En Layer-2, Enterprise Networks confía en las VLAN para aislar lógicamente el tráfico del usuario en las áreas de red deseadas, como con los usuarios con diferentes accesos a la red. Para redes empresariales, UniFi identifica dos tipos de usuarios, Corporativo e Invitado, como capaces de enviar tráfico confiable y no confiable, respectivamente.
Nota: Independientemente del tipo de usuario, los controles de ancho de banda casi siempre se deben asignar a las estaciones inalámbricas y se configuran en los grupos de usuarios de UniFi.
Figura A: topología de red empresarial para dispositivos UniFi / tipos de usuario (Corporate & ‘Guest’, donde Admin es un tipo de usuario ‘corporativo’ en una VLAN separada, 10).
Usuarios corporativos
De manera predeterminada, UniFi no impone restricciones al tráfico de usuarios “corporativos”, ya que se supone que pertenece a un usuario Enterprise de confianza. Por ejemplo, los usuarios de administración en la VLAN de MGMT aún se colocarían en un tipo de red ‘Corporativa’, aunque una VLAN separada, como se muestra aquí (VLAN 10).
Nota: A pesar de que no existen restricciones predeterminadas para los usuarios corporativos, el motor de Inspección profunda de paquetes de Ubiquiti brinda información administrativa sobre todo el tráfico de usuarios enviado a través de la red UniFi.
Figura B: redes UniFi creadas con el propósito de variar los tipos de usuario (usuarios ‘corporativos’ = de confianza y administradores / MGMT, ‘invitados’ = usuarios que no son de confianza).
Usuarios Invitados
En comparación con el tráfico de usuarios corporativos de confianza, el tráfico de usuarios Invitados, por defecto recibe algunas restricciones importantes, que incluyen:
Otras restricciones incluyen el acceso previo y posterior a la autorización a los rangos de IP de la LAN privada RFC 1918, según se haya configurado, en la pestaña Configuración de control de invitados.
Aislamiento del cliente, lo que significa que el tráfico local, como las transmisiones de capa 2 o los mensajes de unidifusión entre los invitados en el mismo local, está bloqueado. De forma predeterminada, esto significa que el tráfico de invitado solo se pretende que pase río arriba o río abajo, por ejemplo, para el uso de Internet.
Los controles de acceso de autorización previos y posteriores se refieren a los rangos de red, a los que los usuarios invitados pueden enviar tráfico, antes o después de que estén autorizados para usar la red. Con el Guest Portal activo, la Autorización de Invitado se produce automáticamente una vez que el Invitado se autentica a través de un método definido por el administrador. Con el Guest Portal inactivo, la Autorización de invitado se produce automáticamente.
En resumen, con los controles invitados predeterminados que no se han modificado, el sistema UniFi solo confía en que los invitados utilicen la red para el acceso a Internet.
Figura C – Controles de acceso de autorización previa / posterior disponibles en el panel de configuración de UniFi Guest Control.