Розширені налаштування Wi-Fi UniFi часто розуміють неправильно. Значення за умовчанням зазвичай безпечні, але корисно розуміти, що вони роблять під час налаштування мережі або усунення несправностей. Ubiquiti у документації не дуже добре пояснює, тому давайте розглянемо їх один за одним.
Ці налаштування та описи використовують «новий» інтерфейс за замовчуванням і є поточними, починаючи з версії 6.5.53 мережевого програми UniFi. Наприкінці я також перераховую налаштування, доступні лише у класичному/старому інтерфейсі.
Зміст:
- Створення нової мережі Wi-Fi UniFi
- Розширені налаштування Wi-Fi
- Діапазон Wi-Fi
- Оптимізація підключення IoT Wi-Fi
- Групи точок доступу
- UAPSD
- Високопродуктивні пристрої
- Проксі ARP
- Застаріла підтримка
- Розширення багатоадресної розсилки (IGMPv3)
- Перехід BSS
- Ізоляція L2
- Включити швидкий роумінг
- Профіль пропускної спроможності
- налаштування безпеки
- Налаштування авторизації за MAC-адресою
- Планувальник Wi-Fi
- Установки доступні лише у старому інтерфейсі
Створення нової мережі Wi-Fi UniFi
В інтерфейсі UniFi мережеві налаштування розділені на Wi-Fi, Мережі та Інтернет.
- Wi-Fi керує бездротовими з'єднаннями, включаючи SSID, пароль та інші додаткові параметри.
- Мережі (Networks) контролюють ваші локальні мережі та віртуальні локальні мережі, включаючи DHCP, DNS та IP-адреси.
- Інтернет контролює ваші підключення до глобальної мережі, включаючи віртуальні локальні мережі, IP-адреси та інтелектуальні черги для QoS.
За замовчуванням UniFi має одну мережу LAN, яка використовується для всіх дротових та бездротових підключень. Створення додаткових мереж дозволяє сегментувати та обмежувати трафік. Це зазвичай використовується для гостьових пристроїв або пристроїв IoT або розділення пристроїв або областей на різні мережні групи. Перш ніж заглиблюватися в налаштування бездротової мережі, спочатку налаштуйте свої мережі та VLAN. Це можна зробити, змінивши стандартну локальну мережу або створивши нову мережу на вкладці «Мережі».
Якщо мережу, яку ви хочете використовувати для Wi-Fi, вже створено, перейдіть до «Установки» → «Wi-Fi» → «Додати нову мережу».
Дайте йому ім'я (SSID), пароль та вкажіть, яку мережу він використовуватиме. Якщо ви не хочете використовувати пароль WPA2 за промовчанням для мережі, відкрийте додаткові параметри, прокрутіть вниз до вкладки «Безпека» та змініть налаштування там. В іншому випадку ви можете зберегти його, і він буде доданий до всіх ваших точок доступу за промовчанням.
Якщо вам потрібна базова мережа, то це все, що вам потрібно зробити. Якщо ви хочете більше, хороші речі приховані на вкладці «Розширені функції»/Advanced Features.
Розширені налаштування Wi-Fi UniFi
На вкладці з розширеними функціями є різні абревіатури та параметри для налаштування. Розглянемо детальніше навіщо вони.
Діапазон WI-FI (WI-FI Band)
- 2,4 ГГц: повільніше, дальність більше, краще проникає крізь стіни.
- 5 ГГц: швидше, менший радіус дії, менше проникнення крізь стіну.
- Типово: Обидва.
- Ефект: цей параметр визначає, на якому діапазоні працює мережа Wi-Fi. Ви можете вибрати один або увімкнути обидва.
- Примітка. Використання дводіапазонних SSID може призвести до проблем з роумінгом, оскільки деякі клієнти не використовують 5 ГГц або не переміщуються до найближчої точки доступу. Є кілька способів боротьби з цим - зазвичай ефективними можуть бути коригування розміщення точки доступу, зниження потужності передачі на частоті 2,4 ГГц, включення управління діапазоном, швидкий роумінг або налаштування високопродуктивних пристроїв. Ви також можете створити окрему мережу 2,4 ГГц та 5 ГГц, якщо хочете гарантовано вручну контролювати, яка смуга частот використовується якимсь пристроєм.
Оптимізація підключення IoT Wi-Fi (Optimize IoT Wi-Fi Connectivity)
- Підвищує надійність підключення пристроїв IoT.
- За замовчуванням: Увімк.
- Ефект: примусово встановлює для параметрів DTIM значення за промовчанням, що дорівнює 1 для 2,4 ГГц і 3 для 5 ГГц. Докладніше про DTIM нижче, у розділі «Керування швидкістю та маяком 802.11».
Групи точок доступу (AP Groups)
Дозволяє групувати точки доступу та вибирати, які з них транслюватимуть цю мережу Wi-Fi.
За промовчанням: всі точки доступу.
Примітка. UniFi має обмеження 4 SSID на діапазон для кожної групи точок доступу. Ви можете збільшити число до 8 SSID, якщо обмежите свої мережі однією смугою. У вас може бути до чотирьох мереж 2,4 ГГц і до чотирьох мереж 5 ГГц або чотири дводіапазонні SSID. Ви завжди можете створити додаткові SSID, але кожна точка доступу або група точок доступу можуть одночасно транслювати лише чотири SSID у кожному діапазоні.
Прокручування нижче груп точок доступу - це місце, де все стає весело, і абревіатури набувають володіння.
UAPSD
- Незаплановане автоматичне енергозбереження також відоме як енергозбереження WMM.
- За замовчуванням: Вимк.
- Ефект: увімкнення дозволяє пристроям, що підтримують UAPSD, заощаджувати заряд батареї, утримуючи їх Wi-Fi-радіо в сплячому режимі протягом більшого часу. Як і багато функцій, які відключені за замовчуванням, це може викликати проблеми для деяких клієнтів, особливо для старих пристроїв або пристроїв IoT.
- Рекомендація. Увімкніть, якщо потрібний час автономної роботи, а підключення до старих пристроїв/пристроїв IoT — ні.
High Performance Devices (Високопродуктивні пристрої)
- Підключайте високопродуктивних клієнтів лише до 5 ГГц.
- За замовчуванням: Увімк.
- Результат: відключення цього параметра дозволяє «високопродуктивним» клієнтам підключатися до частоти 2,4 ГГц. Це може виправити (або погіршити!) деякі проблеми з дводіапазонними SSID та низькою продуктивністю роумінгу за рахунок зниження пропускної здатності при підключенні пристроїв до частоти 2,4 ГГц.
- Рекомендація: відключіть, якщо у вас є області, які покриваються лише 2,4 ГГц, або є проблеми з тим, що клієнти 2,4 ГГц не можуть підключитися до мережі.
- Примітка. Ubiquiti не вказує, що таке "висока продуктивність", але я припускаю, що це стосується пристроїв, що підтримують Wi-Fi 5 або 6 і кілька просторових потоків. Сучасні телефони та ноутбуки, в основному.
Proxy ARP
- Перезначає таблицю ARP станції. ARP — це протокол дозволу адрес, який використовується для отримання MAC-адреси для цієї IP-адреси.
- За замовчуванням: Вимк.
- Ефект: увімкнення дозволяє точці доступу відповідати на запити ARP для клієнтських пристроїв, що допомагає обмежити широкомовний трафік. Це в основному відноситься до більших мереж з більш високою густиною.
- Рекомендація: увімкніть для мереж із високою щільністю.
Застаріла підтримка
- Увімкніть підтримку застарілих пристроїв (наприклад, 11b).
- За замовчуванням: Вимк.
- Ефект: увімкнення цього параметра дозволяє підключатися до старіших пристроїв, які не підтримують стандарти 802.11g або новіші.
- Рекомендація. Увімкніть, тільки якщо вам потрібні пристрої, які підтримують лише 802.11a або 802.11b для підключення до мережі.
Розширення багатоадресної розсилки (IGMPV3)
- Дозволити пристроям надсилати багатоадресний трафік зареєстрованим клієнтам із вищою швидкістю передачі даних, увімкнувши протокол IGMPv3.
- За замовчуванням: Вимк.
- Ефект: увімкнення цього параметра може підвищити продуктивність продуктів для розумного будинку, таких як розумні колонки або потокові пристрої. Наприклад, динаміки Sonos зазвичай працюють краще, коли…
- Spanning Tree налаштований на звичайний режим STP на комутаторах. Я також рекомендував би знизити пріоритет ваших комутаторів, щоб вони продовжували бути кореневим мостом Spanning Tree.
- IGMP Snooping включений у налаштуваннях мережі -> додатково. Це дозволяє комутаторам ідентифікувати групи багатоадресної розсилки, які у кожному порту. Багатоадресні потоки перенаправляються лише на мережні пристрої, які мають їх отримувати.
- Поліпшення багатоадресної розсилки (IGMPv3) включено в налаштуваннях Wi-Fi -> додатково. Це активує службу запитів IGMP на шлюзі UniF i, дозволяючи йому створювати групи багатоадресної розсилки, які мають покращити багатоадресний трафік, такий як відео- або аудіопотоки. Деяким людям пощастило з цим відключенням і можуть бути інші проблеми, такі як топологія мережі. Багатоадресне розсилання важко усунути без перехоплення пакетів та знання задіяних протоколів.
- Багатоадресний DNS включений у розділі "Додаткові функції" -> "Додаткові налаштування шлюзу". mDNS дозволяє перетворювати імена хостів на IP-адреси в локальній мережі без DNS-сервера. Прикладом mDNS є Bonjour від Apple, який використовується для швидкого налаштування загального доступу між комп'ютерами та іншими пристроями. mDNS UniFi дозволяє виявляти пристрої в інших мережах.
- Рекомендація: увімкнення цього параметра може вирішити проблеми з Chromecast, AirPlay або іншим пристроєм для розумного будинку. Інший варіант — увімкнути mDNS та створити окремий SSID для цих пристроїв та виконати кроки, описані у довідковій статті Ubiquiti тут.
Перехід BSS
- Дозволити перехід BSS за допомогою WNM, що означає «Керування бездротовою мережею». WNM дозволяє точці доступу надсилати повідомлення клієнтам, щоб надати їм інформацію про мережу та інформацію про інші точки доступу. Це включає поточне використання та кількість клієнтів, що дозволяє клієнту приймати більш обґрунтовані рішення про роумінг.
- За замовчуванням: Увімк.
- Ефект: Включає 802.11v. Це допомагає економити електроенергію та процес роумінгу, але клієнтський пристрій має ухвалити рішення на основі наданої інформації.
- Рекомендація: залиште увімкненим, особливо в мережах з кількома точками доступу.
Ізоляція L2
- Ізолює станції на рівні 2 (Ethernet)
- За замовчуванням: Вимк.
- Ефект: Забороняє клієнтам спілкуватися.
- Рекомендація: увімкніть для гостьових мереж з високим рівнем безпеки або мереж IoT, які виграють від цього обмеження. Це також може призвести до непередбачених наслідків, тому перевірте поведінку пристроїв до та після зміни цього параметра.
Включити швидкий роумінг
- Найшвидший роумінг для сучасних пристроїв з підтримкою 802.11r. Це досягається за рахунок прискорення процесу узгодження ключа безпеки, що дозволяє виконувати узгодження та запити ресурсів паралельно. У 802.1X ключі кешуються, а клієнту не потрібно перевіряти сервер RADIUS під час кожного переміщення. У мережах із попереднім загальним ключем, таких як WPA2, клієнт проходить звичайний процес аутентифікації з чотириетапним рукостисканням.
- За замовчуванням: Вимк.
- Ефект: Включає бездротовий OTA швидкий перехід BSS, що дозволяє пристроям, які його підтримують, швидше переміщатися між точками доступу. Якщо цей параметр не увімкнено, роумінг від точки доступу до точки доступу може тривати кілька секунд, і протягом цього часу дані не можуть бути надіслані або отримані. У більшості випадків ви цього не помітите, але чутливі до затримки програми та програми реального часу, такі як голосовий виклик, працюють погано. Повільна поведінка в роумінгу під час виклику VoIP може призвести до розриву звуку. При включеному швидкому роумінгу 802.11r роумінг має бути практично непомітним.
- Примітка. Fast BSS Transition працює як із попереднім ключем (PSK), так і з методами автентифікації 802.1X. Якщо ця функція увімкнена, старі пристрої не повинні мати проблем із підключенням.
Профіль пропускної спроможності
За промовчанням або виберіть існуючий профіль.
За замовчуванням пропускна здатність не обмежена.
Ефект: дозволяє встановити обмеження пропускної здатності для завантаження та вивантаження за промовчанням для кожного клієнта.
Примітка. Створіть нові профілі у розділі «Додаткові функції» → «Профіль пропускної здатності».
налаштування безпеки
Протокол безпеки
- Open. Для підключення до мережі пароль не потрібний.
- WPA-2. Старіший метод безпеки з попереднім загальним ключем, який вимагає пароля для підключення до мережі. WPA-2 є менш безпечним, ніж WPA-3, але підтримується більш універсально, особливо на старих пристроях.
- WPA-2 Enterprise. Старіший метод безпеки 802.1X, який вимагає, щоб сервер RADIUS дозволяв користувачам підключатися до мережі за допомогою імені користувача або пароля. Зазвичай зустрічається у великих мережах, яким необхідно надати або відкликати дозвіл на приєднання без зміни доступу інших людей шляхом зміни попереднього загального ключа.
- WPA-2/WPA-3. Дозволяє використовувати з'єднання WPA-2 та WPA-3. Пристрої, що підтримують WPA-3, будуть використовувати новіший і безпечніший стандарт, а старі клієнти використовуватимуть WPA-2. Загалом це менш безпечне, ніж вимога WPA-3, але більш гнучка і з меншою ймовірністю викличе проблеми при переході на WPA-3 за умовчанням.
- WPA-3. Більш новий метод безпеки з попереднім загальним ключем, який робить багато чаклунства за лаштунками, щоб бути більш безпечним, ніж WPA-2. WPA-3, як і раніше, вразливий для певних атак, тому обов'язково використовуйте складний пароль і обмежте доступ до нього, якщо це має значення.
- WPA-3 Enterprise. Новіший метод безпеки 802.1X, який, як і персональний WPA-3, забезпечує більш безпечні з'єднання.
Якщо вибрано WPA3...
WPA3 SAE anti-clogging threshold in seconds (Поріг захисту WPA3 SAE за секунди):
- За замовчуванням: 5
- Примітка. SAE – це одночасна автентифікація рівних, а захист від засмічення призначений для запобігання атакам типу «відмова в обслуговуванні» (DoS) на точку доступу. Цей параметр впливає на поріг часу для того, що точка доступу вважає "надто багато" запитів.
WPA3 Sync за секунди:
- За замовчуванням: 5
- Примітка. Пояснення того, як працює WPA3, виходить за межі цього посібника. Змінюйте їх лише в тому випадку, якщо ви знаєте, що робите, і у вас є вагома причина.
Приховати назву Wi-Fi
Це змушує точки доступу відправляти маякові кадри без SSID, що означає, що поле SSID у маяковому кадрі встановлюється нульовим. Маяки, як і раніше, відправляються, а «приховані» мережі, як і раніше, легко виявити. Щоб приєднатися до мережі із прихованим SSID, клієнтам доведеться вручну вводити ім'я SSID разом із паролем.
Приховування SSID не підвищує безпеку мережі. Використання більш складного пароля або перехід на новий протокол (WPA2/3 в порівнянні з WPA або WEP) роблять це.
PMF (PROTECTED MANAGEMENT FRAME)
PMF – це функція безпеки, метою якої є запобігання перехопленню або підробці трафіку управління. Кадри управління включають аутентифікацію, деаутентифікацію, асоціацію, дисоціацію, маяки та зонди. Вони не можуть бути зашифровані як звичайний одноадресний трафік, тому ця функція захищає від підробки, запобігаючи деяким поширеним атакам безпеки.
- Потрібно: точки доступу будуть використовувати PMF для всіх станцій. Станції без можливості PMF не можуть приєднатися до WLAN. Потрібно для WPA3.
- Optional: точки доступу будуть використовувати PMF для всіх сумісних станцій, дозволяючи станціям, що не підтримують PMF, підключатися до WLAN.
- Disabled: точки доступу не будуть використовувати PMF для жодних станцій.
Груповий інтервал перемикання
Цей параметр визначає, як часто точка доступу змінює GTK або груповий часовий ключ. GTK - це криптографічний ключ, який використовується для шифрування всього широкомовного та багатоадресного трафіку між точками доступу та клієнтами.
- Типово: 3600 секунд.
- Примітка. Менші інтервали означають, що ключ змінюється частіше, але це може призвести до того, що користувачі відключаться або не зможуть підключитися до мережі з повідомленням "неправильний пароль", навіть якщо вірні облікові дані.
Налаштування авторизації за MAC-адресою
MAC address Filter:
- Дозволяє заборонити клієнтам підключатися до мережі, якщо вони не перебувають у списку дозволених, або заблокувати певні MAC-адреси.
- Дозволяє використовувати сервер RADIUS для автентифікації клієнтів.
- Дозволяє вибрати попередньо визначені профілі RADIUS.
- Щоб створити новий профіль, перейдіть до "Додаткові функції" -> "RADIUS" -> "Додати профіль RADIUS". Тут ви визначаєте аспекти вашого сервера RADIUS, такі як IP-адреса, порти, призначена VLAN, загальні секрети та інтервал оновлення.
- Дозволяє встановити формат MAC-адреси та очікувані точки з комою або дефіси.
Управління 802.11 швидкістю та маяком
OVERRIDE DTIM PERIOD
DTIM розшифровується як повідомлення індикації трафіку доставки, яке є повідомленням, що надсилається разом з сигнальними кадрами. Роль DTIM полягає в тому, щоб дати сплячому клієнту знати, що він чекає на нього в буфері. Вищі значення буферизують довше, що потенційно заощаджує заряд батареї. Однак зміна цих значень може викликати безліч проблем, тому змінюйте їх на свій страх та ризик.
- За промовчанням для 2,4 ГГц: 1, що означає, що кожен маяк 2,4 ГГц буде включати DTIM.
- За промовчанням для 5 ГГц: 3, що означає, що кожен третій маяк 5 ГГц буде включати DTIM.
- Примітка. Ви не можете змінити значення за промовчанням, якщо увімкнено оптимізувати підключення до IoT Wi-Fi.
2.4 AND 5 GHZ DATA RATE CONTROL
Відключення найнижчих швидкостей передачі даних є звичайним налаштуванням для мереж з високою щільністю, де важлива економія ефірного часу. Нижчі швидкості передачі менш ефективні. Коли дані надсилаються з низькою швидкістю, потрібно більше ефірного часу, що обмежує продуктивність усіх інших пристроїв, які використовують цю точку доступу. Це не обмежує діапазон точки доступу, і деталі складні.
- За замовчуванням для 2,4 ГГц: дозволено всі швидкості (від 1 до 54 Мбіт/с).
- За замовчуванням для 5 ГГц: дозволено всі швидкості (від 6 до 54 Мбіт/с).
- Рекомендація: Залишіть стандартне значення для більшості мереж. Відключення швидкостей нижче 6 або 11 Мбіт/с може підвищити ефективність мереж із вищою щільністю.
Планувальник Wi-Fi
Дозволяє вмикати та вимикати SSID у певний час або налаштовувати розклад на тиждень.
Налаштування доступні лише у старому інтерфейсі (починаючи з версії 6.5.53)
Ці налаштування відсутні в новому інтерфейсі або переміщені/перейменовані.
- Apply Guest Policies (Застосувати гостьові політики)
- Beacon Country
- Add 802.11d county roaming enhancements (Додати покращення роумінгу по округах 802.11d)
- TLDS Prohibit (TLDS Заборона)
- Block Tunneled Link Direct Setup (TDLS) connections (Блокування підключень із прямим встановленням тунельного каналу (TDLS))
- Point to Point, також referred to as P2P
- Send beacons at 1 Mbps (Відправлення маяків зі швидкістю 1 Мбіт/с)
Авторизуйтеся, щоб додати відгук