Меню

Ubiquiti usg unifi security gateway настройка



Конфигурирование VPN-соединения между локальными сетями с помощью USG.

Главная > Техинфо > FAQ > UniFi > Конфигурирование VPN-соединения между локальными сетями.

Общие сведения:

VPN (Virtual Private Network) является очень полезным инструментом, который позволяет связать между собой удаленные локальные сети, образовывая поверх интернета «туннели». Поддерживается данная технология и фирменными маршрутизаторами Unifi Security Gateway, которые дают возможность довольно легко настроить данный тип соединения. Именно об этом и пойдет речь в нашей сегодняшней заметке.

Конфигурирование VPN соединения выполняется в панели UniFi: Settings>Networks>Create New Network>Site to Site VP. Здесь доступно несколько режимов, каждый из которых имеет свои отличия.

Смотрите также:

Особенности различных режимов:

  • Auto IPsec VTI создает VPN соединение с другим USG, который используется в другом профиле (site) одного и той же копии UniFi Controller. Ручной режим IPsec создает туннель VPN-соединения «один-на-один» с внешним USG, EdgeRouter или другим устройством, которое поддерживает IPsec.
  • Режим OpenVPN похож на ручной режим IPsec: он аналогично создает туннель к внешнему управляемому устройству, но использует OpenVPN вместо IPsec.
  • Использовать IPsec рекомендуется по соображениям производительности: OpenVPN не может быть аппаратно ускорен и способен работать только на одном потоке процессора.

Auto IPsec VTI* Данный тип VPN не будет работать, если один или оба USG находятся за NAT-маршрутизатором. Иными словами, для создания подобного соединения необходимо, чтобы оба USG имели «белый» IP адрес (не RFC1918). В UniFi конфигурация Auto IPsec VTI позволяет администратору создавать VPN между двумя UniFi Security Gateway, которыми управляет один и тот же контроллер. Создание VPN-соединения в панели управления UniFi автоматически приводит к следующему:

-Устанавливается одноранговый IP-адрес для каждой из сторон туннеля в соответствии с адресом интерфейса WAN.

-Удаленная сеть добавляется в каждый профиль.

-Каждый USG получает VTI-интерфейс для использования в VPN. Интерфейсы Auto VPN VTI начинаются с vti0 и, при добавлении дополнительных Auto VPN, нумерация продолжается следующим образом: vti1, vti2 и т. д.

-Изменения IP-адресов на WAN динамически отслеживаются.

-Между двумя USG создается устойчивый к взлому случайно генерируемый ключ.

ПРИМЕЧАНИЕ. В UniFi Controller версии 5.7.20 и выше поддерживаются только топология «звезда». Mesh топология на данный момент не поддерживается.

Ручной режим IPsec. – Здесь доступны следующие опции:

Enabled : позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets : этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент (UniFi Controller версии 5.7.20).

Peer IP : публичный IP-адрес удаленного шлюза. Это может быть и публичный IP-адрес шлюза перед USG, если он пробрасывает порты UDP 500 и 4500.

Local WAN IP : общедоступный IP-адрес USG, прописанный в том же профиле, что и VPN. Если USG находится за NAT, введите адрес прописанный на интерфейсе WAN. Чтобы найти IP адрес интерфейса WAN выполните: Devices>USG Properties Panel>Details>WAN 1 .

Pre-shared Key : генерирует общий ключ для каждой конечной точки VPN.

Customized : Использует параметры, определенные администратором.

Azure Dynamic Routing : использует параметры для подключения к экземпляру Microsoft Azure с использованием VTI.

Azure Static Routing : использует параметры для подключения к экземпляру Microsoft Azure, используя правила IPsec без VTI.

Ручной режим IPsec: дополнительные параметры

ВНИМАНИЕ: эти настройки предназначены для опытных пользователей. Они используются в фазе 1 и фазе 2 процесса IPsec.

Key Exchange Version : выберите IKEv1 или IKEv2.

Encryption : выберите шифрование AES-128, AES-256 или 3DES.

Hash : выберите SHA1 или MD5

DH (Diffie-Hellman) Group : Доступные группы DH 2, 5, 14, 15, 16, 19, 20, 21, 25, 26.

PFS (Perfect Forward Secrecy) : включена или выключена. Когда включена PFS, фаза 2 DH groups жестко кодируется в группу 1 и должна соответствовать настройке удаленного шлюза.

Dynamic Routing : включает или отключает использование VTI. Это указывает на то, что конфигурация VPN либо основана на правилах (отключено), либо на маршрутизации (включено). (Примечание: при ручном режиме интерфейсы VPN VTI начинаются с vti64 и, при добавлении дополнительных виртуальных VPN, далее идут по возрастаню:vti65, vti66 и т.д.)

ПРИМЕЧАНИЕ. Использование более сложных алгоритмов позволяет добиться большего уровня безопасности, но при этом ЦП также испытывает большую нагрузку. Например, AES-256 будет использовать больше ресурсов процессора, чем AES-128. Последний рекомендуется для большинства случаев.

Правила брандмауэра для автоматического и ручного режима IPsec VPN

Правила брандмауэра автоматически настраиваются после создания VPN. Предписания относительно блокировки трафика, проходящего через VPN, создаются в Settings>Routing and Firewall>Firewall>LAN_IN. Внутри правила брандмауэра должна быть включена опция IPsec под названием «Сопоставление входящих пакетов Ipsec» («Match inbound IPsec packets»). В поле источника указывается удаленная сеть или адрес настраиваемого USG, а поле назначения нужно указывать ту локальную сеть или адрес, куда поток трафика будет блокироваться.

OpenVPN

Enabled : позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets : этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент.

Remote Host : публичный IP-адрес USG или адрес маршрутизатора перед ним.

Remote Address/port : адрес относится к конечной точке туннеля OpenVPN на удаленном шлюзе (USG), порт к UDP, который будет использоваться на удаленном шлюзе для подключения к USG.

Local Address/port : адрес к конечной точке туннеля OpenVPN на локальном шлюзе USG и номер порта к UDP, который будет использоваться маршрутизатором для подключения к удаленному шлюзу.

Shared Secret Key : 2048-битный ключ, который генерируется в USG из CLI по нижеприведенным инструкциям.

CLI: доступ к интерфейсу командной строки (CLI) можно получить с помощью соответствующей кнопки в графическом интерфейсе, или же посредством подключения через клиент PuTT для Windows или одноименный протоколу инструмент ssh в Linux.

1. Сгенерируйте ключ на 2048 бит в USG.
generate vpn openvpn-key /config/auth/secret

2. Посмотрите ключ и скопируйте в текстовый файл.
sudo cat /config/auth/secret
#
# 2048 bit OpenVPN static key
#
——BEGIN OpenVPN Static key V1——
48fc8ac5b96655a08e041de6263a4e7b

——END OpenVPN Static key V1——

3. Ключ содержится после строки BEGIN и перед END.
ПРИМЕЧАНИЕ. Для этого типа VPN потребуется правило брандмауэра WAN_LOCAL на каждой стороне туннеля, позволяющее удаленному порту проводить обмен данными.

В случае возникновения проблем, проверьте, все ли сделано в соответствии с инструкцией, важна точность в выполнении каждой детали. Если ошибок нет, но проблемы остались, вы можете задать вопрос на нашем форуме, где квалифицированные специалисты нашей компании, а так же другие пользователи постараются помочь в решении вашей проблемы. При необходимости быстрого решения вопроса вы можете воспользоваться за дополнительную плату услугами нашей технической поддержки.

Читайте также:  Скинуть настройки word по умолчанию

Источник

Базовая настройка Ubiquiti Unifi Security Gateway

Ubiquiti Unifi Security Gateway (USG) — довольно самобытный, 3-портовый, гигабитный роутер Ubiquiti, порожденный ради расширения линейки серии Unifi до, что называется, полного комплекта. Будучи компактным и объективно весьма симпатичным, он обладает достаточно высокой (но не запредельной, о нет) производительностью, и стоит при этом весьма недорого, что обуславливает его популярность среди апологетов оборудования семейства Unifi.

Отличительной и довольно обескураживающей особенностью Ubiquiti USG является отсутствие standalone консоли управления: настраивать его можно только через UniFi Controller. Это можно считать как плюсом, так и минусом. Лично нам такая особенность кажется слегка, гм, необычной. Впрочем, в рамках данного материала мы хотели все-таки рассмотреть сценарий настройки роутера, а не подивиться его диковинностью, поэтому приступим.

1. Как упоминалось выше, роутеру для работы нужен UniFi Controller. Его можно скачать с сайта Ubiquiti (https://www.ubnt.com/download/unifi), либо приобрести аппаратный вариант — Ubiquiti Unifi Cloud Key. Настройку Unifi Controller мы уже описывали в статье БАЗОВАЯ НАСТРОЙКА UBIQUITI UNIFI CONTROLLER И БЕСШОВНОГО WIFI, поэтому ограничимся ссылкой на нее, и приступим к настройке роутера.

2. К 1-му порту роутера подключаем кабель провайдера доступа в интернет, во второй порт — коммутатор, смотрящий в локальную сеть, и заходим в Unifi Controller. Спустя недолгое время USG должен появиться в списке устройств. Нажимаем Adopt, чтобы присоединить его к нашей инфраструктуре Unifi:

Роутер немного поразмыслит:

. и присоединится к сети. Мы используем новейшую, 5-ю версию Unifi Controller, поэтому после присоединения USG объявит в строке статуса, что ему нужно обновиться. Мы не против. Жмем UPGRADE:

Подтверждаем наше намерение, нажав Confirm:

. и спустя несколько минут роутер будет готов к работе. Нажав на него в списке устройств, справа мы получим компактную консоль управления роутером. Собственно, сразу нажимаем Configuration и осваиваемся:

3. В секции General можно только задать имя устройства (Alias), поэтому сразу переходим к настройке интерфейса WAN. Роутер поддерживает 3 режима подключения к интернету: динамический IP, статический IP и PPPoE. В нашем примере используется динамический адрес, поэтому выбираем Connection TypeUsing DHCP и нажимаем Queue Changes. Тут же можно задать 2 DNS-сервера и VLAN:

По большому счету, настройка роутера уже завершена. Он не слишком богат опциями, а большая часть управления дополнительным функционалом (за исключением порт-форвардинга и DynDNS, которые выполняются тут же, в соответствующих секциях) осуществляется через консоль Unifi в разделе Settings:

4. Уже тут, в конфигураторе Unifi, настраиваются сервер VPN, VPN Site-to-Site, клиенты VPN, DHCP-сервер, WINS, и тому подобное. Из наиболее интересных функций мы бы хотели отдельно выделить:
DHCP guarding. Функция требует применения коммутатора серии Unifi, и позволяет глобально указать доверенный DHCP-сервер. Функция нужная и полезная, в роутерах встречается редко, а уж в таких дешевых и вовсе никогда, поэтому зачет!
Deep Packet Inspection (DPI). Как понятно из ее названия, функция позволяет проводить глубокую инспекцию пакетов на лету, и выдавать на гора подробную статистику, как пользователи используют интернет. Включаем ее галочкой Enable deep packet inspection в разделе Site:

После включения DPI роутер немного подумает и примется собирать статистику использования интернета. Спустя некоторое время в Dashboard появится статистика, а нажав в центр счетчика трафика:

. мы попадем в раздел с довольно подробными диаграммами:

На этом аспекты базовой настройки Ubiquiti USG кажутся разобранными. Чего мы не увидели: настроек брандмауэра (выполняются через CLI), роутинга (тоже прячется в CLI), standalone DHCP-сервера, который прямо таки необходим роутеру, возможности отключения NAT. Такой вот роутер-кастрат. Утешения ради сообщаем, что как минимум для роутинга и брандмауэра Ubiquiti пообещала обеспечить графический интерфейс в чуть более новой Unifi Controller линейки 5.x. Ждем-с.

Источник

Ubiquiti usg unifi security gateway настройка

Семейство сетевых программно-аппаратных решений семейства Ubiquiti UniFi включает в себя полный комплекс устройств, позволяющих организовать как беспроводную, так и проводную сеть масштаба предприятия. Ранее на нашем сайте уже публиковались обзоры и инструкции по продуктам этого семейства, но в основном они касались только работы беспроводных сетей. За последние пару лет семейство было дополнено маршрутизаторами USG, несколькими моделями управляемых гигабитных PoE коммутаторов, а также новым семейством беспроводных точек доступа UniFi AC. В данном обзоре будет рассмотрено построение всей сети предприятия исключительно на продуктах семейства UniFi.

Часть 1. Выбор оборудования и начальное создание сети UniFi.

Стандартная схема современной сети бизнес класса включает в себя маршрутизатор, обеспечивающий безопасный доступ к сети Интернет и такие сетевые сервисы, как публикацию ресурсов, VPN шлюз, коммутаторы для подключения проводных Ethernet устройств, а также беспроводные точки доступа. Для создания тестовой сети были выбраны следующие устройства:

• Маршрутизатор Ubiquiti UniFi Security Gateway

• Коммутатор с функциями PoE Ubiquiti UniFi Switch US-24-250W

• Аппаратно-программный контроллер Ubiquiti UniFi Cloud Key

• Точка доступа нового поколения Ubiquiti UniFi AP AC Long Range

• Точка доступа предыдущего поколения Ubiquiti UniFi AP AC

• Точка доступа предыдущего поколения Ubiquiti UniFi AP

Рисунок 1. Схема сети UniFi.

Рисунок 2. Оборудование, использованное при создании обзора.

Оборудование UniFi, использованное в обзоре.

Отличительная функция оборудования UniFi — централизованное управление через программный контроллер (доступный в виде бесплатно загружаемого ПО или предустановленный на устройстве UniFi Cloud Key) . Ссылка на загрузку контроллера: https://www.ubnt.com/download/unifi.

Центральной частью «проводной части» сети UniFi является маршрутизатор UniFi Security Gateway. Младшая модель USG имеет настольное исполнение, имеет 1 WAN порт и 1 LAN порт. Кроме того, устройство имеет порт, отмеченный как VOIP и зарезервированный для IP телефонии (который может быть сконфигурирован как дополнительный сетевой порт). Также имеется консольный RJ45 порт.

Маршрутизатор выполняет функции сетевого и VPN шлюза, межсетевого экрана, DHCP сервера. В последних версиях прошивок имеется функция глубокой инспекции пакетов (пока в бета-тестировании). Комплектация включает само устройство, блок питания, набор креплений на стену.

Рисунок 3. Упаковка USG.

Рисунок 4. Комплектация USG.

Рисунок 5. Порты USG.

Также, доступна более мощная модель маршрутизатора- Ubiquiti UniFi Security Gateway PRO 4-Port. Она выполнена в стоечном форм-факторе, имеет 2 WAN порта (возможно подключение двух провайдерских каналов в режиме отказоустойчивости или балансировки нагрузки) и 2 комбинированных порта RJ45/SFP (коммутаторы UniFi Switch также могут подключаться по оптической линии).

Функции проводной коммутации в сети UniFi выполняют устройства UniFi Switch. Доступны модели с 8, 24 и 48 портами, в настольном и стоечном исполнении. Все коммутаторы поддерживают питание подключенных устройств по PoE (доступен выбор Passive Poe 24В или 802.3 af/at). При выборе коммутатора необходимо учитывать какое количество PoE устройств будет подключено, и подобрать мощность коммутатора соответственно. Например, точки доступа UniFi требуют от 5 до 20 Вт в зависимости от модели. IP видеокамеры без ИК подсветки до 5 Вт, тогда как моторизованные камеры с мощной подсветкой и подогревом могут потреблять свыше 25 Вт.

Читайте также:  В ватсапе нет меню настройки

Для тестирования был выбран коммутатор Ubiquiti UniFi Switch US-24-250W. Его мощности достаточно для питания точек доступа UniFi на всех портах (кроме наиболее мощных точек UAP-AC-EDU, которых можно подключить до 10 штук). По умолчанию порты коммутатора работают в режиме автоопределения PoE и подают питание только если к порту подключено устройство стандарта 802.3 af/at. Пассивное питание PoE 24В, используемое для питания младших моделей точек доступа и видеокамер UniFi необходимо включать вручную. Комплектация устройства включает коммутатор, шнур питания и комплект для монтажа в стойку.

Рисунок 6. Упаковка UniFi Switch.

Рисунок 7. Комплектация UniFi Switch.

Практически все функции управления сетью осуществляются программой – контроллером. Наиболее удобно для этих небольших сетей использовать аппаратно-программное решение UniFi Cloud Key. В то же время, программное решение UniFi Controller ничем не отличается в настройках. Дистрибутивы доступны бесплатно для операционных систем Windows, Linux и MacOS. Требовательность к «железу» невысокая — существуют рабочие примеры для установки контроллера даже на такие аппаратные платформы, как микрокомпьютер Raspberry-Pi.

Рисунок 8. Упаковка UniFi Cloud Key.

Наконец, наиболее известная и популярная часть платформы UniFi – беспроводные точки доступа, с которых и начиналось развитие системы. В конце 2015 года появилось новое семейство двухдиапазонных Wi-Fi точек доступа с поддержкой новейшего стандарта 802.11 ac. В то же время, точки доступа предыдущих поколений все еще востребованы благодаря огромной инсталляционной базе и хорошим характеристикам при вполне бюджетных ценах. Для тестирования была выбрана «средняя» по характеристикам точка нового поколения UniFi AP AC Long Range и две точки предыдущего поколения – двухдиапазонная UniFi AP AC gen.1 и «классическая» точка на 2.4 ГГц UniFi AP.

По комплектации все точки практически идентичны. Коробка содержит точку доступа, блок питания PoE, краткую инструкцию и комплект для крепления на стену. Доступны также комплекты по 3 точки доступа (для моделей предыдущего поколения) и по 5 точек (для новых UniFi AP AC).

Важно: Комплекты по 3 точки включают в себя блоки питания. Комплекты по 5 точек НЕ содержат блоков питания. Эти точки должны получать электропитание от PoE коммутаторов Ubiquiti или отдельно приобретенных блоков питания.

Рисунок 9. Упаковка UniFi AP AC Long Range.

Рисунок 10. Комплектация UniFi AP AC Long Range.

Начальное подключение «проводных» устройств и базовые настройки сети «по умолчанию».

Построение сети UniFi с нуля в «полном» режиме начинается с подключения WAN порта маршрутизатора USG к внешней сети, LAN порта к одному из портов коммутатора UniFi Switch. Также, к одному из портов коммутатора необходимо подключить контроллер UniFi Cloud Key. После подачи питания последовательно на USG и затем на UniFi Switch результирующие настройки будут следующими:

• USG по умолчанию настроен на получение WAN адреса по DHCP. LAN адрес маршрутизатора 192.168.1.1. Также, на нем работает DHCP сервер, выдающий адреса из диапазона 192.168.1.6-192.168.1.254.

• UniFi Switch получит первый адрес из диапазона – 192.168.1.6. Поскольку на всех портах коммутатора по умолчанию включено автоопределение PoE, контроллер UniFi Cloud Key (поддерживающий стандарт 802.3 af) получит питание и загрузится, получив следующий IP адрес – 192.168.1.7.

Для USG доступна информационная WEB страница, показывающая текущие настройки устройства даже при ненастроенном контроллере. Получить доступ к ней можно через любой браузер по адресу http://192.168.1.1.

Рисунок 11. Начальный статус маршрутизатора USG.

Следующая важнейшая часть настройки – найти контроллер. В «новой сети» это не представляет сложности. Если же в сети много устройств, на помощь может прийти функция автоматического поиска Cloud Key в сети. Для этого необходимы следующие условия:

• Необходимо создать аккаунт на сайте https://unifi.ubnt.com

• Войти в аккаунт при помощи браузера Google Chrome с компьютера, находящегося в той же внутренней сети, что и Cloud Key.

• Нажать кнопку «Find Cloud Key».

Через несколько секунд устройство будет найдено в сети и можно будет открыть его WEB интерфейс для настройки.

Рисунок 12. Поиск контроллера UniFi Cloud Key.

Рисунок 13. Обнаруженный контроллер UniFi Cloud Key.

Настройка контроллера и обновление прошивок.

Установка и настройка контроллера UniFi разбиралась в наших обзорах ранее, поэтому остановлюсь только на некоторых ключевых особенностях.

UniFi Cloud Key имеет фактически два различных интерфейса настройки, каждый со своими параметрами аутентификации. Первый касается настроек Cloud Key как устройства. В этом разделе можно сменить параметры базовой операционной системы (имя и IP адрес), выполнить обновление прошивки, перезагрузить устройство. При первом входе в этот раздел система предложит сменить пароль. Имя пользователя для этого раздела – ubnt или root. Естественно, что настройки операционной системы Linux также доступны по SSH.

Второй интерфейс касается контроллера UniFi как программы. В нем производится вся настройка сетевых устройств. В то же время, из этого интерфейса можно также выполнить обновление как прошивки UniFi Cloud Key, так и программы-контроллера.

Рисунок 14. Стартовый интерфейс UniFi Cloud Key.

Рисунок 15. Смена пароля в управлении операционной системы UniFi Cloud Key.

При первом входе в интерфейс управления контроллером будет запущен мастер настройки. На первом этапе будет предложено выбрать страну использования. От этого будут зависеть доступные частоты и мощность беспроводных устройств UniFi.

Рисунок 16. Мастер настройки контроллера. Выбор страны.

На втором этапе будет предложено адаптировать к контроллеру имеющиеся в сети устройства. У нас на данном этапе их два – маршрутизатор USG и коммутатор UniFi Switch. Естественно, адаптировать устройства можно и позже.

Рисунок 17. Мастер настройки контроллера. Адаптация устройств.

Далее мастер предложит создать первую Wi-Fi сеть. На этом этапе можно создать одну стандартную и одну гостевую сеть. Всего контроллер поддерживает создание 4 различных сетей, но на начальном этапе можно создать только две.

Рисунок 18. Мастер настройки контроллера. Создание первой Wi-Fi сети.

Следующим шагом становится настройка администратора контроллера. Еще раз хочется обратить внимание – это администратор для программного обеспечения UniFi Controller. Администратор операционной системы – другой и его параметры задаются в другом интерфейсе.

Читайте также:  Карбюратор скутера хонда такт настройка

Рисунок 19. Мастер настройки контроллера. Настройки администратора контроллера.

После окончательной проверки настроек мастер завершает работу и можно получить доступ к интерфейсу контроллера.

Рисунок 20. Мастер настройки контроллера. Завершение настройки.

Рисунок 21. Вход в систему.

Рисунок 22. Главный информационный экран контроллера.

Первым шагом после установки контроллера должно стать обновление прошивок и версий ПО. На первом этапе требуется обновить контроллер UniFi Cloud Key. При использовании программного контроллера этот шаг можно пропустить. Как уже упоминалось ранее, обновить прошивку можно как из интерфейса управления устройством, так и из интерфейса контроллера. Проще всего пользоваться одним интерфейсом для всех действий, так что обновление выполним через контроллер. Обновлять желательно как прошивку Cloud Key (фактически, операционную систему), так и версию контроллера.

Рисунок 23. Обновление UniFi Cloud Key и контроллера.

Рисунок 24. Обновление завершено.

Устройства UniFi «из коробки» с большой вероятностью будут иметь устаревшую версию прошивки. В отличие от беспроводных точек доступа, процесс обновления прошивок для маршрутизаторов и коммутаторов UniFi необходимо инициировать вручную, поскольку процесс обновления может занимать некоторое время, в течение которого сеть будет недоступна. База прошивок всех устройств автоматически обновляется с обновлением версии контроллера.

Рисунок 25. Обновление прошивок USG и UniFi Switch.

Рисунок 26. Все устройства обновлены.

Смена IP адреса контроллера UniFi Cloud Key и имен устройств.

По умолчанию, UniFi Cloud Key получает IP адрес автоматически. Это может быть неудобным (особенно, при большом числе сетевых устройств), так как при смене адреса придется заново искать контроллер в сети. Зафиксировать адрес контроллера можно двумя способами. Первый – задать статический IP адрес в настройках операционной системы контроллера. Второй – зафиксировать выдаваемый DHCP сервером маршрутизатора USG адрес в интерфейсе самого контроллера. Следует отметить, что устройство UniFi Cloud Key в собственном контроллере отображается НЕ в списке устройств UniFi, а в списке КЛИЕНТОВ. То же самое будет и в случае использования программного контроллера, установленного на обычный компьютер. Такой компьютер будет отображаться в списке клиентов вместе с остальными сетевыми компьютерами. Зафиксировать выдаваемый устройству адрес можно в окне свойств клиента – закладка «Configuration»-«IP Config».

Рисунок 27. Задание статического IP адреса UniFi Cloud Key в интерфейсе устройства.

Рисунок 28. Фиксация выдаваемого IP адреса для UniFi Cloud Key в интерфейсе контроллера.

Все устройства UniFi первоначально получают в системе имя, соответствующее MAC адресу устройства. Это может быть неудобным при большом числе таких устройств. Следующим шагом настройки будет присвоение удобного и наглядного имени маршрутизатору и коммутатору. Смена имени (alias) производится в окне свойств каждого устройства в закладке «Configuration».

Рисунок 29. Смена имени устройства UniFi.

Рисунок 30. Список устройств UniFi.

Общие настройки пользователей и сетей.

Теперь, необходимо проверить и дополнить настройки, относящиеся к сети в целом. Глобальные настройки указываются в разделе «Settings»-«Site». Из наиболее важных – страна использования(от этого зависит мощность и доступные частоты), включение автоматического обновления прошивок точек доступа. Если в дальнейшем предполагается использовать беспроводное подключение части точек доступа к основной сети (wireless uplink), эта опция должна быть активирована (по умолчанию включена). Тут же можно включить функции уведомлений SNMP и Syslog.

Маршрутизатор UniFy Security Gateway может осуществлять глубокую инспекцию пакетов. Включить бета-версию этой возможности можно чекбоксом «Enable DPI». При включении функции информация о типах и классификации сетевого трафика будет отображаться на экране суммарной информации контроллера.

Рисунок 31. Настройки сайта UniFi.

При необходимости, можно изменить параметры администратора или добавить нового пользователя. Новому пользователю могут быть присвоены полные права доступа или режим «только для чтения». Второй вариант может использоваться для аудиторов или офицеров безопасности, поскольку дает доступ к отчетам и информации о текущем состоянии сети.

Рисунок 32. Добавление администратора.

Настройки сети можно выполнить в разделе Networks. Применяться они будут, только если в сети имеется маршрутизатор UniFi Security Gateway. Возможно создание VPN сервера, изменение параметров DHCP и ряда других настроек.

Рисунок 33. Настройки сети.

Режим работы беспроводных сетей в комплексе зависит от параметров, настраиваемых в разных местах. Последовательность настройки желательна следующая: Группа сетей (WLAN Group) – группа пользователей (User Group) – гостевой контроль (Guest Control) — беспроводная сеть (Wireless Networks).

На первом этапе выполняются глобальные настройки группы беспроводных сетей. Они включают балансировку нагрузки на точку доступа, поддержку устаревших стандартов Wi-Fi для унаследованных устройств, а также включение особого режима «Zero Handoff». Об этом режиме следует сказать особо. По задумке он переводит точки доступа в режим работы «единой суперточки», какой все они представляются для клиента. Фактически, клиент находится в едином Wi-Fi пространстве, где бы в пределах покрытия сети он бы не находился. Переход от точки к точке в этом случае должен быть полностью прозрачным и незаметным. Этот режим не может быть включен в группе сетей «по умолчанию». Необходимо создавать новую группу сетей. Причина этого, к сожалению, в ограничениях такого режима. Во первых, далеко не все типы точек доступа поддерживают этот режим. На момент написания обзора поддержка «Zero Handoff» отсутствует для всех точек AC стандарта. Во вторых, режим непригоден при высокой плотности расположения точек доступа (например, в конференц-залах и других местах с большим скоплением пользователей Wi-Fi).

Рисунок 34. Настройки группы беспроводных сетей.

На втором этапе стоит создать пользовательские группы. Они предназначены исключительно для ограничения скорости сетевого доступа, что может быть полезно для общественных, гостевых сетей и сетей с высокой плотностью пользователей. Настройки предельно простые и включают ограничение скорости приема и отдачи трафика.

Рисунок 35. Настройки группы пользователей.

На третьем этапе желательно настроить параметры гостевого доступа. Гостевая сеть может включать в себя ряд дополнительных требований и ограничений. Например, запрещение доступа к сетевым адресам локальной сети организации. Также, настройки гостевого доступа позволяют включить перенаправление пользователей на определенный WEB ресурс или портал аутентификации.

Рисунок 36. Настройки гостевого контроля.

Наконец, можно приступить к донастройке или созданию беспроводных сетей. В этом интерфейсе возможно указать имя беспроводной сети, ее тип (основная или гостевая), тип аутентификации, применяемую для данной сети группу пользователей. Всего может быть создано до 4 различных сетей. После завершения глобальных настроек можно приступать к подключению и тюнингу беспроводных точек доступа, чему будет посвящена следующая часть этого обзора.

Источник

Adblock
detector