Глубокая настройка Wi-Fi на устройствах UniFi: Пошаговое руководство

Система UniFi и приложение управления UniFi Network настолько хорошо продуманы, что автоматическая настройка оборудования и сети, в целом, обеспечивает стабильную работу, однако при необходимости тонкой настройки сети или устранения неполадок требуется более глубокое понимание параметров.

Всплывающие подсказки дают общие пояснения, но для корректной настройки всех параметров необходим более детальный анализ. В этом руководстве мы постараемся раскрыть основные моменты настройки Wi-Fi на устройствах UniFi.

Все скриншоты сделаны в интерфейсе версии 8.4.59 на устройстве Cloud Gateway Ultra. Интерфейс может несколько отличаться в зависимости от версии ПО или модели оборудования, но ключевые элементы останутся неизменными. В более старых версиях ПО некоторые настройки могут называться иначе или быть перемещены, что мы также отметим, по ходу дела.

Помните, что никакое руководство не может быть абсолютно универсальным. Всегда доверяйте своему опыту и здравому смыслу, если они противоречат предложенным инструкциям. Если вы столкнулись с чем-то, что кажется вам непоследовательным, поделитесь своими мыслями в комментариях к статье.

Названия полей, опций и элементов интерфейса выделены курсивом для удобства восприятия.

Историческое развитие функционала UniFi Network

Программное обеспечение UniFi регулярно обновляется, и для его правильного использования важно учитывать версию, установленную у вас. Вот краткий обзор ключевых нововведений в последних версиях:

• 8.4 — Появились возможности работы с Passpoint/Hotspot 2.0, перехват пакетов, улучшенные средства анализа точек доступа, а также поддержка профессионального аудио и видео.
• 8.3 — Добавлен пользовательский NAT на устройствах UniFi.
• 8.2 — Обновлены функции мультидиапазонной связи Wi-Fi 7 MLO, раздел «Inspection» и новые правила для ACL и маршрутизации BGP.
• 8.1 — Внедрение утилиты Network Viewer, расширенная поддержка NAT, динамическая маршрутизация OSPF и улучшенные правила для файрволов.
• 8.0 — Новый визуализатор Radio Manager, поддержка VPN через Wireguard и дополнительные функции по управлению многосайтовыми сетями.
• 7.5 — Внедрение личных предварительных ключей (PPSK) для Wi-Fi и улучшенное управление беспроводными сетями.
• 7.4 — Интеграция OpenVPN-сервера и прокси IGMP для IPTV.
• 7.3 — Поддержка VPN-клиента Wireguard и блокировка рекламы.
• 7.2 — Улучшения для локальных записей DNS и новые возможности для анализа производительности Wi-Fi сетей.
• 7.1 — Введение Teleport VPN и новых статистических данных по портам коммутаторов.
• 7.0 — Упрощенный интерфейс для точек доступа и глобальные настройки безопасности.

Обзор интерфейса UniFi Network

Основные разделы интерфейса UniFi на компьютере представлены в виде иконок, которые помогают легко ориентироваться по ключевым настройкам (Рис. 1).

Рис. 1. Разделы интерфейса UniFi Network Application версии 8.4.59 на устройстве Cloud Gateway Ultra.

Создание новой Wi-Fi сети в UniFi

Сетевые настройки в UniFi разделены на три основные категории: Wi-Fi, Networks (настройки сетей) и Internet (настройки интернета).

• Раздел Wi-Fi позволяет управлять параметрами беспроводной сети, такими как SSID, пароли и продвинутые опции настройки.
• В разделе Networks можно управлять локальными сетями, VLAN, глобальными настройками сети и некоторыми параметрами безопасности.
• Раздел Internet предоставляет настройки для WAN-соединений, публичных IP-адресов, PPPoE, UPnP, динамического DNS и очередей качества обслуживания QoS.

По умолчанию, создаётся одна локальная сеть с IP-адресами из диапазона 192.168.1.0/24, которая используется как для проводных, так и для беспроводных подключений. Создание VLAN (виртуальных локальных сетей) позволяет разделить трафик между различными типами устройств, такими как гостевые сети или устройства IoT. Эти VLAN также помогают изолировать сети на физическом или функциональном уровне.

Перед тем как перейти к настройке беспроводной сети, стоит убедиться, что локальные сети и VLAN уже созданы. Это можно сделать через изменение существующей сети или создание новой VLAN во вкладке Networks.

Если необходимая сеть уже настроена, переходите к процессу создания новой Wi-Fi сети (Рис. 2):
Settings → Wi-Fi → Create New

Присвойте сети имя (SSID), задайте пароль и выберите VLAN, к которой она будет относиться. Также можно указать, какая точка доступа будет использовать эту сеть для вещания. Если стандартные настройки шифрования WPA2 не подходят, можно переключиться в режим Manual и выбрать другой протокол безопасности. После этого нажмите кнопку Add Wi-Fi Network для создания новой сети.

Рис. 2. Процесс создания новой Wi-Fi сети UniFi.

Настройка точек доступа для вещания (Broadcasting APs)

Эта настройка определяет, какие точки доступа будут вещать данную сеть. По умолчанию, сеть добавляется ко всем точкам доступа, находящимся в зоне действия. В случае многосайтовых сетей сеть распространяется на все точки в данном сетевом развёртывании. Вы можете выбирать конкретные точки или создавать группы для удобного управления вещанием.

Важно учитывать, что у точек доступа UniFi есть ограничение на количество SSID: современные модели могут поддерживать до 8 SSID на диапазон, тогда как более старые устройства, такие как AC Lite, поддерживают до 4 SSID на диапазон.

Совет: Для небольших сетей лучше использовать стандартную группу All APs. Для крупных сетей желательно распределить точки доступа по группам на основе расположения или функционала, чтобы оптимизировать производительность сети.

PPSK и гостевые сети UniFi

PPSK: Уникальный предварительный ключ для безопасности

PPSK (Private Pre-Shared Key) позволяет создать уникальные ключи шифрования для каждого пользователя или группы. Эта технология даёт возможность одной SSID сети иметь множество вариантов доступа с разными уровнями прав и ограничениями. Пользователи видят одну SSID, но, вводя разные пароли, попадают в различные сети с индивидуальными настройками.

Хотя, подобную задачу можно решить через RADIUS-сервер, использование PPSK может оказаться проще и удобнее в некоторых случаях, особенно если нужно разделить пользователей на доверенные и гостевые группы.

Важно: На текущий момент PPSK поддерживает только WPA2 и не работает в диапазоне 6 ГГц. Также не предусмотрена интеграция с авторизацией через Hotspot или MAC-фильтрацией через RADIUS.

Если сети и VLAN уже настроены, создание PPSK сети не вызывает затруднений. Достаточно отключить WPA3 и 6 ГГц, после чего задать сеть и пароль (Рис. 3).

Рис. 3. Процесс создания PPSK сети.

Гостевые сети UniFi: Captive Portal и Passpoint

В UniFi можно создать гостевую сеть двумя способами: с использованием Captive Portal или Passpoint.

Captive Portal: Пользователи, подключаясь к такой сети, увидят страницу приветствия, где можно отобразить условия использования сети или запросить авторизацию. Также есть возможность переадресации на сторонний ресурс для авторизации или оплаты. Настройки страницы можно найти в разделе Insights → Hotspot → Landing Page (Рис. 4—6).

Рис. 4. Включение портала авторизации.

Рис. 5. Переход в раздел Insights → Hotspot → Landing Page.

Рис. 6. Настройка дизайна страницы приветствия.

Совет: Используйте Captive Portal для гостевых сетей, если нужно предоставить пользователям условия использования или запросить авторизацию. Не включайте эту опцию в защищённых сетях для доверенных устройств.

Passpoint — это более продвинутый вариант для создания гостевых сетей. Он появился в UniFi Network начиная с версии 8.4.54 и основан на стандарте 802.11u. Passpoint упрощает обнаружение и выбор сети для пользователей, а также поддерживает разгрузку трафика Wi-Fi с помощью мобильных сетей.

Диапазоны Wi-Fi: выбор частоты

UniFi-устройства поддерживают три диапазона для работы Wi-Fi:

• 2,4 ГГц — медленный диапазон с хорошей проникающей способностью. Этот диапазон обеспечивает дальнее покрытие.
• 5 ГГц — более быстрый диапазон с меньшей дальностью действия, менее эффективный при прохождении через препятствия.
• 6 ГГц — самый быстрый из всех диапазонов, но также с наименьшим радиусом действия и минимальной проницаемостью через стены. Он доступен на устройствах с поддержкой Wi-Fi 6E и Wi-Fi 7.

По умолчанию, устройства работают в диапазонах 2,4 и 5 ГГц. Если ваше устройство поддерживает диапазон 6 ГГц, он может быть активирован через настройки.

Совет: Если ваши устройства стабильно работают в диапазоне 2,4 ГГц, оставьте этот диапазон активным вместе с 5 ГГц. Если имеется возможность, активируйте 6 ГГц и используйте шифрование WPA3 для лучшей безопасности.

Примечание: Использование мультидиапазонных SSID на множестве точек доступа может вызывать сложности с роумингом. Это может привести к тому, что устройства будут оставаться в диапазоне 2,4 ГГц или не смогут переключиться на ближайшую точку доступа. Для решения таких проблем попробуйте изменить расположение точек доступа, уменьшить мощность сигнала в диапазоне 2,4 ГГц или активировать Band Steering для автоматического распределения устройств между диапазонами.

Если вам необходимо управлять диапазонами вручную для определённых устройств, создайте отдельные сети для каждого диапазона. Иначе клиентские устройства сами будут выбирать наиболее подходящий диапазон.

Продвинутые параметры Wi-Fi

Переместитесь вниз страницы под настройки диапазонов, чтобы увидеть расширенные параметры Wi-Fi (Рис. 7).

Рис. 7. Расширенные настройки Wi-Fi в интерфейсе UniFi Network.

Координация диапазонов (Band Steering)

Функция Band Steering помогает переключать устройства, поддерживающие оба диапазона, на 5 ГГц. Ранее это достигалось путем скрытия SSID в диапазоне 2,4 ГГц, но теперь используется протокол BSS Transition Management, который перенаправляет устройства на более подходящий диапазон, снижая нагрузку на 2,4 ГГц.

Совет: Оставляйте Band Steering включённым, если у вас нет проблем с подключением или роумингом. Если проблемы всё же возникают, отключите эту опцию для устранения неполадок.

Скрытие имени Wi-Fi сети (Hide Wi-Fi Name)

Когда эта опция включена, точка доступа перестаёт передавать SSID в сигнальных кадрах, и сеть становится «невидимой». Для подключения к такой сети пользователям потребуется вручную вводить имя сети и пароль.

Совет: Не стоит включать эту опцию, так как она не увеличивает уровень безопасности сети. Гораздо эффективнее использовать сложные пароли и современные протоколы безопасности, такие как WPA2 или WPA3.

Изоляция клиентских устройств (Client Device Isolation)

Изоляция клиентов предотвращает взаимодействие устройств, подключённых к одной и той же Wi-Fi сети. Эта функция ограничивает возможность устройств обмениваться данными друг с другом, что может быть полезно в сетях с повышенными требованиями к безопасности, например, в гостевых сетях или сетях Интернета вещей (IoT).

Совет: Включайте эту настройку в гостевых сетях или сетях IoT, чтобы повысить уровень безопасности. Также, если ваша сеть полностью построена на устройствах UniFi, активируйте настройку Network Isolation для изоляции сети от других локальных сетей. При необходимости, можно задать дополнительные правила для трафика и файрволов.

Примечание: В более ранних версиях программного обеспечения эта настройка могла называться «Layer 2 isolation», что означает изоляцию на 2 уровне модели OSI.

Proxy ARP (Прокси-сервер ARP)

Эта настройка позволяет точкам доступа UniFi отвечать на ARP-запросы вместо клиентских устройств. ARP (Address Resolution Protocol) используется для поиска MAC-адресов по IP-адресам внутри сети уровня 2 (VLAN). Включение Proxy ARP снижает количество широковещательного трафика, что уменьшает нагрузку на сеть.

Совет: Рекомендуется включить эту опцию в больших или загруженных сетях, чтобы снизить сетевые задержки и улучшить производительность.

BSS Transition (Переход между базовыми наборами служб)

Эта функция активирует протокол BSS Transition совместно с WNM (Wireless Network Management). BSS Transition позволяет точкам доступа сообщать клиентским устройствам информацию о других точках в сети, что помогает устройствам плавно переключаться между ними.

Совет: В сетях с множеством точек доступа лучше оставить эту настройку включённой, чтобы улучшить роуминг. Если возникают проблемы с переходом между точками, можно попробовать отключить её, но это редко помогает в таких ситуациях.

UAPSD (Автоматическая экономия энергии для устройств)

UAPSD (Unscheduled Automatic Power Save Delivery) позволяет клиентским устройствам с поддержкой этой функции экономить заряд батареи, удерживая радиомодуль Wi-Fi в режиме ожидания дольше. Этот режим может вызывать проблемы с подключением у некоторых старых устройств и устройств IoT.

Совет: Включайте UAPSD, если вам важно продлить время работы аккумуляторов у устройств и, если в вашей сети нет старых или IoT-устройств. Если возникают проблемы с подключением, рекомендуется отключить эту опцию.

Fast Roaming (Быстрый роуминг)

Функция Fast Roaming ускоряет процесс переключения между точками доступа для устройств, поддерживающих стандарт 802.11r. Это происходит за счёт параллельного процесса аутентификации и согласования ключей безопасности, что сокращает время задержки при переходе между точками доступа. В сетях с предварительно заданным ключом безопасности (PSK), таких как сети WPA2, процесс аутентификации клиента упрощён.

Совет: Включайте Fast Roaming в сетях с большим количеством точек доступа, особенно если сеть используется для VoIP, видеозвонков или других приложений в реальном времени, чувствительных к задержкам. Если возникают проблемы с роумингом, попробуйте отключить функцию Band Steering или отрегулировать мощность передатчиков точек доступа.

Примечание: Fast Roaming может использоваться как с PSK, так и с авторизацией через 802.1X. Большинство старых устройств не испытывают проблем при подключении, если эта опция активирована.

Wi-Fi Speed Limit (Ограничение скорости Wi-Fi)

Этот параметр позволяет установить лимит на скорость передачи данных для каждого клиента сети. Можно ограничить как загрузку, так и выгрузку данных.

Совет: Включайте ограничение скорости в сетях с высокой плотностью клиентов, гостевых сетях или при ограниченном доступе к интернет-ресурсам. Управление профилями полосы пропускания можно найти в разделе Settings → Profiles → Wi-Fi Speed Limit.

Улучшение многоадресной передачи (Multicast Enhancement)

Multicast Enhancement позволяет преобразовывать многоадресную передачу в одноадресную, что уменьшает нагрузку на сеть и улучшает её производительность. Это особенно полезно в перегруженных сетях, где используются умные устройства, такие как потоковые сервисы или умные колонки.

Совет: Если в вашей сети возникают проблемы с устройствами, использующими многоадресную передачу, например, Chromecast или AirPlay, попробуйте включить Multicast Enhancement. Это может решить многие проблемы с производительностью сети. Если проблемы сохраняются, попробуйте включить mDNS или создать отдельный SSID для этих устройств.

Пример: Для оптимальной работы колонок Sonos:

• Убедитесь, что все устройства Sonos находятся в одной сети, либо по проводу, либо по беспроводной связи. Если используется проводное подключение, отключите SonosNet.
• Если вы подключаете устройства через Ethernet, настройте протокол остовного дерева на обычный режим (STP).
• Включите Multicast Filter/IGMP Snooping в разделе Network Settings → Advanced, чтобы оптимизировать передачу многоадресного трафика в вашей сети.

Рис. 8. Настройки Multicast Management в UniFi Network.

Контроль многоадресного и широковещательного трафика (Multicast And Broadcast Control)

Эта настройка позволяет блокировать многоадресный и широковещательный трафик в сети. Также можно настроить исключения для определённых устройств, которые смогут продолжать принимать этот трафик.

Совет: Включите эту опцию в сетях с высокой плотностью клиентов, особенно в гостевых сетях, чтобы снизить нагрузку на сеть. В небольших или доверенных сетях, где требуется взаимодействие между устройствами, оставьте эту опцию выключенной.

Интервал ожидания DTIM (Delivery Traffic Indication Message)

Интервал DTIM определяет, как часто точки доступа передают уведомления клиентам о наличии данных. Чем выше значение DTIM, тем реже устройства получают эти уведомления, что помогает экономить заряд батареи.

Совет: Оставляйте настройку на автоматический режим, если нет необходимости в изменении параметров для экономии заряда батареи. Изменение значений DTIM может привести к снижению стабильности подключения.

Минимальная скорость передачи данных (Minimum Data Rate Control)

Этот параметр позволяет задать минимальную скорость передачи данных, допустимую в сети. Это важно в сетях с большим количеством устройств, так как низкие скорости могут снизить общую эффективность работы сети, увеличив время передачи данных.

Совет: В сетях с высокой плотностью пользователей настройте минимальную скорость на уровне 6 или 11 Мбит/с, чтобы исключить медленные устройства и оптимизировать работу сети. В большинстве сетей можно оставить настройку по умолчанию, но при возникновении проблем с подключением лучше вернуться к базовым значениям.

Рис. 9. Настройки DTIM и минимальной скорости передачи данных в UniFi Network.

Фильтрация по MAC-адресам

Эта настройка позволяет создать белый или черный список устройств на основе их MAC-адресов. Если выбрано Allow, только устройства из белого списка смогут подключаться к сети. Если выбрано Deny, подключение будет запрещено только для устройств из черного списка, а остальные смогут свободно подключаться.

Кроме того, можно настроить аутентификацию по MAC-адресам через сервер RADIUS. Это делается через создание профиля RADIUS в разделе Profiles → RADIUS → Add RADIUS Profile.

Совет: Используйте фильтрацию по MAC-адресам, если требуется ограничить доступ к сети для определённых устройств. Также можно выбрать формат MAC-адресов с двоеточиями или дефисами в зависимости от ваших предпочтений.

Продолжение и окончание см. в Части II.