2009-2014

WiFi MAG

г. Сергиев Посад
улица Фабричная, дом 7, стр. 2

sales@wifimag.ru
8 (495) 226-37-87
8 (800) 250-37-87
Опережая скорость, сокращая расстояния         Читайте отзывы покупателей и оценивайте качество магазина на Яндекс.Маркете
Заказать звонок
Время работы:
Пн-Пт 9:00 - 19:00
Сб-Вс 9:00 - 17:30
Самовывоз:
Пн-Вс 7:00 - 21:00
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
Опережая скорость, сокращая расстояния
8 (495) 226-37-87
 8 (800) 250-37-87
0
Сравнить товары
0
Товары в корзине
WiFiMag
0
Сравнить товары
0
Товары в корзине

ОБЗОР-ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО НАСТРОЙКЕ СЕТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ ОБОРУДОВАНИЯ UBIQUITI NETWORKS UNIFI®. Часть 4. Работа с пользователями и гостевыми сетями.

18.11.2019

Сетевая система UniFi позволяет выполнять индивидуальную настройку параметров клиентских устройств сети и собирать достаточно широкий спектр сведений о клиентской активности. Также, помимо «классических» Wi-Fi сетей для дома или бизнеса, часто возникает необходимость создать «публичную» беспроводную сеть с определенными ограничениями для подключенных к ней клиентов и отдельной авторизацией. В данной части обзора-инструкции будет рассмотрена работа с клиентами и «гостевыми» сетями.

Настройка клиентских устройств в рамках сети UniFi.

Скорость подключения для беспроводных устройств UniFi определяется несколькими параметрами. Первый из них – группа пользователей («User Group»). Для каждой группы пользователей задается максимальная скорость скачивания и выгрузки. После создания, группа может быть назначена как группа «по умолчанию» для беспроводной сети или принудительно назначена конкретному клиенту.




Рисунок 1. Создание новой группы пользователей.



В данном тесте создаются две группы. Первая с лимитом скорости 20 Мбит/с, вторая с лимитом 2 Мбит/с.


Второй способ ограничения скорости клиентов используется в рамках гостевой сети и будет рассмотрен далее.




Рисунок 2. Лимит скорости для группы.



Список клиентов можно открыть в интерфейсе контроллера в закладке «Clients». Также, как и для списка устройств UniFi, для списка клиентов доступна кастомизация отображаемых полей, табличный или плиточный вид и применимые действия. Клиентское устройство может быть заблокировано (просмотреть список блокированных устройств можно просмотреть в разделе Insights – Client History, там же можно разблокировать клиента). Беспроводные клиенты могут быть принудительно переподключены к Wi-Fi сети.


Поскольку контроллер UniFi также отображается в списке как один из клиентов, к функциям блокировки следует относиться с осторожностью.




Рисунок 3. Список активных клиентов.




Рисунок 4. Настройка полей для списка клиентов.



При нажатии курсором на поле клиента открывается окно свойств. Оно аналогично свойствам устройств UniFi. По умолчанию, окно открывается в правой стороне экрана, но может быть «откреплено» и перемещено в любое место интерфейса. Общий обзор информации о клиенте показывает качество связи, активность устройства, сетевые параметры и ряд других данных, включая энергопотребление PoE-устройств, подключенных к свитчам UniFi.




Рисунок 5. Окно свойств клиента, общая информация для беспроводного и проводного устройств.



Интересной особенностью новых версий контроллера UniFi является отображение данных о производителе и модели клиентского устройства, а также операционной системе. Во многих случаях, контроллер способен распознать данные о клиенте автоматически. Если этого не происходит, можно вручную выбрать модель и производителя из достаточно большой встроенной библиотеки устройств. Иконка, соответствующая модели устройства, будет отображаться в списке клиентов и на карте топологии.




Рисунок 6. Окно свойств клиента, данные о производителе, модели устройства и операционной системе.




Рисунок 7. Принудительный выбор данных об устройстве из библиотеки.



Статистические данные о клиенте показывают сетевую активность устройства, а для беспроводных устройств также частотный канал, уровень сигнала и скорость подключения.




Рисунок 8. Статистика об устройстве.



Если в сети UniFi используется маршрутизатор UniFi Security Gateway любой модели или UniFi Dream Machine, то для клиентов доступны данные системы глубокой инспекции пакетов DPI. Система способна распознавать трафик большинства типов сетевых приложений, включая мессенджеры, почтовые сервисы, торренты, видео-сервисы и многие другие.




Рисунок 9. Данные DPI.



Если для беспроводных клиентов доступна информация о сессиях работы в сети.




Рисунок 10. История подключений беспроводного клиента.



Также, как и для устройств UniFi, для клиентов доступны определенные индивидуальные настройки. Для каждого клиента можно вручную изменить отображаемое в списке имя и добавить примечание.




Рисунок 11. Настройка клиента, имя (alias) и примечание.



Каждый беспроводной клиент по умолчанию использует группу пользователей, заданную на уровне Wi-Fi сети. Однако, группа пользователей может быть принудительно назначена вручную. Это касается как «стандартных», так и «гостевых» клиентов. При принудительном назначении группы эта настройка будет иметь абсолютный приоритет (в том числе и для клиентов, использующих ограничение скорости, заданное на уровне гостевого портала).




Рисунок 12. Настройка клиента, ручной выбор группы пользователей.



В тесте скорости клиент был последовательно переключен с группы «по умолчанию» (без ограничений) на группы 20 Мбит/с и 2 Мбит/с. Такое ограничение скорости беспроводных клиентов может быть рекомендовано для обеспечения гарантированной производительность Wi-Fi сети, особенно при большом числе клиентов. Приоритетные клиенты при этом могут быть либо подключены к Wi-Fi сети с большим лимитом скорости, либо (в рамках той же сети) им может быть назначена другая клиентская группа.




Рисунок 13. Данные теста скорости для групп пользователей.



Настройки сетевых параметров позволяют выбрать либо автоматическое назначение сетевого адреса, либо выполнить фиксацию адреса на уровне DHCP сервера (в составе маршрутизатора USG).




Рисунок 14. Настройка клиента, сетевые параметры.



Карта топологии сети, которая ранее рассматривалась во второй части обзора, посвященного Wireless Uplink, также может отображать клиентов сети. Для корректного отображения топологии в сети должны использоваться точки доступа и коммутаторы UniFi. Для проводных клиентов доступна информация о коммутаторе и конкретном порте подключения, для беспроводных клиентов – данные о точке доступа и Wi-Fi сети.




Рисунок 15. Карта топологии с отображением клиентов.



Настройка гостевой сети и портала авторизации.

Сетевая система UniFi позволяет создать помимо «стандартных» домашних или офисных Wi-Fi сетей «гостевые» сети, отличающееся способом авторизации и определенными ограничениями для клиентов.


В самом простом варианте, «гостевая» сеть может работать как обычно, с вводом клиентами ключа шифрования (или, что не рекомендуется, работать в открытом режиме). Ограничения будут включать в себя изоляцию клиентов и ограничения мультикастового и широковещательного трафика. Такой вариант может использоваться, например, для гостей в домашней сети. Также это хороший вариант для «не доверенных» устройств в офисной сети (например, личных смартфонов сотрудников, не использующихся в работе и требующих только доступа в Интернет).


Однако, для «публичной» сети такой метод не годится. Для подключения многочисленных пользователей требуется использовать какой-либо способ идентификации, что прямо требуется законом. Контроллер UniFi позволяет использовать гостевой портал авторизации (хотспот) с различными типами аутентификации – от простого пароля до ваучеров и использования социальных сетей. Также возможно использовать внешний портал (например, для аутентификации по SMS) что предпочтительно для крупных публичных сетей. Из встроенных типов авторизации для России подходит только вариант с ваучерами, поскольку законом пока не предусмотрена авторизация через социальные сети. Этот способ лучше всего подходит для сравнительно небольших сетей типа гостиничных, и именно он будет рассмотрен далее.


Для включения авторизации через гостевой портал необходимо активировать соответствующую опцию в разделе настроек «Guest Control» и выбрать вариант «Hotspot». При подключении к сети клиенту будет показана страница авторизации, в которой он должен будет ввести номер ваучера. После этого клиент будет направлен либо на нужную ему страницу, либо первоначально ему будет показана «рекламная» страница, указанная в поле «Promotional URL».


Для работы гостевого портала требуется, чтобы контроллер был постоянно включен. В случае недоступности портала точки доступа переходят в режим «selfrun». По умолчанию, клиенты гостевой сети при недоступности контроллера подключаются без авторизации, хотя настройки скорости соединения (заданные на уровне группы пользователей) и изоляции клиентов сохраняются. При восстановлении работоспособности контроллера функции авторизации снова применяются. Такой режим не подходит для публичных сетей, которые должны соответствовать требованиям закона в России. Для них режим «selfrun» может быть сконфигурирован таким образом, чтобы при недоступности портала авторизации трансляция гостевой сети прекращалась. Для этого необходимо отредактировать конфигурационный файл портала config.properties (работа с ним описана в статье на официальном сайте разработчика) добавив в него строку config.selfrun_guest_mode=off. После получения настроек точками (принудительный запуск «Force Provision» в меню настроек точки), режим начнет работать.




Рисунок 16. Настройка гостевой политики для сайта.



Гостевой портал имеет два варианта. Старый шаблон портала может быть активирован в разделе «Portal Customization» в поле «Legacy JSP». Работа с ним не изменилась с прошлых версий и подробно описана в предыдущем обзоре-инструкции. Новый портал на базе шаблона «AngularJS» будет рассмотрен ниже.


После выбора нового типа портала можно выполнить определенные действия по настройке внешнего вида. В частности, добавить текст приветствия, условия использования гостевой сети, изменить фоновый рисунок и логотип. Для проверки доступен предварительный просмотр внешнего виде портала для компьютеров и мобильных устройств. Если необходимо более глубокая кастомизация, можно активировать чекбокс «Override templates with custom changes». После этого можно, например, добавить новый язык перевода.




Рисунок 17. Настройка внешнего вида гостевого портала.



Несмотря на появление возможности добавлять языки перевода, это не означает автоматического решения вопроса. После настройки в контроллере, нужно вручную создать нужную папку на устройстве в папке locales и добавить соответствующий переведенный файл.




Рисунок 18. Настройка перевода для гостевого портала.



Для контроллера UniFi Cloud Key доступ к расположению файлов перевода можно получить при помощи любого SFTP/SCP файлового менеджера. Например, программы WinSCP. Авторизацию необходимо проводить от имени администратора устройства UniFi Cloud Key (см. первую часть инструкции).




Рисунок 19. Расположение текстовых файлов гостевого портала для перевода.




Рисунок 20. Редактирование текстовых файлов гостевого портала.



В качестве типа авторизации был выбран «Vouchers». Теоретически, контроллер позволяет выполнять кастомизацию не только портала, но и ваучеров. Для этого можно выбрать чекбокс «Override templates with custom changes». Расположение файлов ваучеров находится по пути /usr/lib/unifi/data/sites/default/portal/bundle. К редактированию надо подходить с большой осторожностью, так как возможны проблемы с отображением шрифтов.


В разделе «Access Control» можно настроить ограничения для изоляции клиентов. По умолчанию, ограничения касаются всех частных подсетей. При необходимости, можно изменить эти ограничения и добавить хосты и подсети, которые будут доступны гостевым клиентам даже до авторизации.


В разделе «Hotspot» доступна ссылка для перехода в отдельный интерфейс менеджера гостевой сети. Также менеджер можно открыть в браузере по адресу https://<адрес_контроллера>:8443/manage/hotspot/site/default (пример для сайта «по умолчанию»).




Рисунок 21. Настройка типа авторизации пользователей гостевой сети.



Для применения «гостевых» параметров к Wi-Fi сети, необходимо установить чекбокс «Apply guest policies (captive portal, guest authentication, access)». Тип безопасности в данном случае указывается как «открытый».




Рисунок 22. Создание новой гостевой сети.



Среди «продвинутых» параметров настройки необходимо обратить внимание на ограничение широковещательного трафика и, при необходимости, добавить в список такие ресурсы, как внутренний DHCP-сервер (если в этих целях не используется шлюз USG). В некоторых случаях целесообразно выделить гостевую Wi-Fi сеть в отдельный VLAN. Также, для многих гостевых сетей имеет смысл установить определенное расписание работы. При активации чекбокса «Enable WLAN schedule» становится доступной настройка времени работы сети для каждого дня недели.




Рисунок 23. Настройка продвинутых параметров и расписания работы гостевой сети.



Менеджер гостевого портала позволяет управлять пользователями гостевой сети и ваучерами. Администратор контроллера UniFi имеет полный доступ к функционалу менеджера.




Рисунок 24. Менеджер гостевого портала.



Контроллер UniFi позволяет создавать пользователей – операторов гостевого портала, которые будут иметь права на управление пользователями гостевой сети и ваучерами, но сами не смогут менять параметры контроллера или создавать новых операторов.




Рисунок 25. Создание нового оператора гостевого портала.



Ваучеры на получение доступа к сети могут создаваться как по одному, так и партиями. Каждый ваучер может использоваться для подключения одного или нескольких устройств и имеет определенное время действия. Также для пользователей можно установить ограничение скорости скачивания или выгрузки, а также общий лимит на объем переданных данных. Необходимо отметить, что если пользователю гостевой сети индивидуально назначить в контроллере UniFi группу пользователей с другим ограничением скорости – фактически будут действовать именно эти ограничения, а не указанные в ваучере.




Рисунок 26. Создание ваучеров.



Оператор может просматривать список созданных ваучеров. Печать выполняется или по группам создания или для неиспользованных ваучеров.




Рисунок 27. Список ваучеров в менеджере гостевого портала.



В данном примере было создано 10 ваучеров на неограниченное число устройств и со сроком действия 1 сутки. Лимит скорости был установлен в 1 Мбит/с.




Рисунок 28. Распечатанные ваучеры.



После авторизации в сети с мобильного устройства и ноутбука тест скорости показал, что заданные ограничения корректно выполняются.




Рисунок 29. Окно авторизации гостевой сети для мобильного устройства.




Рисунок 30. Тест скорости для мобильного клиента гостевой сети.




Рисунок 31. Окно авторизации гостевой сети для ноутбука.




Рисунок 32. Тест скорости для ноутбука, подключенного к гостевой сети.



Клиенты гостевой сети будут видны в списке клиентов и топологии в контроллере UniFi как и обычные, но с отдельной возможностью сортировки. Управление такими клиентами можно осуществлять в основном интерфейсе контроллера. Но ряд специфических функций выполняется только в менеджере гостевой сети.




Рисунок 33. Карта топологии с гостевой сетью и клиентами.



Менеджер гостевого портала содержит определенные функции управления клиентами. Главная страница позволяет оценить количество подключенных к гостевой сети устройств и их распределение по типам (компьютеры или мобильные устройства).




Рисунок 34. Экран аналитики в менеджере гостевого портала.



В списке авторизованных устройств можно увидеть имя клиента, данные по трафику, срок действия сессии. Также сопоставляется имя клиента и номер ваучера. Для каждого клиента сессия может быть продлена или клиент может быть принудительно отключен от сети.




Рисунок 35. Список авторизованных клиентов гостевой сети.



В списке ваучеров отображается информация о числе активированных устройств, сроке действия и использованной квоте трафика. Любой ваучер может быть распечатан или (при необходимости) отозван.




Рисунок 36. Информация об использованных ваучерах.