publicação: 28/02/2019

Há vários modelos de Switches UniFi para ambientes de pequeno a grande porte, sendo que todos são gerenciados através da interface intuitiva do software UniFi Controller. Além disso, todos eles suportam uma grande variedade de recursos, incluindo VLANs e isolamento de portas.


 

configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.


No entanto, há situações em que o objetivo de projeto vai além dessa separação e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.

Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.

 
Fonte: Managing Broadcast Traffic in UniFi

Vale destacar que essa mesma configuração é automaticamente aplicada pelo software UniFi nos APs WiFi ao definir um SSID como guest. Dessa forma a simples marcação dessa opção será suficiente para isolar totalmente a comunicação dos visitantes, de forma que eles não possam alcançar nenhuma outra máquina que não seja o próprio gateway de saída para a Internet.


Para obter esse mesmo efeito de isolamento dos clientes para as máquinas cabeadas conectadas em um switch, independente das máquinas fazerem parte da mesma VLAN em L2 (e sub-rede lógica em L3), basta habilitar o recurso denominado Port Isolation nos Switches UniFi.

> Devices
> Selecionar o Switch
> Ports
> Selecionar a Porta
> + Profile Overrides
> Enable Port Isolation

 
Observação: Nas novas versões da controladora a opção "Advanced Options" exibida na animação acima foi renomeada para "Profile Overrides".

O procedimento é rápido e simples de ser feito, mas é importante o administrador estar ciente do que está fazendo antes de habilitar esse recurso nas portas do switch, já que configuração realmente irá isolar a comunicação entre clientes na mesma VLAN, algo que pode não ser desejado em equipamentos compartilhados, como por exemplo impressoras e afins.

Fonte: Blog da Ubiquiti