24.09.2024
Начало.
Напомним, что интерфейс, описываемый в данном руководстве, демонстрируется на шлюзе Cloud Gateway Ultra в версии 8.4.59 приложения UniFi Network.
Настройки безопасности и расписание Wi-Fi
Протокол безопасности (Security Protocol)
В приложении UniFi можно выбрать следующие протоколы безопасности для Wi-Fi сети (Рис. 10):
-
Open (Открытая сеть). Вход в сеть не требует пароля.
-
WPA2. Это более старый протокол с использованием предварительно выданного ключа безопасности, который требует пароля для подключения к сети. Он менее безопасен, чем WPA3, но остаётся популярным из-за совместимости с устаревшими устройствами.
-
WPA2 Enterprise. Этот метод использует сервер RADIUS для проверки имени пользователя и пароля, что удобно для крупных сетей, где необходимо предоставлять или отзывать доступ без изменения общего ключа безопасности.
-
WPA2/WPA3. Данная настройка позволяет устройствам с поддержкой WPA3 использовать этот новый стандарт, а более старым устройствам — подключаться по WPA2. Хотя это менее безопасно, чем обязательное использование WPA3, данная комбинация уменьшает вероятность сбоев при подключении.
-
WPA3. Новый и более безопасный протокол, также использующий предварительно выданный ключ. Несмотря на улучшения в защите, WPA3 всё ещё подвержен некоторым атакам, поэтому важно использовать сложные пароли и ограничивать доступ к ним.
-
WPA3 Enterprise. Продвинутая версия WPA3, также использующая сервер RADIUS для проверки безопасности, что делает её подходящей для более крупных и защищённых сетей.
Внимание! WPA3 обязателен в сетях, работающих в диапазоне 6 ГГц.
При выборе WPA3 доступны следующие дополнительные настройки:
-
WPA3 SAE anti-clogging threshold (Порог включения защиты от атак DoS) — эта настройка позволяет предотвращать атаки, связанные с отказом в обслуживании (Denial of Service).
-
WPA3 Sync — настройка времени синхронизации, рекомендуется оставить её по умолчанию, если у вас нет особых причин для изменений.
Рис. 10. Настройки безопасности и интервал обновления ключей группы в UniFi.
PMF (Protected Management Frames — Защищённые кадры управления)
PMF защищает управляющий трафик, такой как кадры авторизации, деавторизации, а также зондирующие и сигнальные кадры от подделки или перехвата, что помогает предотвратить определённые атаки.
Возможные настройки:
-
Required (Обязательно) — все устройства должны поддерживать PMF.
-
Optional (По желанию) — устройства, поддерживающие PMF, будут его использовать, остальные смогут подключаться без PMF.
-
Disabled (Отключено) — ни одно устройство не будет использовать PMF.
Рекомендация: В сетях с WPA2 рекомендуется отключить PMF. В WPA3 его необходимо включить.
Group Rekey Interval (Интервал обновления ключей группы)
Эта настройка определяет, как часто точка доступа будет обновлять ключи безопасности для шифрования широковещательного и многоадресного трафика (GTK — Group Temporal Key). По умолчанию этот интервал установлен на 3600 секунд (Рис. 10).
Результат: Короткие интервалы означают более частую смену ключей, что может привести к временным разрывам соединений или ошибкам аутентификации, даже при правильном пароле.
Рекомендация: Оставляйте интервал обновления по умолчанию, если нет необходимости в повышенной безопасности.
Wi-Fi Blackout Scheduler (Расписание выключения Wi-Fi)
Эта функция (Рис. 11) позволяет вам автоматически отключать SSID в заданные временные интервалы и устанавливать расписание для включения и выключения сети.
Рис. 11. Настройка расписания для отключения Wi-Fi.
Глобальные настройки UniFi и Radio Manager
В последних версиях UniFi Network приложение получило новые функции для управления точками доступа, коммутаторами и сетями через глобальные настройки. В версии 8 появилась панель Radio Manager, которая позволяет управлять радиопараметрами всех точек доступа в одной системе, а также следить за их производительностью и вносить коррективы.
Перед тем как использовать глобальные настройки, рекомендуется настроить параметры каждой точки доступа индивидуально, такие как ширина канала и мощность передатчика. После этого через Radio Manager можно централизованно управлять всеми точками доступа, сетями и коммутаторами UniFi. Если нужно, всегда можно исключить отдельные устройства из глобальных правил и настроить их вручную.
Рис. 12. Панель управления Radio Manager в UniFi Network.
Radio Manager (Менеджер радио)
Ранее глобальные настройки Wi-Fi находились в разделе Settings → Wi-Fi (Рис. 13). Теперь все эти функции собраны в панели Radio Manager, которая состоит из пяти вкладок: Coverage (Покрытие), Connectivity (Связь), Environment (Окружение) и Speed Test (Тест скорости). Просматривайте эти вкладки перед внесением изменений, чтобы убедиться в корректности параметров сети.
Рис. 13. Старый интерфейс глобальных настроек Wi-Fi до появления панели Radio Manager.
Рис. 14. Устаревший интерфейс Wi-Fi Settings в версии v8.2.92, до того как был внедрён интерфейс Channelization.
Рис. 15. Интерфейс Wi-Fi Settings в версии v8.4.59 с интерфейсом Channelization (работа с каналами).
На вкладке Radios (Радиомодули) отображается список всех точек доступа с фильтрацией по частотам, участию в проводной и беспроводной связи, а также по статусу MIMO. Здесь можно массово управлять радиомодулями, изменяя их настройки, такие как ширина канала, передаточная мощность и минимальный уровень RSSI.
Настройка ширины канала и мощности передачи
Channel Width (Ширина канала)
Для каждой точки доступа можно задать ширину канала, которая определяет скорость передачи данных и пропускную способность. Базовая ширина канала для Wi-Fi составляет 20 МГц. Более широкие каналы (40, 80, 160 и 240 МГц) позволяют увеличить пропускную способность, но могут привести к появлению помех (Рис. 12).
-
Для диапазона 2.4 ГГц рекомендуется использовать ширину канала 20 МГц, так как в этом диапазоне слишком мало свободных каналов для использования ширины 40 МГц.
-
Для диапазона 5 ГГц доступны ширины 20, 40, 80 и 160 МГц. Выбор ширины канала зависит от приоритетов: если вам важна плотность точек доступа, лучше остановиться на 20 МГц. Для увеличения скорости выбирайте ширину до 160 МГц, хотя не все устройства поддерживают такие каналы.
-
В диапазоне 6 ГГц можно использовать каналы шириной до 320 МГц, но это возможно только для устройств с поддержкой Wi-Fi 7.
Transmit Power (Мощность передатчика)
Этот параметр позволяет регулировать мощность передатчика радиомодулей, которая влияет на радиус действия точки доступа. Доступны уровни мощности: low (низкая), medium (средняя), high (высокая) и auto (автоматическая). Высокая мощность обеспечивает большее покрытие и более сильный сигнал, но также может создать помехи для других точек доступа.
Рекомендация: Для большинства случаев автонастройка — оптимальный вариант, так как она автоматически устанавливает максимальную мощность. Если выбираете ручную настройку, лучше начинать с самого низкого уровня мощности. Для сбалансированного покрытия используйте мощность диапазона 2,4 ГГц на 6 дБм ниже, чем у диапазонов 5 или 6 ГГц.
Минимальный уровень RSSI (Minimum RSSI)
Эта опция помогает устройствам правильно выбирать точку доступа для роуминга. Если уровень принимаемого сигнала падает ниже установленного значения, точка доступа разрывает соединение с клиентом, вынуждая его подключиться к другой, более близкой точке доступа.
Рекомендация: Начните настройку с уровня −70 дБм и корректируйте его в зависимости от особенностей вашей сети. Если возникают проблемы с подключением на дальних расстояниях, пересмотрите расположение точек доступа или мощность их передатчиков.
Рис. 16. Настройки радиомодулей и мощности передатчиков в UniFi.
Перемещённые настройки Wi-Fi
Ряд параметров в UniFi были перемещены из глобальных настроек точек доступа в раздел Settings → System → Advanced (Рис. 17).
Рис. 17. Эти настройки были частью глобальных правил точки доступа.
Wireless Meshing (Беспроводная ячеистая сеть)
Эта настройка позволяет точкам доступа UniFi подключаться к сети по беспроводной связи, используя другие точки доступа, а не Ethernet. Функция активирует скрытый SSID, через который другие точки доступа могут передавать данные. Ячеистая сеть полезна для расширения покрытия, когда нет возможности провести проводное подключение ко всем точкам, но её использование может снизить общую пропускную способность.
Рекомендация: Отключите эту опцию, если все точки доступа подключены по проводу. Включение беспроводного соединения увеличивает отказоустойчивость, но создаёт дополнительные нагрузки на сеть.
New WiFi Device Auto-Link (Автопривязка новых Wi-Fi-устройств)
Эта настройка позволяет устройствам UniFi, таким как камеры UniFi Protect, автоматически находиться и подключаться к сети через скрытый SSID. Это удобно при добавлении новых устройств в существующую сеть.
Рекомендация: Если все ваши устройства уже настроены, отключите эту опцию для уменьшения нагрузки на сеть. Если вы часто добавляете новые устройства, лучше оставить её включённой.
Connectivity Monitor Type (Тип мониторинга подключения)
Этот параметр позволяет указать IP-адрес узла, к которому точки доступа будут пытаться подключиться, чтобы проверить своё состояние в сети. По умолчанию, используется IP-адрес шлюза, но можно указать другой IP-адрес.
Рекомендация: Оставляйте значение по умолчанию, если нет особых причин для его изменения.
Optimize Channelization (Оптимизация каналов)
Эта функция автоматически анализирует радиочастотную среду и подбирает оптимальные каналы для всех точек доступа. Это полезно для сетей, где требуется минимальное вмешательство администратора.
Рекомендация: Включите эту функцию, если вам важна простота настройки. Если вы предпочитаете настраивать каналы вручную, её можно отключить.
Рис. 18. Перемещённые настройки Wi-Fi в UniFi Network.
Увеличение скорости и ёмкости Wi-Fi
Для оптимального использования Wi-Fi сети важно правильно распределить каналы между точками доступа. Если несколько точек доступа работают на одном канале, они будут создавать помехи друг для друга, что приведёт к снижению пропускной способности и увеличению задержек.
Способы повышения ёмкости сети:
-
Разделение каналов: Точкам доступа с пересекающимися зонами вещания следует выделить уникальные каналы, чтобы устройства могли передавать данные без конфликта с другими точками доступа. Это позволяет увеличивать ёмкость сети за счёт одновременной работы большего числа устройств.
-
Увеличение ширины канала: Более широкие каналы (например, 40, 80 или 160 МГц) позволяют передавать больше данных, но также повышают вероятность помех. Ширина канала должна быть сбалансирована с учётом плотности точек доступа и требований сети.
Настройка каналов для 2,4 ГГц
В диапазоне 2,4 ГГц следует всегда использовать ширину канала 20 МГц, так как в этом диапазоне всего три непересекающихся канала: 1, 6 и 11. В сетях с несколькими точками доступа следует назначать каналы 1, 6 и 11 разным точкам доступа, чтобы избежать наложения сигналов. Если точки доступа расположены слишком близко, уменьшите мощность передатчика, чтобы сбалансировать покрытие.
Настройка каналов для 5 ГГц
Для диапазона 5 ГГц по умолчанию используется ширина канала 40 МГц, что является хорошим компромиссом между скоростью и количеством доступных каналов. В диапазоне 5 ГГц также доступны каналы шириной 80 и 160 МГц, но их использование может вызвать проблемы с помехами, особенно в сетях с высокой плотностью точек доступа.
Рекомендация: Используйте каналы шириной 20 или 40 МГц в загруженных сетях для минимизации помех. Для домашних сетей, где важна скорость, можно выбрать каналы шириной 80 МГц.
Настройка каналов для 6 ГГц
Диапазон 6 ГГц позволяет использовать более широкие каналы (до 320 МГц), что особенно актуально для устройств с поддержкой Wi-Fi 7. В этом диапазоне отсутствуют требования DFS (Dynamic Frequency Selection), что делает его предпочтительным для высокоскоростных сетей.
Рекомендация: Используйте максимальную ширину канала в диапазоне 6 ГГц, если у вас есть поддерживающие его устройства. Это даст максимальную скорость и пропускную способность.
Индивидуальные настройки точки доступа
После завершения настройки через Radio Manager, можно дополнительно настроить каждую точку доступа в разделе Devices.
Band Steering (Координация диапазонов)
Эта функция позволяет приоритетно подключать устройства к диапазону 5 ГГц вместо 2,4 ГГц, что помогает распределять нагрузку и улучшать производительность сети. Если координация диапазонов отключена, устройства могут оставаться подключёнными к 2,4 ГГц, даже если 5 ГГц предоставляет лучший сигнал.
Рекомендация: Оставляйте координацию диапазонов включённой, чтобы оптимизировать подключение к 5 ГГц, особенно для высокопроизводительных устройств. Однако для IoT-устройств или устаревших девайсов иногда лучше выбрать настройку balanced для более стабильного соединения.
Настройки IP (IP Settings)
Эта функция позволяет назначать управляющий IP-адрес для каждой точки доступа. Если включена опция Network Override, точка доступа будет перенаправлена в определённую VLAN.
Рекомендация: Используйте Network Override только если ваша сеть настроена на работу с VLAN. В противном случае, точка доступа может потерять соединение с контроллером UniFi, и для восстановления потребуется сброс настроек устройства.
Дополнительные настройки точки доступа
Здесь можно найти различные параметры, включая управление LED-индикаторами, доступ к SNMP, копирование конфигурации с другой точки доступа, обновление прошивки, а также перезагрузку или удаление устройства из сети.
Устаревший интерфейс настроек
Ранее в UniFi использовался старый интерфейс настроек, который постепенно вытесняется новой версией. Некоторые функции старого интерфейса были перемещены, переименованы или полностью удалены, а новые возможности теперь доступны в обновлённом интерфейсе (Рис. 18).
Рис. 18. Переход от старого интерфейса UniFi к новому.
Применение гостевых политик (Apply Guest Policies)
Ранее управление гостевыми политиками, такими как Captive Portal и Passpoint, выполнялось через отдельный интерфейс. Теперь эти функции интегрированы в новый интерфейс Hotspot, что позволяет удобнее управлять гостевыми сетями.
Фильтрация многоадресного и широковещательного трафика
Настройка Multicast and Broadcast Filtering была преобразована в Multicast and Broadcast Control и теперь находится в разделе Settings → Wi-Fi. Это позволяет более точно контролировать потоки данных, проходящие через сеть, и блокировать ненужные широковещательные пакеты.
Beacon Country (Страна для сигнального кадра)
Эта настройка, которая корректировала параметры роуминга в зависимости от страны, была удалена в новом интерфейсе.
TLDS Prohibit (Запрет туннельных соединений)
Настройка блокировала соединения с использованием Tunneled Link Direct Setup (TLDS). Теперь она не поддерживается в новом интерфейсе.
Поддержка устаревших устройств (Legacy Support)
Эта функция, которая ранее использовалась для подключения старых устройств (например, по стандарту 802.11b), теперь управляется через настройку Minimum Data Rate Control, которая позволяет регулировать минимальную скорость передачи данных в сети.
Client Isolation (Изоляция клиентов)
Эта настройка, ранее известная как L2 Isolation, теперь включена по умолчанию в гостевых сетях и помогает защитить устройства от взаимодействия друг с другом.
Рекомендация: Изоляция клиентов помогает предотвратить доступ между устройствами в одной сети, что особенно важно для гостевых и публичных сетей.
Заключение
Использование новых функций UniFi для управления сетью позволяет добиваться максимальной производительности и стабильности. Правильная настройка параметров, таких как ширина канала, мощность передатчика и контроль минимальной скорости, помогает обеспечить стабильную работу сети даже при большом количестве подключённых устройств.
Возврат к списку