Обзор-инструкция пользователя по настройке сети предприятия на основе оборудования Ubiquiti Networks UniFi®. Часть 3. Настройка беспроводной сети на уровне сайта и индивидуальные настройки точек доступа UniFi.

Одним из основных компонентов (и первым по времени разработки) в рамках сети UniFi являются беспроводные точки доступа. Часть параметров Wi-Fi сети задается на уровне контроллера и сайта UniFi и применяется одновременно к многочисленным точкам доступа. Другие параметры задаются индивидуально для каждой точки. В данной части обзора-инструкции будет рассмотрена работа с беспроводными сетями на этих двух уровнях.

«Глобальные» настройки параметров беспроводных сетей на уровне сайта.

Основные настройки параметров беспроводных сетей делаются на уровне сайта сети UniFi в разделе ‘Wireless Networks’. Параметр «Группа беспроводных сетей» (WLAN Group) позволяет объединять до 4 Wi-Fi сетей. Эти настройки группы затем применяются на уровне точек доступа к каждому радио-модулю (2.4 и 5 ГГц). Таким образом, каждая одно-диапазонная точка доступа UniFi может одновременно поддерживать до 4 различных сетей (SSID), а двух-диапазонная до 8. При создании и начальной настройке контроллера создается группа «По умолчанию», которая автоматически применяется ко всем адаптированным точкам доступа. Созданные заново группы необходимо применять к точкам доступа принудительно в индивидуальных настройках каждой точки.

Рисунок 1. Настройка Wi-Fi на уровне сайта.

При создании или редактировании параметров группы беспроводных сетей можно изменить рад параметров, которые будут распространяться на все Wi-Fi-сети данной группы. Среди них возможность ограничения максимального числа клиентов на точку доступа для балансировки нагрузки и возможность поддержки устаревших клиентов, использующих стандарт 802.11b. Поддержку устаревших клиентов необходимо включать только в случае необходимости, так как эта опция оказывает отрицательное воздействие на производительность Wi-Fi сети в целом.

Ранее в данном разделе также активировалась опция бесшовного роуминга «Zero Handoff». Однако в последних версиях контроллера компания Ubiquiti отказалась от поддержки этой устаревшей технологии и перешла на использование стандарта «Fast Roaming» 802.11r.

Дополнительные возможности позволяют скопировать настройки Wi-Fi сетей как шаблон из уже существующей группы. Еще одна настройка позволяет активировать защиту управляющих фреймов (Protected Management Frames, PMF, 802.11w). Она позволяет предотвращать атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной. Однако эта опция требует осторожного использования, так как может вызвать снижение производительности. Также, данная возможность применяется только к точкам доступа 3-го поколения.

Рисунок 2. Настройки группы беспроводных сетей.

При создании новой Wi-Fi сети в выбранной группе, можно выбрать как базовые настройки, так и ряд расширенных настроек. Базовые включают имя сети (SSID), тип и ключ шифрования, а также применения гостевых настроек сети. Гостевые настройки и портал будут рассмотрены в одной из следующих частей обзора. Если контроллер настроен «по умолчанию» и не имеет гостевого портала, то к гостевой сети применяются ограничения доступа, при которых клиент сети имеет только доступ в Интернет, но не может использовать «внутренние» ресурсы или видеть других клиентов («изоляция клиента»). Новая сеть может быть немедленно включена или создана в неактивном состоянии для использования в будущем (опция «Enable this wireless network»).

Расширенные настройки позволяют настроить ряд дополнительных параметров. Среди них: фильтрация широковещательного трафика (позволяет ограничить широковещательные запросы в беспроводной сети только определенным списком устройств, по умолчанию в список включен только шлюз USG, опция не действует, если на уровне сайта уже включен режим автоматической оптимизации сети, если USG не используется в список как минимум должен быть включен DHCP-сервер), VLAN, создание скрытой сети, дополнительные настройки шифрования. Следует отметить, что в современных условиях для обеспечения высокой безопасности и производительности рекомендуется использовать только режим WPA2/AES.

Для сети Wi-Fi система UniFi предлагает стандарт «быстрого роуминга» 802.11r вместо устаревшей технологии «Zero Handoff» (которая к тому же работала только в точках первого поколения). Данный стандарт позволяет значительно сократить время переподключения клиентов к следующей точке доступа. Тем не менее, по заявлению разработчиков, даже стандартных возможностей роуминга в сети UniFi вполне достаточно для большинства сценариев. «Быстрый роуминг» должен применяться только в случае необходимости, так как требует поддержки со стороны клиентов. Старые беспроводные устройства без поддержки данной технологии наоборот могут испытывать проблемы с подключением при активации 802.11r.

Скорость клиентских подключений можно регулировать двумя способами. Один из них будет рассмотрен в настройках гостевой сети. Второй осуществляется с помощью пользовательских групп. Каждой Wi-Fi сети можно назначить определенную группу пользователей с заранее определенной скоростью приема и передачи. В группу пользователей также можно включить и индивидуального клиента, тогда настройка группы в рамках Wi-Fi сети для этого клиента не будет действовать.

Другие продвинутые настройки позволяют активировать расписание работы беспроводной сети, разделить SSID для сетей 2.4 и 5 ГГц (в этом случае к имени сети 2.4 ГГц будет добавлен определенный суффикс, например, «_2G») и ряд других настроек.

Рисунок 3. Создание новой Wi-Fi сети, базовые и расширенные настройки.

Среди других продвинутых настроек в группе «802.11 Rate and beacon control» можно настроить параметры DTIM (Delivery Traffic Indication Message). Данный параметр периодически информирует клиентов о наличии буферизованного мультикаст/широковещательного трафика и после сообщения передает его по назначению. Увеличение значения позволяет сократить потребление энергии, но за счет некоторого увеличения задержки. Также в данной группе настроек можно ограничить использование низких модуляций при передаче данных. Эти настройки выполняются раздельно для сетей 2.4 и 5 ГГц и позволяют увеличить производительность сети. Однако, более старые клиенты могут быть несовместимы с данной настройкой, а для более новых может быть ограничена дальность действия сети.

Раздел «MAC Filter» позволяет создать черный или белый список MAC-адресов клиентов. В разделе «RADIUS MAC Authentication» можно настроить аутентификацию на внешнем RADIUS-сервере при условии, что в разделе Profiles создан соответствующий профиль RADIUS-сервера.

Рисунок 4. Создание новой Wi-Fi сети, расширенные настройки (продолжение).

Параметры индивидуальной настройки точек доступа.

Многие параметры настраиваются на уровне индивидуальных точек доступа. В данном разделе будут рассмотрены доступные настройки точек всех поколений: первого - UAP-Pro, второго – UAP-AC-LR, и третьего - UAP-nanoHD.

Открыть индивидуальные настройки для каждой точки можно из раздела «устройства». По умолчанию, окно свойств открывается справа экрана, но может быть отсоединено и перемещено в другое место. Поведение окна свойств устройства настраивается в общих настройках контроллера в разделе «User Interface».

Первая закладка в окне устройства – «Details» – информация о текущем состоянии. Для точек доступа с подключенными клиентами отображается график «Wi-Fi Experience» наглядно показывающий качество связи. Любые «отрицательные» события типа долгой ассоциации устройства с точкой, потерь пакетов, аномалий трафика, а также появления «плохих» Wi-Fi клиентов со слабым сигналом оказывают влияние на «Wi-Fi Experience». Низкие значения параметра должны являться поводом для расследования причин и возможного внесения изменений в настройки.

Рисунок 5. Информация о точке доступа. Wi-Fi Experience.

Данные об утилизации канала показывают, сколько данных принимает и отдает точка доступа, а также насколько велики помехи. Высокий уровень загрузки может служить показателем избыточного количества клиентов или наличия конкурирующих точек доступа на том же канале.

Рисунок 6. Информация о точке доступа. Утилизация канала.

В разделе «Overview» можно просмотреть общие данные об устройстве, включая модель устройства, версию ПО, IP- и MAC-адреса, время непрерывной работы, количество клиентов и ряд других параметров текущей работы.

Рисунок 7. Информация о точке доступа. Общие данные.

Раздел «Uplink (Wired)» показывает текущие характеристики вышестоящего проводного подключения. Если точка доступа подключена напрямую к коммутатору UniFi, отображается подробная информация, включая имя коммутатора и порт, данные PoE, сведения о скорости соединения и трафике. Если используется стороннее оборудование, то отображаются только данные о скорости и трафике.

Рисунок 8. Информация о точке доступа. Проводное подключение.

В разделах «Downlink» и «Uplink (Wireless)» отображаются данные о входящих и исходящих подключениях точек доступа по беспроводной сети. Более подробно эти параметры уже были рассмотрены во второй части обзора.

Рисунок 9. Информация о точке доступа. Беспроводное входящее и исходящее подключение.

В разделе «Radio» доступна информация об используемых стандартах Wi-Fi, частотном канале, мощности излучения, объеме переданных данных, количестве клиентов. Информация предоставлена раздельно для радио-модулей 2.4 и 5 ГГц. Мощность отображается двумя значениями. Первое – мощность самого радио-модуля. Второе – суммарная мощность (EIRP) складывающаяся из мощности радио и усиления антенны.

Рисунок 10. Информация о точке доступа. Радио-модуль 2.4 ГГц.

Рисунок 11. Информация о точке доступа. Радио-модуль 5 ГГц.

В разделе WLANS доступна информация об активных на данной точке доступа Wi-Fi сетях.

Рисунок 12. Информация о точке доступа. Беспроводные сети.

В пункте «Clients» доступны данные о клиентах беспроводной сети, включая принадлежность к основной или гостевой сети, уровне сигнала на клиенте и скорости подключения. Данные об уровне сигнала могут быть использованы в дальнейшем для оценки и указания параметров Minimum RSSI и Cell Size Tuning.

Рисунок 13. Информация о подключенных клиентах.

Достаточно большой объем настроек точек доступа может быть выполнен в разделе «Config». Первая из этих настроек – возможность сменить имя устройства для более легкого поиска в списке.

Рисунок 14. Настройки точки доступа. Имя устройства («Alias»).

Настройки применяются в два приема. На первом вносятся необходимые изменения в конфигурацию. Изменения сохраняются в очереди настроек по кнопке «Queue Changes». После этого они могут быть распространены на точки доступа по кнопке «Apply Changes». Такое разделение может быть важным, поскольку при применении настроек точка доступа временно перестает транслировать Wi-Fi сеть.

Рисунок 15. Настройки точки доступа. Радио-модули.

Настройки Главные настройки конфигурации выполняются в разделе «Radios» отдельно для диапазонов 2.4 и 5 ГГц. Ряд настроек будут доступны, только если на уровне сайта была активирована опция «Advanced Features» (подробное описание в первой части обзора). Для удобства представления рисунок 16 выполнен композитным с одновременным отображением всех параметров.

Доступные настройки ширины канала определяются частотой и поколением устройств. Для модулей 2.4 ГГц и модулей 5 ГГц точек первого поколения (802.11n) доступны значения 20 и 40 МГц. Для модулей 5 ГГц точек второго поколения (802.11ac wave1) - 20, 40 и 80 МГц. Для модулей 5 ГГц точек третьего поколения (802.11ac wave2) - 20, 40, 80 и 160 МГц. Центральная частота канала определяется по порядковому номеру. По умолчанию, используется вариант автоматической настройки. При включении или рестарте точка выбирает наименее загруженный канал. В крупных сетях автовыбор не является оптимальным и рекомендуется принудительно распределить частотные каналы после исследования текущего состояния радиочастотного диапазона и планирования. Также при использовании Wireless Uplink рекомендуется «базовые» точки настроить на использование постоянного канала, а «беспроводные» на автоматическую настройку. Включение возможностей входящих соединений Wireless Uplink также осуществляется в данном пункте (подробное описание во второй части обзора).

Мощность радио-модулей определяется настройкой Transmit Power. По умолчанию, установлена автоматическая настройка. Значение «High» настраивает максимальную мощность, доступную для точки. «Low» – минимально возможную. «Medium» - среднее значение. «Custom» позволяет указать мощность в dBm вручную. На некоторых моделях точек с внешними антеннами также доступен параметр усиления антенны «Antenna Gain». При указании мощности радио следует помнить, что максимальное значение устанавливается региональными настройками (для соответствия местному законодательству) и может быть меньше, чем паспортная мощность устройства. Результирующую мощность можно увидеть в разделе «Details» - «Radio» для каждого диапазона отдельно.

Точки доступа могут быть настроены для принудительного отключения клиентов со слабым сигналом (сигнал от клиента, принимаемый точкой доступа). За это отвечают параметры Minimum RSSI и Cell Size Tuning. При указании значения Minimum RSSI клиенты с сигналом ниже установленного порога получают от точки доступа сигнал на отключение, после чего клиент может подключиться к точке с более сильным сигналом. При этом это «мягкий» подход и окончательный выбор все равно остается на стороне клиента. Рекомендуемые значения могут находиться в диапазоне -70/-80 dBm, хотя в сценариях высокой плотности могут быть и выше. Настройка параметра «Cell Size Tuning» действует сходным образом, но более жестко. Данный параметр рекомендуется использовать только в сценариях высокой плотности.

Рисунок 16. Настройки точки доступа. Частотные каналы, мощность и минимальный уровень клиентского сигнала (Minimum RSSI).

В разделе WLANS можно при необходимости задать настройки, отличные от заданных на уровне сайта. Для каждого радио-модуля можно отключить трансляцию Wi-Fi сети, использовать определенный VLAN ID, переименовать сети и указать отличающийся ключ шифрования.

Рисунок 17. Настройки точки доступа. Беспроводные Wi-Fi сети.

Настройки сервисов позволяют указать параметры VLAN для управляющей сети. Доступные сетевые настройки позволяют выбрать статический адрес или автоматическое назначение адреса по DHCP для точки доступа. По умолчанию, адрес назначается по DHCP, но в более-менее крупных сетях рекомендуется использовать постоянные адреса. Для точек UAP-AC-HD и UAP AC SHD доступна опция «Port Aggregation», позволяющая объединить оба сетевых порта устройства. После применения на точке, естественно, подобная настройка должна быть активирована и на коммутаторе к которому подключена эта точка. Настройка Band Steering применяется для двухдиапазонных точек и позволяет направить клиентов, поддерживающих оба диапазона, на предпочитаемую частоту. При выборе учитывается утилизация каналов и оценка качества сигнала, включая RSSI. При выборе сбалансированного варианта клиент направляется на сеть с наименьшей загрузкой. При выборе предпочитаемой частоты 5 ГГц клиент будет направляться на эту сеть даже при более высокой загрузке канала. Следует отметить, что использование Band Steering имеет ряд ограничений. Во первых, окончательный выбор остается за клиентским устройством. Во вторых, все точки, участвующие в группе беспроводных сетей, должны иметь одинаковый SSID для 2.4 и 5 ГГц и на всех должна использоваться настройка Band Steering. Также, ни на одной из точек группы не должно использоваться переименование сети.

Рисунок 18. Настройки точки доступа. Сервисы, настройки сети, Band Steering.

Еще одна из «продвинутых» настроек - Airtime Fairness, предназначен для решения проблемы «плохого клиента», который (из за недостаточного уровня сигнала или высоких помех) перехватывает значительные ресурсы точки доступа, замедляя тем самым работу остальных «нормальных» клиентов. При активации данной опции временные периоды для связи выделяются клиентам на равной основе, что не дает «плохим клиентам» монополизировать время работы точки доступа («Airtime»). Использовать режим Airtime Fairness (как и другие продвинутые настройки) следует с осторожностью, так как он может некорректно работать при большом числе клиентов.

В разделе обслуживания («Manage Device») можно скопировать конфигурацию с одной точки доступа на другую (только для однотипных устройств), обновить прошивку на нестандартную (например, бета версию), принудительно передать настройки на устройство. Также возможно временно отключить точку доступа (она перестает транслировать Wi-Fi сеть, исключается из статистики, LED индикатор перестает светиться, но точка по-прежнему будет доступна для настройки в контроллере) или окончательно удалить точку из контроллера (такая точка также сбрасывается к заводским настройкам).

Рисунок 19. Настройки точки доступа. Airtime Fairness и обслуживание устройства.

В разделе инструментов «Tools» для точек доступа 2 и 3 поколений имеется частотный сканер, позволяющий оценить текущее состояние радио эфира. Для всех точек кроме UAP-AC-SHD работа сканера обеспечивается штатным радио-модулем, поэтому во время сканирования точка перестает обслуживать клиентов. Работа сканера в точке UAP-AC-SHD обеспечивается отдельным радио-модулем, поэтому такая точка более удобна для постоянного мониторинга. Данные сканирования предоставляются для всех доступных частотных каналов и наглядно показывают утилизацию канала и текущий уровень помех.

Рисунок 20. Частотный сканер. Данные для сети 2.4 ГГц.

Рисунок 21. Частотный сканер. Данные для сети 5 ГГц.

Также в разделе инструментов «Tools» можно получить доступ непосредственно к точке доступа через терминал. Окно терминала доступно также при клике по IP адресу точки в списке устройств. Экран терминала тот же, что доступен при подключении к точке по протоколу SSH.

Рисунок 22. Терминальный доступ к устройству.

Для точек доступа 3-го поколения с выделенным радио-модулем безопасности (например, UAP-AC-SHD) в разделе «Tools» также доступны инструменты AIRTIME и AIRVIEW. Более подробно о них можно узнать в обзоре точки UniFi AP AC Security HD на нашем сайте.

Наконец, последний раздел в интерфейсе настройки точки доступа – статистические графики. Они показывают загрузку процессора и памяти устройства, количество пользователей, утилизацию канала, а также количество повторных и отброшенных пакетов. Такие данные могут помочь в решении возможных проблем.

Рисунок 23. Статистические данные о точке доступа.

Рисунок 24. Статистические данные о точке доступа, продолжение.