Resumo Breve
Este vídeo ensina como configurar VLANs (Virtual Local Area Networks) para segmentar e proteger sua rede doméstica ou empresarial usando dispositivos UniFi da Ubiquiti, como o UDM Pro ou UDR. O vídeo aborda a criação de novas VLANs, associação a redes Wi-Fi, configuração de portas de switch para VLANs específicas, roteamento entre VLANs, configuração de regras de firewall para controlar o tráfego entre as redes e o bloqueio do acesso à internet para redes específicas, como a de IoT. Além disso, explica como habilitar o mDNS para permitir a comunicação entre dispositivos em diferentes VLANs, como Chromecast e Apple TV.
- Criação e configuração de VLANs para segmentar a rede.
- Configuração de regras de firewall para isolar redes e controlar o acesso à internet.
- Habilitação do mDNS para permitir a comunicação entre dispositivos em diferentes VLANs.
O que são VLANs? [0:00]
VLANs (Virtual Local Area Networks) são redes virtuais criadas dentro de uma rede física maior para segmentar dispositivos e aumentar a segurança. Elas permitem isolar dispositivos em diferentes redes, como dispositivos IoT, da rede principal, onde estão computadores e storages. Isso impede que dispositivos comprometidos em uma rede acessem outras redes mais seguras. Além da segurança, as VLANs melhoram o desempenho da rede, pois os dispositivos em uma VLAN só se comunicam dentro dessa VLAN ou com a internet, caso permitido. É possível criar uma rede separada para convidados, isolando-os dos dispositivos IoT e da rede principal. As VLANs podem ser aplicadas tanto a conexões Wi-Fi quanto a dispositivos conectados por cabo, desde que os switches sejam gerenciáveis. Switches gerenciáveis permitem que portas específicas sejam atribuídas a VLANs, garantindo que os dispositivos conectados a essas portas se comuniquem apenas dentro da VLAN designada.
Criando uma nova Rede VLAN e associando ao WiFi [5:57]
Para criar uma nova VLAN, acesse as configurações de rede no painel de controle do seu dispositivo UniFi (UDM Pro ou UDR). Desative o "Auto Scale" para configurar manualmente a rede. Defina um endereço IP para a nova rede, como 192.168.140.0/24, e especifique o IP do roteador nessa rede, como 192.168.140.1. Ative o DHCP para que os dispositivos recebam automaticamente um IP dentro dessa rede. Em configurações avançadas, atribua um ID de VLAN diferente do ID 1 (VLAN padrão), como 140. Para associar essa VLAN a uma rede Wi-Fi, crie uma nova rede Wi-Fi e selecione a VLAN recém-criada (Lan 4) como a rede para essa conexão Wi-Fi. Isso garante que qualquer dispositivo conectado a essa rede Wi-Fi seja automaticamente colocado na VLAN 140, isolado das outras VLANs.
Como configurar uma VLAN em uma porta do Switch [10:17]
Para configurar uma porta física do switch para uma VLAN específica, vá para as configurações do dispositivo no painel de controle da rede. Selecione a porta desejada no "Port Manager" e atribua-a à VLAN desejada (por exemplo, Lan 4). Isso fará com que qualquer dispositivo conectado a essa porta pertença à VLAN 140. Para isolar completamente essa porta, bloqueie o acesso a todas as outras redes. Alternativamente, você pode configurar a porta como um "Trunk", permitindo que ela se comunique com todas as VLANs. Isso é útil para conectar switches gerenciáveis, onde uma única porta pode transmitir tráfego de várias VLANs. É importante configurar as portas dos pontos de acesso Wi-Fi para que conheçam todas as VLANs, permitindo que diferentes redes Wi-Fi operem em VLANs distintas.
Comunicação (Roteamento) entre as Redes VLANs [13:09]
Por padrão, os roteadores, como o UDR e o UDM Pro, roteiam o tráfego entre as VLANs, permitindo que dispositivos em diferentes VLANs se comuniquem. Para isolar as VLANs e impedir essa comunicação, é necessário configurar regras de firewall.
Como configurar as Regras de Firewall [14:46]
Para configurar as regras de firewall, acesse as configurações de "Firewall" no painel de controle da rede. Crie regras de firewall para a LAN (rede local) para controlar o tráfego entre as VLANs. As regras de firewall podem ser configuradas para tráfego de entrada (Lan in), saída (Lan out) ou local (Lan local), que se refere ao tráfego destinado ao próprio roteador. Para isolar a VLAN Lan 4, crie uma regra que bloqueie todo o tráfego de entrada (Lan in) da Lan 4 para todas as outras redes internas. Crie um grupo de endereços IP que inclua todas as redes internas (VLANs) e use esse grupo como destino na regra de firewall. Isso impede que qualquer dispositivo na Lan 4 acesse outras redes internas. Para testar a regra, use o comando "ping" para verificar se os dispositivos em diferentes VLANs conseguem se comunicar. Desativar a regra de firewall permitirá que o tráfego volte a passar entre as VLANs.
Como Bloquear a Internet para Rede IoT [22:03]
Para impedir que a rede IoT acesse a internet, crie uma regra de firewall na seção de "Internet". Use a opção "Internet Out" para bloquear o tráfego de saída da rede IoT para a internet. Especifique a rede IoT como a origem do tráfego e configure a regra para "drop" (bloquear) o tráfego. Isso impede que qualquer dispositivo na rede IoT acesse a internet.
mDNS [23:21]
Para permitir a comunicação entre dispositivos em diferentes VLANs, como Chromecast e Apple TV, habilite o mDNS (multicast DNS). Acesse as configurações de rede e localize a opção "multicast DNS". Selecione as redes entre as quais você deseja permitir o tráfego de mDNS. Isso permite que os dispositivos se descubram em diferentes VLANs, facilitando o uso de serviços como streaming e compartilhamento de tela.