UniFi — корпоративный Wi-Fi с контроллером, доступный каждому. Первое впечатление
В отличие от домашнего, Wi-Fi корпоративный (офисный) при всей внешней схожести совсем иной. Все дело в управлении сетью и обеспечении безопасности. И в количестве точек доступа.
Для примера, настроим гостевую сеть без шифрования 
В списке сетей теперь две — корпоративная, с шифрованием, и гостевая (для простоты мы в ней шифрование не включили) 
К нам подключился первый клиент, во вкладке «user» мы видим его уровень сигнала, WLAN и точку доступа, к которым он подключился, тип клиента и скорость, с которой он передает данные. 
Вкладка statistics показывает общую информацию о UniFi:
Число подключенных клиентов,
передаваемый объем данных,
распределение клиентов по wlan,
слева выводится статистика по наиболее потребляющим клиентам и нагруженным точкам доступа
Очень наглядно. 
Да, увидеть живьем как оно работает, можно будет на конференции БЕСЕДА, куда я всех приглашаю. Целый день мы посвятим демонстрации новинок от Ubiquiti, так что будет интересно, приходите.
А теперь — ваши вопросы, пожалуйста спрашивайте.
Обзор-инструкция пользователя по настройке сети предприятия на основе оборудования Ubiquiti Networks UniFi®. Часть 3. Настройка беспроводной сети на уровне сайта и индивидуальные настройки точек доступа UniFi.
Одним из основных компонентов (и первым по времени разработки) в рамках сети UniFi являются беспроводные точки доступа. Часть параметров Wi-Fi сети задается на уровне контроллера и сайта UniFi и применяется одновременно к многочисленным точкам доступа. Другие параметры задаются индивидуально для каждой точки. В данной части обзора-инструкции будет рассмотрена работа с беспроводными сетями на этих двух уровнях.
«Глобальные» настройки параметров беспроводных сетей на уровне сайта.
Основные настройки параметров беспроводных сетей делаются на уровне сайта сети UniFi в разделе ‘Wireless Networks’. Параметр «Группа беспроводных сетей» (WLAN Group) позволяет объединять до 4 Wi-Fi сетей. Эти настройки группы затем применяются на уровне точек доступа к каждому радио-модулю (2.4 и 5 ГГц). Таким образом, каждая одно-диапазонная точка доступа UniFi может одновременно поддерживать до 4 различных сетей (SSID), а двух-диапазонная до 8. При создании и начальной настройке контроллера создается группа «По умолчанию», которая автоматически применяется ко всем адаптированным точкам доступа. Созданные заново группы необходимо применять к точкам доступа принудительно в индивидуальных настройках каждой точки.
Рисунок 1. Настройка Wi-Fi на уровне сайта.
При создании или редактировании параметров группы беспроводных сетей можно изменить рад параметров, которые будут распространяться на все Wi-Fi-сети данной группы. Среди них возможность ограничения максимального числа клиентов на точку доступа для балансировки нагрузки и возможность поддержки устаревших клиентов, использующих стандарт 802.11b. Поддержку устаревших клиентов необходимо включать только в случае необходимости, так как эта опция оказывает отрицательное воздействие на производительность Wi-Fi сети в целом.
Ранее в данном разделе также активировалась опция бесшовного роуминга «Zero Handoff». Однако в последних версиях контроллера компания Ubiquiti отказалась от поддержки этой устаревшей технологии и перешла на использование стандарта «Fast Roaming» 802.11r.
Дополнительные возможности позволяют скопировать настройки Wi-Fi сетей как шаблон из уже существующей группы. Еще одна настройка позволяет активировать защиту управляющих фреймов (Protected Management Frames, PMF, 802.11w). Она позволяет предотвращать атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной. Однако эта опция требует осторожного использования, так как может вызвать снижение производительности. Также, данная возможность применяется только к точкам доступа 3-го поколения.
Рисунок 2. Настройки группы беспроводных сетей.
При создании новой Wi-Fi сети в выбранной группе, можно выбрать как базовые настройки, так и ряд расширенных настроек. Базовые включают имя сети (SSID), тип и ключ шифрования, а также применения гостевых настроек сети. Гостевые настройки и портал будут рассмотрены в одной из следующих частей обзора. Если контроллер настроен «по умолчанию» и не имеет гостевого портала, то к гостевой сети применяются ограничения доступа, при которых клиент сети имеет только доступ в Интернет, но не может использовать «внутренние» ресурсы или видеть других клиентов («изоляция клиента»). Новая сеть может быть немедленно включена или создана в неактивном состоянии для использования в будущем (опция «Enable this wireless network»).
Расширенные настройки позволяют настроить ряд дополнительных параметров. Среди них: фильтрация широковещательного трафика (позволяет ограничить широковещательные запросы в беспроводной сети только определенным списком устройств, по умолчанию в список включен только шлюз USG, опция не действует, если на уровне сайта уже включен режим автоматической оптимизации сети, если USG не используется в список как минимум должен быть включен DHCP-сервер), VLAN, создание скрытой сети, дополнительные настройки шифрования. Следует отметить, что в современных условиях для обеспечения высокой безопасности и производительности рекомендуется использовать только режим WPA2/AES.
Для сети Wi-Fi система UniFi предлагает стандарт «быстрого роуминга» 802.11r вместо устаревшей технологии «Zero Handoff» (которая к тому же работала только в точках первого поколения). Данный стандарт позволяет значительно сократить время переподключения клиентов к следующей точке доступа. Тем не менее, по заявлению разработчиков, даже стандартных возможностей роуминга в сети UniFi вполне достаточно для большинства сценариев. «Быстрый роуминг» должен применяться только в случае необходимости, так как требует поддержки со стороны клиентов. Старые беспроводные устройства без поддержки данной технологии наоборот могут испытывать проблемы с подключением при активации 802.11r.
Скорость клиентских подключений можно регулировать двумя способами. Один из них будет рассмотрен в настройках гостевой сети. Второй осуществляется с помощью пользовательских групп. Каждой Wi-Fi сети можно назначить определенную группу пользователей с заранее определенной скоростью приема и передачи. В группу пользователей также можно включить и индивидуального клиента, тогда настройка группы в рамках Wi-Fi сети для этого клиента не будет действовать.
Другие продвинутые настройки позволяют активировать расписание работы беспроводной сети, разделить SSID для сетей 2.4 и 5 ГГц (в этом случае к имени сети 2.4 ГГц будет добавлен определенный суффикс, например, «_2G») и ряд других настроек.
Рисунок 3. Создание новой Wi-Fi сети, базовые и расширенные настройки.
Среди других продвинутых настроек в группе «802.11 Rate and beacon control» можно настроить параметры DTIM (Delivery Traffic Indication Message). Данный параметр периодически информирует клиентов о наличии буферизованного мультикаст/широковещательного трафика и после сообщения передает его по назначению. Увеличение значения позволяет сократить потребление энергии, но за счет некоторого увеличения задержки. Также в данной группе настроек можно ограничить использование низких модуляций при передаче данных. Эти настройки выполняются раздельно для сетей 2.4 и 5 ГГц и позволяют увеличить производительность сети. Однако, более старые клиенты могут быть несовместимы с данной настройкой, а для более новых может быть ограничена дальность действия сети.
Раздел «MAC Filter» позволяет создать черный или белый список MAC-адресов клиентов. В разделе «RADIUS MAC Authentication» можно настроить аутентификацию на внешнем RADIUS-сервере при условии, что в разделе Profiles создан соответствующий профиль RADIUS-сервера.
Рисунок 4. Создание новой Wi-Fi сети, расширенные настройки (продолжение).
Параметры индивидуальной настройки точек доступа.
Открыть индивидуальные настройки для каждой точки можно из раздела «устройства». По умолчанию, окно свойств открывается справа экрана, но может быть отсоединено и перемещено в другое место. Поведение окна свойств устройства настраивается в общих настройках контроллера в разделе «User Interface».
Первая закладка в окне устройства – «Details» – информация о текущем состоянии. Для точек доступа с подключенными клиентами отображается график «Wi-Fi Experience» наглядно показывающий качество связи. Любые «отрицательные» события типа долгой ассоциации устройства с точкой, потерь пакетов, аномалий трафика, а также появления «плохих» Wi-Fi клиентов со слабым сигналом оказывают влияние на «Wi-Fi Experience». Низкие значения параметра должны являться поводом для расследования причин и возможного внесения изменений в настройки.
Рисунок 5. Информация о точке доступа. Wi-Fi Experience.
Данные об утилизации канала показывают, сколько данных принимает и отдает точка доступа, а также насколько велики помехи. Высокий уровень загрузки может служить показателем избыточного количества клиентов или наличия конкурирующих точек доступа на том же канале.
Рисунок 6. Информация о точке доступа. Утилизация канала.
В разделе «Overview» можно просмотреть общие данные об устройстве, включая модель устройства, версию ПО, IP- и MAC-адреса, время непрерывной работы, количество клиентов и ряд других параметров текущей работы.
Рисунок 7. Информация о точке доступа. Общие данные.
Раздел «Uplink (Wired)» показывает текущие характеристики вышестоящего проводного подключения. Если точка доступа подключена напрямую к коммутатору UniFi, отображается подробная информация, включая имя коммутатора и порт, данные PoE, сведения о скорости соединения и трафике. Если используется стороннее оборудование, то отображаются только данные о скорости и трафике.
Рисунок 8. Информация о точке доступа. Проводное подключение.
В разделах «Downlink» и «Uplink (Wireless)» отображаются данные о входящих и исходящих подключениях точек доступа по беспроводной сети. Более подробно эти параметры уже были рассмотрены во второй части обзора.
Рисунок 9. Информация о точке доступа. Беспроводное входящее и исходящее подключение.
В разделе «Radio» доступна информация об используемых стандартах Wi-Fi, частотном канале, мощности излучения, объеме переданных данных, количестве клиентов. Информация предоставлена раздельно для радио-модулей 2.4 и 5 ГГц. Мощность отображается двумя значениями. Первое – мощность самого радио-модуля. Второе – суммарная мощность (EIRP) складывающаяся из мощности радио и усиления антенны.
Рисунок 10. Информация о точке доступа. Радио-модуль 2.4 ГГц.
Рисунок 11. Информация о точке доступа. Радио-модуль 5 ГГц.
В разделе WLANS доступна информация об активных на данной точке доступа Wi-Fi сетях.
Рисунок 12. Информация о точке доступа. Беспроводные сети.
В пункте «Clients» доступны данные о клиентах беспроводной сети, включая принадлежность к основной или гостевой сети, уровне сигнала на клиенте и скорости подключения. Данные об уровне сигнала могут быть использованы в дальнейшем для оценки и указания параметров Minimum RSSI и Cell Size Tuning.
Рисунок 13. Информация о подключенных клиентах.
Достаточно большой объем настроек точек доступа может быть выполнен в разделе «Config». Первая из этих настроек – возможность сменить имя устройства для более легкого поиска в списке.
Рисунок 14. Настройки точки доступа. Имя устройства («Alias»).
Настройки применяются в два приема. На первом вносятся необходимые изменения в конфигурацию. Изменения сохраняются в очереди настроек по кнопке «Queue Changes». После этого они могут быть распространены на точки доступа по кнопке «Apply Changes». Такое разделение может быть важным, поскольку при применении настроек точка доступа временно перестает транслировать Wi-Fi сеть.
Рисунок 15. Настройки точки доступа. Радио-модули.
Настройки Главные настройки конфигурации выполняются в разделе «Radios» отдельно для диапазонов 2.4 и 5 ГГц. Ряд настроек будут доступны, только если на уровне сайта была активирована опция «Advanced Features» (подробное описание в первой части обзора). Для удобства представления рисунок 16 выполнен композитным с одновременным отображением всех параметров.
Рисунок 16. Настройки точки доступа. Частотные каналы, мощность и минимальный уровень клиентского сигнала (Minimum RSSI).
В разделе WLANS можно при необходимости задать настройки, отличные от заданных на уровне сайта. Для каждого радио-модуля можно отключить трансляцию Wi-Fi сети, использовать определенный VLAN ID, переименовать сети и указать отличающийся ключ шифрования.
Рисунок 17. Настройки точки доступа. Беспроводные Wi-Fi сети.
Настройки сервисов позволяют указать параметры VLAN для управляющей сети. Доступные сетевые настройки позволяют выбрать статический адрес или автоматическое назначение адреса по DHCP для точки доступа. По умолчанию, адрес назначается по DHCP, но в более-менее крупных сетях рекомендуется использовать постоянные адреса. Для точек UAP-AC-HD и UAP AC SHD доступна опция «Port Aggregation», позволяющая объединить оба сетевых порта устройства. После применения на точке, естественно, подобная настройка должна быть активирована и на коммутаторе к которому подключена эта точка. Настройка Band Steering применяется для двухдиапазонных точек и позволяет направить клиентов, поддерживающих оба диапазона, на предпочитаемую частоту. При выборе учитывается утилизация каналов и оценка качества сигнала, включая RSSI. При выборе сбалансированного варианта клиент направляется на сеть с наименьшей загрузкой. При выборе предпочитаемой частоты 5 ГГц клиент будет направляться на эту сеть даже при более высокой загрузке канала. Следует отметить, что использование Band Steering имеет ряд ограничений. Во первых, окончательный выбор остается за клиентским устройством. Во вторых, все точки, участвующие в группе беспроводных сетей, должны иметь одинаковый SSID для 2.4 и 5 ГГц и на всех должна использоваться настройка Band Steering. Также, ни на одной из точек группы не должно использоваться переименование сети.
Рисунок 18. Настройки точки доступа. Сервисы, настройки сети, Band Steering.
В разделе обслуживания («Manage Device») можно скопировать конфигурацию с одной точки доступа на другую (только для однотипных устройств), обновить прошивку на нестандартную (например, бета версию), принудительно передать настройки на устройство. Также возможно временно отключить точку доступа (она перестает транслировать Wi-Fi сеть, исключается из статистики, LED индикатор перестает светиться, но точка по-прежнему будет доступна для настройки в контроллере) или окончательно удалить точку из контроллера (такая точка также сбрасывается к заводским настройкам).
Рисунок 19. Настройки точки доступа. Airtime Fairness и обслуживание устройства.
В разделе инструментов «Tools» для точек доступа 2 и 3 поколений имеется частотный сканер, позволяющий оценить текущее состояние радио эфира. Для всех точек кроме UAP-AC-SHD работа сканера обеспечивается штатным радио-модулем, поэтому во время сканирования точка перестает обслуживать клиентов. Работа сканера в точке UAP-AC-SHD обеспечивается отдельным радио-модулем, поэтому такая точка более удобна для постоянного мониторинга. Данные сканирования предоставляются для всех доступных частотных каналов и наглядно показывают утилизацию канала и текущий уровень помех.
Рисунок 20. Частотный сканер. Данные для сети 2.4 ГГц.
Рисунок 21. Частотный сканер. Данные для сети 5 ГГц.
Также в разделе инструментов «Tools» можно получить доступ непосредственно к точке доступа через терминал. Окно терминала доступно также при клике по IP адресу точки в списке устройств. Экран терминала тот же, что доступен при подключении к точке по протоколу SSH.
Рисунок 22. Терминальный доступ к устройству.
Для точек доступа 3-го поколения с выделенным радио-модулем безопасности (например, UAP-AC-SHD) в разделе «Tools» также доступны инструменты AIRTIME и AIRVIEW. Более подробно о них можно узнать в обзоре точки UniFi AP AC Security HD на нашем сайте.
Наконец, последний раздел в интерфейсе настройки точки доступа – статистические графики. Они показывают загрузку процессора и памяти устройства, количество пользователей, утилизацию канала, а также количество повторных и отброшенных пакетов. Такие данные могут помочь в решении возможных проблем.
Рисунок 23. Статистические данные о точке доступа.
Рисунок 24. Статистические данные о точке доступа, продолжение.
ОБЗОР-ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО НАСТРОЙКЕ СЕТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ ОБОРУДОВАНИЯ UBIQUITI NETWORKS UNIFI®. Часть 4. Работа с пользователями и гостевыми сетями.
Сетевая система UniFi позволяет выполнять индивидуальную настройку параметров клиентских устройств сети и собирать достаточно широкий спектр сведений о клиентской активности. Также, помимо «классических» Wi-Fi сетей для дома или бизнеса, часто возникает необходимость создать «публичную» беспроводную сеть с определенными ограничениями для подключенных к ней клиентов и отдельной авторизацией. В данной части обзора-инструкции будет рассмотрена работа с клиентами и «гостевыми» сетями.
Настройка клиентских устройств в рамках сети UniFi.
Скорость подключения для беспроводных устройств UniFi определяется несколькими параметрами. Первый из них – группа пользователей («User Group»). Для каждой группы пользователей задается максимальная скорость скачивания и выгрузки. После создания, группа может быть назначена как группа «по умолчанию» для беспроводной сети или принудительно назначена конкретному клиенту.
Рисунок 1. Создание новой группы пользователей.
В данном тесте создаются две группы. Первая с лимитом скорости 20 Мбит/с, вторая с лимитом 2 Мбит/с.
Второй способ ограничения скорости клиентов используется в рамках гостевой сети и будет рассмотрен далее.
Рисунок 2. Лимит скорости для группы.
Список клиентов можно открыть в интерфейсе контроллера в закладке «Clients». Также, как и для списка устройств UniFi, для списка клиентов доступна кастомизация отображаемых полей, табличный или плиточный вид и применимые действия. Клиентское устройство может быть заблокировано (просмотреть список блокированных устройств можно просмотреть в разделе Insights – Client History, там же можно разблокировать клиента). Беспроводные клиенты могут быть принудительно переподключены к Wi-Fi сети.
Поскольку контроллер UniFi также отображается в списке как один из клиентов, к функциям блокировки следует относиться с осторожностью.
Рисунок 3. Список активных клиентов.
Рисунок 4. Настройка полей для списка клиентов.
При нажатии курсором на поле клиента открывается окно свойств. Оно аналогично свойствам устройств UniFi. По умолчанию, окно открывается в правой стороне экрана, но может быть «откреплено» и перемещено в любое место интерфейса. Общий обзор информации о клиенте показывает качество связи, активность устройства, сетевые параметры и ряд других данных, включая энергопотребление PoE-устройств, подключенных к свитчам UniFi.
Рисунок 5. Окно свойств клиента, общая информация для беспроводного и проводного устройств.
Интересной особенностью новых версий контроллера UniFi является отображение данных о производителе и модели клиентского устройства, а также операционной системе. Во многих случаях, контроллер способен распознать данные о клиенте автоматически. Если этого не происходит, можно вручную выбрать модель и производителя из достаточно большой встроенной библиотеки устройств. Иконка, соответствующая модели устройства, будет отображаться в списке клиентов и на карте топологии.
Рисунок 6. Окно свойств клиента, данные о производителе, модели устройства и операционной системе.
Рисунок 7. Принудительный выбор данных об устройстве из библиотеки.
Статистические данные о клиенте показывают сетевую активность устройства, а для беспроводных устройств также частотный канал, уровень сигнала и скорость подключения.
Рисунок 8. Статистика об устройстве.
Если в сети UniFi используется маршрутизатор UniFi Security Gateway любой модели или UniFi Dream Machine, то для клиентов доступны данные системы глубокой инспекции пакетов DPI. Система способна распознавать трафик большинства типов сетевых приложений, включая мессенджеры, почтовые сервисы, торренты, видео-сервисы и многие другие.
Рисунок 9. Данные DPI.
Если для беспроводных клиентов доступна информация о сессиях работы в сети.
Рисунок 10. История подключений беспроводного клиента.
Также, как и для устройств UniFi, для клиентов доступны определенные индивидуальные настройки. Для каждого клиента можно вручную изменить отображаемое в списке имя и добавить примечание.
Рисунок 11. Настройка клиента, имя (alias) и примечание.
Каждый беспроводной клиент по умолчанию использует группу пользователей, заданную на уровне Wi-Fi сети. Однако, группа пользователей может быть принудительно назначена вручную. Это касается как «стандартных», так и «гостевых» клиентов. При принудительном назначении группы эта настройка будет иметь абсолютный приоритет (в том числе и для клиентов, использующих ограничение скорости, заданное на уровне гостевого портала).
Рисунок 12. Настройка клиента, ручной выбор группы пользователей.
В тесте скорости клиент был последовательно переключен с группы «по умолчанию» (без ограничений) на группы 20 Мбит/с и 2 Мбит/с. Такое ограничение скорости беспроводных клиентов может быть рекомендовано для обеспечения гарантированной производительность Wi-Fi сети, особенно при большом числе клиентов. Приоритетные клиенты при этом могут быть либо подключены к Wi-Fi сети с большим лимитом скорости, либо (в рамках той же сети) им может быть назначена другая клиентская группа.
Рисунок 13. Данные теста скорости для групп пользователей.
Настройки сетевых параметров позволяют выбрать либо автоматическое назначение сетевого адреса, либо выполнить фиксацию адреса на уровне DHCP сервера (в составе маршрутизатора USG).
Рисунок 14. Настройка клиента, сетевые параметры.
Карта топологии сети, которая ранее рассматривалась во второй части обзора, посвященного Wireless Uplink, также может отображать клиентов сети. Для корректного отображения топологии в сети должны использоваться точки доступа и коммутаторы UniFi. Для проводных клиентов доступна информация о коммутаторе и конкретном порте подключения, для беспроводных клиентов – данные о точке доступа и Wi-Fi сети.
Рисунок 15. Карта топологии с отображением клиентов.
Настройка гостевой сети и портала авторизации.
Сетевая система UniFi позволяет создать помимо «стандартных» домашних или офисных Wi-Fi сетей «гостевые» сети, отличающееся способом авторизации и определенными ограничениями для клиентов.
В самом простом варианте, «гостевая» сеть может работать как обычно, с вводом клиентами ключа шифрования (или, что не рекомендуется, работать в открытом режиме). Ограничения будут включать в себя изоляцию клиентов и ограничения мультикастового и широковещательного трафика. Такой вариант может использоваться, например, для гостей в домашней сети. Также это хороший вариант для «не доверенных» устройств в офисной сети (например, личных смартфонов сотрудников, не использующихся в работе и требующих только доступа в Интернет).
Однако, для «публичной» сети такой метод не годится. Для подключения многочисленных пользователей требуется использовать какой-либо способ идентификации, что прямо требуется законом. Контроллер UniFi позволяет использовать гостевой портал авторизации (хотспот) с различными типами аутентификации – от простого пароля до ваучеров и использования социальных сетей. Также возможно использовать внешний портал (например, для аутентификации по SMS) что предпочтительно для крупных публичных сетей. Из встроенных типов авторизации для России подходит только вариант с ваучерами, поскольку законом пока не предусмотрена авторизация через социальные сети. Этот способ лучше всего подходит для сравнительно небольших сетей типа гостиничных, и именно он будет рассмотрен далее.
Для включения авторизации через гостевой портал необходимо активировать соответствующую опцию в разделе настроек «Guest Control» и выбрать вариант «Hotspot». При подключении к сети клиенту будет показана страница авторизации, в которой он должен будет ввести номер ваучера. После этого клиент будет направлен либо на нужную ему страницу, либо первоначально ему будет показана «рекламная» страница, указанная в поле «Promotional URL».
Для работы гостевого портала требуется, чтобы контроллер был постоянно включен. В случае недоступности портала точки доступа переходят в режим «selfrun». По умолчанию, клиенты гостевой сети при недоступности контроллера подключаются без авторизации, хотя настройки скорости соединения (заданные на уровне группы пользователей) и изоляции клиентов сохраняются. При восстановлении работоспособности контроллера функции авторизации снова применяются. Такой режим не подходит для публичных сетей, которые должны соответствовать требованиям закона в России. Для них режим «selfrun» может быть сконфигурирован таким образом, чтобы при недоступности портала авторизации трансляция гостевой сети прекращалась. Для этого необходимо отредактировать конфигурационный файл портала config.properties (работа с ним описана в статье на официальном сайте разработчика) добавив в него строку config.selfrun_guest_mode=off. После получения настроек точками (принудительный запуск «Force Provision» в меню настроек точки), режим начнет работать.
Рисунок 16. Настройка гостевой политики для сайта.
Гостевой портал имеет два варианта. Старый шаблон портала может быть активирован в разделе «Portal Customization» в поле «Legacy JSP». Работа с ним не изменилась с прошлых версий и подробно описана в предыдущем обзоре-инструкции. Новый портал на базе шаблона «AngularJS» будет рассмотрен ниже.
После выбора нового типа портала можно выполнить определенные действия по настройке внешнего вида. В частности, добавить текст приветствия, условия использования гостевой сети, изменить фоновый рисунок и логотип. Для проверки доступен предварительный просмотр внешнего виде портала для компьютеров и мобильных устройств. Если необходимо более глубокая кастомизация, можно активировать чекбокс «Override templates with custom changes». После этого можно, например, добавить новый язык перевода.
Рисунок 17. Настройка внешнего вида гостевого портала.
Несмотря на появление возможности добавлять языки перевода, это не означает автоматического решения вопроса. После настройки в контроллере, нужно вручную создать нужную папку на устройстве в папке locales и добавить соответствующий переведенный файл.
Рисунок 18. Настройка перевода для гостевого портала.
Для контроллера UniFi Cloud Key доступ к расположению файлов перевода можно получить при помощи любого SFTP/SCP файлового менеджера. Например, программы WinSCP. Авторизацию необходимо проводить от имени администратора устройства UniFi Cloud Key (см. первую часть инструкции).
Рисунок 19. Расположение текстовых файлов гостевого портала для перевода.
Рисунок 20. Редактирование текстовых файлов гостевого портала.
В качестве типа авторизации был выбран «Vouchers». Теоретически, контроллер позволяет выполнять кастомизацию не только портала, но и ваучеров. Для этого можно выбрать чекбокс «Override templates with custom changes». Расположение файлов ваучеров находится по пути /usr/lib/unifi/data/sites/default/portal/bundle. К редактированию надо подходить с большой осторожностью, так как возможны проблемы с отображением шрифтов.
В разделе «Access Control» можно настроить ограничения для изоляции клиентов. По умолчанию, ограничения касаются всех частных подсетей. При необходимости, можно изменить эти ограничения и добавить хосты и подсети, которые будут доступны гостевым клиентам даже до авторизации.
В разделе «Hotspot» доступна ссылка для перехода в отдельный интерфейс менеджера гостевой сети. Также менеджер можно открыть в браузере по адресу https:// :8443/manage/hotspot/site/default (пример для сайта «по умолчанию»).
Рисунок 21. Настройка типа авторизации пользователей гостевой сети.
Для применения «гостевых» параметров к Wi-Fi сети, необходимо установить чекбокс «Apply guest policies (captive portal, guest authentication, access)». Тип безопасности в данном случае указывается как «открытый».
Рисунок 22. Создание новой гостевой сети.
Среди «продвинутых» параметров настройки необходимо обратить внимание на ограничение широковещательного трафика и, при необходимости, добавить в список такие ресурсы, как внутренний DHCP-сервер (если в этих целях не используется шлюз USG). В некоторых случаях целесообразно выделить гостевую Wi-Fi сеть в отдельный VLAN. Также, для многих гостевых сетей имеет смысл установить определенное расписание работы. При активации чекбокса «Enable WLAN schedule» становится доступной настройка времени работы сети для каждого дня недели.
Рисунок 23. Настройка продвинутых параметров и расписания работы гостевой сети.
Менеджер гостевого портала позволяет управлять пользователями гостевой сети и ваучерами. Администратор контроллера UniFi имеет полный доступ к функционалу менеджера.
Рисунок 24. Менеджер гостевого портала.
Контроллер UniFi позволяет создавать пользователей – операторов гостевого портала, которые будут иметь права на управление пользователями гостевой сети и ваучерами, но сами не смогут менять параметры контроллера или создавать новых операторов.
Рисунок 25. Создание нового оператора гостевого портала.
Ваучеры на получение доступа к сети могут создаваться как по одному, так и партиями. Каждый ваучер может использоваться для подключения одного или нескольких устройств и имеет определенное время действия. Также для пользователей можно установить ограничение скорости скачивания или выгрузки, а также общий лимит на объем переданных данных. Необходимо отметить, что если пользователю гостевой сети индивидуально назначить в контроллере UniFi группу пользователей с другим ограничением скорости – фактически будут действовать именно эти ограничения, а не указанные в ваучере.
Рисунок 26. Создание ваучеров.
Оператор может просматривать список созданных ваучеров. Печать выполняется или по группам создания или для неиспользованных ваучеров.
Рисунок 27. Список ваучеров в менеджере гостевого портала.
В данном примере было создано 10 ваучеров на неограниченное число устройств и со сроком действия 1 сутки. Лимит скорости был установлен в 1 Мбит/с.
Рисунок 28. Распечатанные ваучеры.
После авторизации в сети с мобильного устройства и ноутбука тест скорости показал, что заданные ограничения корректно выполняются.
Рисунок 29. Окно авторизации гостевой сети для мобильного устройства.
Рисунок 30. Тест скорости для мобильного клиента гостевой сети.
Рисунок 31. Окно авторизации гостевой сети для ноутбука.
Рисунок 32. Тест скорости для ноутбука, подключенного к гостевой сети.
Клиенты гостевой сети будут видны в списке клиентов и топологии в контроллере UniFi как и обычные, но с отдельной возможностью сортировки. Управление такими клиентами можно осуществлять в основном интерфейсе контроллера. Но ряд специфических функций выполняется только в менеджере гостевой сети.
Рисунок 33. Карта топологии с гостевой сетью и клиентами.
Менеджер гостевого портала содержит определенные функции управления клиентами. Главная страница позволяет оценить количество подключенных к гостевой сети устройств и их распределение по типам (компьютеры или мобильные устройства).
Рисунок 34. Экран аналитики в менеджере гостевого портала.
В списке авторизованных устройств можно увидеть имя клиента, данные по трафику, срок действия сессии. Также сопоставляется имя клиента и номер ваучера. Для каждого клиента сессия может быть продлена или клиент может быть принудительно отключен от сети.
Рисунок 35. Список авторизованных клиентов гостевой сети.
В списке ваучеров отображается информация о числе активированных устройств, сроке действия и использованной квоте трафика. Любой ваучер может быть распечатан или (при необходимости) отозван.
Рисунок 36. Информация об использованных ваучерах.