UniFi UDM-PRO旁路控制器设置完全教程

无线论坛

来一篇干货！！
本文写于二年前，由于一直忙碌成文后一直未完成整理。
现特在本坛和公众号首发，如果想要更多技术含量高的文章请关注和订阅公众号UBNT教程集。

查看本站公众号本文原文

本文适用于集成UniFi控制器的UniFi网关用于旁路控制器均适用本文：

• UDM
• UDM-PRO/UDM-SE
• UX
• UCG-Ultra
• UDM-PRO-MAX
• UDW
• UDR
  

相关教程：
UBNT UniFi网关家族参数对比一览表
UBNT UniFi全系AP参数对比一览表
UBNT UniFi Protect家族参数对比一览表
UBNT室内AP安装和拆卸详细教程
UBNT AP连接和供电教程

本文应用在常见的企业三层网络中，如果您是普通家庭用户做旁路，请查看第五节教程。


一、需求

先一条条整理出客户的需求，分别来掰扯：

1. 3条光纤，其中一条指定国际线路
多条光纤需要同时负载，于是UniFi网关直接全部排除；EdgeRouter全部缺货，也排除，只能用第三方的。（本文写于2022年，其时缺货严重）

2. UnFi的AP、交换机、监控和门禁统统要，就是要全家桶！任性！
大家都知道UniFi发展到现在，扩展到了许多门类，有无线、交换、门禁、电话和监控。客户要同时管理AP网络、监控和门禁，首先排除UCK的独立控制器，电脑端控制器不支持监控和门禁，那唯有UDM-PRO（UDM-SE）可以。

3. 需要有防火墙
许多网关都支持，这个问题不大。

4. WiFi区分员工和客用网
这是基本功能，不算特殊要求。

至于漫游那些要求，都不算事。整理完客户需求，随手给客户做了方案扔过去完事，感觉没啥难度。主要看拓扑图就可以了：

第一张拓扑图

在这个方案中，重点在UDM-PRO仅作为旁路控制器使用。

二、旁路不可行？

然后，奇葩的问题来了。用户网上查了后并没人去做过UDM旁路的，于是专门发邮件给官方支持，询问此法是否可行。结果答复是：不可以！

在我的理解中，不论是何种无线控制协议，都脱离不了TCP/IP的范畴。所以我开始并不觉得做旁路AC会存在什么问题。世界排名前面的所有品牌，独立的控制器清一色全是旁路的，不论是私有还是标准的控制协议，就没有听说旁路不行的。我们在给UniFi AP连到云端时，通过SSH设置AC地址，AP只要与AC地址互通，不论您在地上还是云上都一样属于旁路AC原理。

当用户截图告诉我时，嗯，我没怀疑人生，而是直觉UI的技术肯定错了。

于是拆了台UDM-PRO和二个AP测试，顺利通过验证。门禁监控则未测试。

三、设置

待工人安装好设备和整理好机房后便去上门调试。

这段时间沟通了几次，网关换成了第三方防火墙。期间还想到一个问题，UDM做旁路时是无法绑定UI账号，那样就不能远程云管理了。没了云管理，UniFi就不是原汁原味的UniFi了，这不是我们的作风。有问题不怕，总是能解决的。

于是有了第二张拓扑图，如下：

第二张拓扑图

1.vlan规划

Vlan100为管理vlan，AP、摄像头和交换机等设备从UDM-PRO DHCP得到IP。

小技巧：在中大型网络中，通常将设备IP独立一个VLAN，是为管理VLAN。将其与业务VLAN分开，除了提高管理性和安全性，主要避免业务的广播、组播报文影响端口和AP的性能。

2台POE交换机部分端口会给复印机和电脑使用，为vlan10；无线办公网vlan30和访客vlan40，这些通常称为业务VLAN，其DHCP在防火墙上实现。

重点在设备间的互联口，通过限制相应的VLAN ID来实现不同的DHCP。

要注意管理VLAN的vlan100是在防火墙上设了对应的VLAN ID为100，且IP为192.168.100.0，而UDM的LAN IP对应vlan100，故本文只是以此说法来标识区分。

在控制器中先设置好对应的vlan ID，UDM-PRO VLAN列表：

然后设置一个Trunk组，将vlan10、30和40编成组，起名为vlan10-40：

2.交换机端口设置

SW2与防火墙上联的25号端口，设置Trunk vlan10-40组（重点是不给vlan100通行）：

SW1和SW2之间通过26口互联，二台交换机的26号端口Trunk ALL（也可Trunk VLAN10/30/40/100）：

复印机等有线设备的交换机端口，将默认vlan设为10，其会自动从防火墙分配到vlan10的IP：

二台交换机设一下固定IP：

3.UDM-PRO上的设置

UDM WAN口DHCP，从防火墙得到一个IP直连互联网。防水墙对应端口要预先配置好。UDM-PRO下联SW1的端口为port11，设置VLAN为LAN：

说明：LAN对应IP段为100，只允许本端口vlan100通过，这样其余的vlan ID将不会通过UDM-PRO，而交换机的设备端口全部默认Native网络VLAN为LAN，故可以从UDM-PRO DHCP得到vlan100的IP。

4．无线网络设置

办公SSID VLAN设置，按系统图设成vlan30：

访客SSID照做。

无线论坛

四、旁路AC遇到的问题


在UDM-PRO做旁路调试的过程中，遇到一些主要问题，不一而足，整理如下：

1.UDM-PRO对门禁和监控的采用问题
2.接入UI云管理的问题
3.内网查看控制器的问题


相关问题请访问公众号，直通链接

无线论坛

五、二层网络的旁路设置


上面讲述的是企业三层环境下的旁路设置，对大部分普通用户而言较为复杂。家庭用户应用简单，开个普通SSID能管理和漫游就可以了。但要实现旁路和云管理，还是较普通情况困难点的。如此，引申下述第三张拓扑图：

第三张拓扑图

如果UDM-PRO不用云管理，则不用在软路由器上建vlan，这时设置就很傻瓜了。但大多数情况下我们需要用到APP云管理的，按上图将UDM的WAN与连接的路由器LAN独立一个VLAN即可。

六、后记

UniFi网关的功能并不能完全满足许多人的实际应用，而门禁等系统又必须使用UDM这种设备来管理。利用UDM做旁路控制器，对想要真正全家桶的朋友来说是个福音。从此天高任翱翔！





灵魂提问：看完本文，那有没可能将UDM-PRO做成私有的云控制器呢？我们能在阿里腾讯云来做UniFi云控制器，可惜不支持UniFi门禁监控的。而UDM可以支持多站点，这样就可以同时管理多个地方的AP、门禁和监控——成为一台万能桶！且本地设备总比云服务器安全可靠。答案当然是可以的。Everything is possible！

想要知道答案请关注本站及本公众号及订阅UBNT教程。