Оновлення мережевого додатка UniFi 8.1.113

UniFi-Update-81113

Оновлення UniFi Network Application 8.1.113 - це комплексний пакет, який додає підтримку декількох розширених мережевих функцій, таких як Network Viewer, NAT Pooling, L3 Network Isolation (ACL), Device Isolation (ACL), OSPF Dynamic Routing, а також значні поліпшення в роботі з топологією. Ці вдосконалення спрямовані на спрощення управління мережею, пропонуючи надійні інструменти для оптимізації та безпеки мережі.

Що нового у версії 8.1.113

У версії 8.1.113 додано кілька нових функцій до мережевого додатку UniFi, кожна з яких спрямована на надання мережевим адміністраторам більше інструментів і можливостей для комплексного управління мережею. Ці функції дозволяють отримати більш детальний огляд мережі, посилити заходи безпеки, покращити візуалізацію топології мережі та більш ефективні протоколи маршрутизації.

Network Viewer

Засіб перегляду мережі - це особлива функція цього оновлення, яка пропонує детальний, уніфікований огляд всієї мережевої інфраструктури. Цей інструмент дозволяє мережевим адміністраторам бачити всі компоненти мережі, включаючи WiFi, віртуальні мережі, інтернет-з'єднання, VPN і багато іншого, в одному місці. Наприклад, якщо адміністратору потрібно усунути проблему зі з'єднанням, Network Viewer може швидко визначити, де саме виникла проблема - на конкретному пристрої, сегменті мережі або зовнішньому підключенні.

Основні функції та переваги Network Viewer:

  • візуалізація мережі: надає графічне представлення структури мережі, включаючи комутатори, маршрутизатори, точки доступу, пристрої кінцевих користувачів та їхні з'єднання, що дозволяє швидко ідентифікувати, як організована мережа
  • моніторинг стану: відображає поточний стан мережевих пристроїв і з'єднань, включаючи доступність, завантаження, пропускну здатність та інші важливі показники, що допомагає виявляти проблеми в реальному часі
  • керування конфігураціями: дозволяє легко переходити до налаштувань окремих мережевих компонентів безпосередньо з візуального інтерфейсу, спрощуючи процес налаштування та зміни конфігурацій
  • діагностика та відладка: спрощує процес виявлення та усунення мережевих проблем, надаючи детальну інформацію про поточні або потенційні помилки в мережі
  • безпека мережі: відображення інформацію стосовно політики безпеки, активні захисні механізми та поточний стан безпеки мережі, допомагаючи виявити потенційні вразливості або несанкціоновані з'єднання

 

features_and_benefits_of_network_viewer

 

NAT Pooling

NAT Pooling в UniFi Network Application версії 8.1.113 представляє собою важливу інновацію для управління інтернет-трафіком в масштабах організації. Завдяки цій функції, мережеві адміністратори отримують значно більш гнучкі інструменти для оптимізації вихідного трафіку, зменшення заторів і підвищення загальної продуктивності мережі.

Основні характеристики NAT Pooling:

  • ефективність трафіку: NAT Pooling дозволяє розподіляти вихідний інтернет-трафік між кількома публічними IP-адресами. Це знижує ризик створення "вузьких місць" (bottlenecks) у мережі, особливо в години пік, коли навантаження на інтернет-з'єднання може бути особливо високим
  • гнучкість управління: використання пулу IP-адрес надає адміністраторам більше можливостей для управління трафіком, дозволяючи адаптувати мережеві налаштування під специфічні потреби різних відділів або видів діяльності в організації
  • безпека: завдяки розподілу трафіку між кількома адресами, NAT Pooling може також додати додатковий рівень безпеки, ускладнюючи зовнішнім спостерігачам відстеження мережевої активності конкретного користувача або пристрою

Кроки реалізації NAT Pooling:

  1. налаштування додаткових IP-адрес на WAN-інтерфейсі: першим кроком є налаштування додаткових публічних IP-адрес на вашому WAN-інтерфейсі. Це необхідно для створення пулу адрес, які будуть використовуватися для NAT
  2. використання опції "Internet Source / NAT": далі, в налаштуваннях віртуальних мереж, потрібно знайти опцію "Internet Source / NAT". Ця опція дозволить вам налаштувати, як саме будуть використовуватися ваші додаткові IP-адреси для NAT Pooling
  3. конфігурація NAT Pooling: в цьому розділі ви можете визначити правила для розподілу трафіку між різними IP-адресами в пулі. Ви можете налаштувати, які конкретно адреси будуть використовуватися для певних видів трафіку або для трафіку від певних відділів вашої організації
  4. моніторинг та оптимізація: після впровадження NAT Pooling важливо регулярно моніторити його ефективність і вносити необхідні корективи для забезпечення оптимального розподілу трафіку і загальної продуктивності мережі

 

nat_pool

 

L3 Network Isolation та Device Isolation

Ізоляція мережі 3-го рівня (L3 Network Isolation) та ізоляція пристроїв (Device Isolation) в UniFi Network Application версії 8.1.113 реалізуються за допомогою списків контролю доступу (ACL). ACLs дозволяють адміністраторам мережі детально керувати доступом до мережевих ресурсів, забезпечуючи високий рівень безпеки та гнучкість у конфігурації мережевих політик.

Ізоляція мережі 3-го рівня (L3 Network Isolation)

L3 Network Isolation використовує ACL для автоматичної блокади всього трафіку між різними IP-субмережами, тим самим запобігаючи можливості несанкціонованого доступу між сегментами мережі. Наприклад, якщо в організації є дві субмережі: одна для корпоративних користувачів і інша для гостьового доступу до Інтернету, L3 Network Isolation гарантує, що трафік між цими субмережами не перетинається, навіть якщо вони фізично підключені до одного і того ж комутатора або маршрутизатора.

Ізоляція пристроїв (Device Isolation)

Device Isolation використовує ACL на рівні комутаторів для блокування комунікації між окремими пристроями всередині однієї і тієї ж мережі. Це особливо корисно у випадках, коли необхідно ізолювати вразливі або критично важливі системи від інших пристроїв в мережі, навіть якщо вони знаходяться в одній субмережі. Наприклад, платіжні термінали або сервери з конфіденційною інформацією можуть бути ізольовані, забезпечуючи додатковий рівень безпеки.

Реалізація за допомогою ACL

ACLs дозволяють адміністраторам визначати правила, які детально контролюють, які типи трафіку дозволені або заборонені проходити через мережу. Для кожної з цих функцій, ACLs налаштовуються для специфікації дозволених з'єднань:

  • для L3 Network Isolation: ACLs налаштовуються на маршрутизаторах або мультисервісних комутаторах для блокування або дозволу трафіку між різними IP-адресами або субмережами згідно з політикою безпеки організації
  • для Device Isolation: на комутаторах налаштовуються ACLs, які ідентифікують і блокують трафік між MAC-адресами пристроїв в одній субмережі, дозволяючи лише необхідні з'єднання, такі як доступ до інтернету або корпоративних ресурсів

Застосування ACL для ізоляції мережі та пристроїв є потужним інструментом для підвищення безпеки мережі. Воно дозволяє адміністраторам гнучко управляти доступом до ресурсів і захищати критично важливі дані від потенційних загроз, забезпечуючи при цьому необхідний рівень ізоляції та контролю над мережевим трафіком.

l3_network_and_device_isolation

Покращена топологія

Топологія мережі в UniFi Network Application відіграє ключову роль у визначенні та управлінні мережевими ресурсами. Вона дає можливість адміністраторам візуалізувати, як саме кожен пристрій підключений до мережі, та забезпечує інтуїтивно зрозумілу карту для усунення несправностей та оптимізації мережевих потоків. Ось деякі особливості покращеної топології:

  • горизонтальне обертання: нова функціональність обертання топології по горизонталі дає можливість користувачам налаштувати візуалізацію під широкоформатні дисплеї, покращуючи огляд мережі та спрощуючи аналіз структури підключень
  • кращий огляд: на великих екранах можна легше охопити весь масив підключень, що є корисним для великих мережевих інфраструктур, де кількість пристроїв та підключень може бути величезною
  • діагностика з'єднань: завдяки чіткому візуальному представленню топології, легше виявити проблеми в мережі, такі як несправні пристрої або вузли, які перевантажують мережу

Застосування цих вдосконалень у мережевому середовищі може значно спростити управління мережею та її моніторинг. Наприклад, у випадку з наведеною топологією, адміністратор має змогу швидко ідентифікувати, що пристрій, як "Apple TV" або "PlayStation 5", підключені безпосередньо до комутатора "USW-16-PoE", а потім аналізувати якість їх з'єднань, використовуючи відсоткові значення якості сигналу поруч із кожним пристроєм.

 

topology_rotation

 

Динамічна маршрутизація OSPF

OSPF є одним з ключових протоколів внутрішньої маршрутизації, що використовує стан з'єднань для визначення найкоротшого шляху між вузлами в IP-мережі. Основні аспекти динамічної маршрутизації OSPF, які можна налаштувати в UniFi Network Application:

  • Router ID: унікальний ідентифікатор маршрутизатора в OSPF. Зазвичай це IP-адреса інтерфейсу маршрутизатора
  • Redistribution of routes: можливість розповсюдження статичних і підключених маршрутів до інших маршрутизаторів в OSPF-мережі
  • Areas/Subnets: OSPF ділить мережу на області для оптимізації управління маршрутизацією. Кожна область містить свої субмережі та налаштовується з унікальним Area ID
  • Interfaces: налаштування OSPF для інтерфейсів дозволяє контролювати, яким чином пристрої взаємодіють з OSPF-процесом

У контексті даного інтерфейсу, мережевий адміністратор може налаштовувати різні аспекти OSPF для кожної віртуальної мережі:

  • Area ID/Subnet: ідентифікувати підмережу та визначити її область
  • Network: вибрати мережу, яка належить до певної області
  • Area Type: вказати тип області, як "Normal" або "Stub", що впливає на маршрутизаційну поведінку в мережі
  • Authentication: налаштування автентифікації для забезпечення безпеки обміну маршрутизаційною інформацією між OSPF-вузлами
  • Cost: вказати значення шляху, що використовується в алгоритмі вибору шляху
  • Network Type: визначити тип мережі, наприклад "Broadcast" для мереж із можливістю широкомовного розсилання

Ці налаштування дозволяють мережевим адміністраторам детально управляти маршрутизацією, забезпечуючи оптимальний прохід трафіку в масштабованих і складних мережах. Застосування OSPF може суттєво підвищити ефективність мережі, шляхом автоматичного вибору найкращого шляху для даних на основі поточного стану мережі, що є особливо важливим для динамічно змінних мережевих умов.

Використання OSPF є важливим в контексті VPN. Якщо ви налаштовуєте Site-to-Site VPN разом з OSPF, є рекомендація використовувати Site Magic для кращої інтеграції та спрощення конфігурації. Управління маршрутами VPN з допомогою OSPF може значно покращити продуктивність і надійність VPN-з'єднань.

Важливим аспектом налаштування OSPF є вибір між розповсюдженням статичних та підключених маршрутів. Розповсюдження статичних маршрутів (Redistribute Static Routes) включає маршрути, визначені вручну, в OSPF, тоді як розповсюдження підключених маршрутів (Redistribute Connected Routes) включає мережі, до яких прямо підключений маршрутизатор. З цими налаштуваннями можна дуже точно контролювати, які маршрути анонсуються в OSPF, що дозволяє тонко налаштовувати поведінку маршрутизації залежно від ваших потреб.

 

ospf_dynamic_routing_protocol

 

Візуалізація розгортання InnerSpace

Основні характеристики InnerSpace:

  • інтеграція планів поверхів: InnerSpace дозволяє адміністраторам завантажувати плани поверхів, надаючи контекст для розміщення мережевого обладнання
  • візуалізація покриття: інструмент забезпечує візуальне зображення областей покриття WiFi, дозволяючи легко ідентифікувати слабкі зони сигналу
  • планування розміщення AP (Access Point): використовуючи InnerSpace, можна точно визначити оптимальні місця для розміщення точок доступу, щоб досягти максимального покриття та якості сигналу
  • операційна ефективність: інструмент спрощує виявлення та усунення проблем з WiFi, зменшуючи час та зусилля, необхідні для діагностики та оптимізації мережі

Реалізація InnerSpace:

При впровадженні InnerSpace в організації, такі як лікарні або навчальні заклади, де важливо мати надійний WiFi, адміністратори можуть:

  1. завантажити плани поверхів: використовуючи інтерфейс UniFi, адміністратори можуть завантажувати детальні плани будівель, надаючи основу для моделювання покриття
  2. розміщення віртуальних AP: на плані поверху можна розмістити віртуальні AP для визначення їхнього впливу на покриття в різних зонах будівлі
  3. аналіз покриття: InnerSpace дозволяє переглядати, як сигнал розповсюджується від кожної AP, ідентифікувати зони з недостатнім покриттям та визначити, де можуть знадобитися додаткові AP для забезпечення неперервного покриття
  4. оптимізація розташування: вибір оптимального розташування для AP залежить від багатьох факторів, включаючи перешкоди, відстань між AP та вимоги до покриття. InnerSpace дозволяє експериментувати з розташуванням в цифровому форматі, перш ніж фізично встановлювати обладнання

InnerSpace від UniFi представляє інноваційний підхід до управління WiFi-інфраструктурою, забезпечуючи високий рівень сервісу для користувачів та оптимізацію ресурсів для адміністраторів. Це інтуїтивний інструмент, що робить процес планування WiFi-мережі більш точним і менш трудомістким, дозволяючи організаціям досягати оптимального покриття та якості бездротового зв'язку.

 

innerspace

 

Юзабіліті та навігації

Нова система вкладок на бічній панелі дозволяє користувачам миттєво перейти до нещодавно відвіданих секцій, що значно прискорює процес роботи з програмою. Ця функція виходить на передній план, коли:

  • адміністратори часто переходять між різними мережевими налаштуваннями
  • виконуються повторні задачі управління протягом дня
  • потрібен швидкий доступ до специфічних налаштувань у процесі виправлення помилок чи оптимізації мережі

Універсальність налаштувань мережі розширилася, забезпечуючи кращу інтеграцію функцій, таких як "Дозволити доступ до Інтернету" та "Ізолювати мережу". Ці опції можуть бути легко активовані безпосередньо з мережевих налаштувань, що робить процес конфігурації більш простим і менш схильним до помилок. Це особливо корисно для:

  • конфігурації гостьових мереж з обмеженим доступом
  • розділення трафіку між корпоративними та гостьовими мережами
  • швидкого оновлення політик безпеки відповідно до змінюваних вимог бізнесу

Брандмауер та IPv6

Нововведення в системі правил брандмауера дозволяють користувачам отримати більш детальний контроль над трафіком у мережі. Тепер правила містять додаткові стовпці, які покращують візуалізацію і дозволяють користувачам краще розуміти, як правила застосовуються до мережевого трафіку. Це значно спрощує налаштування мережевих політик безпеки, оскільки користувачі можуть більш точно визначити, які типи трафіку дозволені або блокуються в мережі.

Оновлення також об'єднало правила трафіку і правила брандмауера в один розділ, з опціями "Прості" та "Розширені". Цей підхід сприяє кращому розумінню взаємозв'язку між управлінням трафіком і заходами безпеки, оскільки користувачі можуть легше налаштувати правила залежно від своїх потреб в безпеці та управлінні трафіком.

Щодо підтримки IPv6, оновлення UniFi Network Application 8.1.113 робить крок вперед у реалізації цієї сучасної інтернет-протокольної версії. Внесені зміни дозволяють користувачам легше інтегрувати IPv6 у свої мережі, завдяки наступним удосконаленням:

  • додавання IPv6 WAN адреси до налаштувань Інтернету та перевірки здоров'я Інтернету
  • введення IPv6 адрес і підмереж в налаштування мережі для делегування префіксів, окремих мереж і статичних налаштувань
  • додавання IPv6 link-local адрес до налаштувань мережі
  • покращення візуалізації IPv6 адрес для клієнтів та бездротових підключень, зокрема шляхом додавання підтримки на панелі клієнтів бездротового з'єднання

Ці покращення підтримки IPv6 не тільки сприяють легшому переходу на сучасніше інтернет-адресування, але й забезпечують більш стійку і гнучку мережеву інфраструктуру для користувачів UniFi. Враховуючи зростаючий дефіцит IPv4 адрес і необхідність у використанні більш ефективних і безпечних мережевих технологій, ці оновлення відіграють ключову роль у підвищенні якості мережевого сервісу UniFi.

VPN, WiFi та комутації

Оновлення конфігурації VPN в UniFi Network Application 8.1.113 пропонує кілька ключових поліпшень:

  • більше інформації в налаштуваннях VPN-клієнта: адміністратори тепер можуть отримати детальнішу інформацію про налаштування VPN-клієнта, що дозволяє точніше керувати VPN-підключеннями
  • перевірка унікальності IP-адрес: додана функція перевірки унікальності локальної та віддаленої IP-адрес для VPN-мереж типу "сайт-сайт", що забезпечує більш надійні та безконфліктні VPN-з'єднання
  • налаштування шифру для OpenVPN Site-to-Site VPN: тепер можна конфігурувати шифрування для OpenVPN Site-to-Site VPN, забезпечуючи вищий рівень безпеки для міжсайтових VPN-з'єднань. Для цього необхідно мати UniFi (хмарний) шлюз з прошивкою версії 3.2.12 або новішою

Зміни в налаштуваннях WiFi мають на меті покращити підтримку та використання новітніх технологій WiFi, а саме:

  • інструкції з розгортання WiFi 6: додані інструкції щодо використання точок доступу з підтримкою 6 ГГц, що допомагає користувачам ефективніше впроваджувати технологію WiFi 6 в своїх мережах
  • автоматичний вибір 6 ГГц діапазону: при створенні WiFi-мережі з точкою доступу, що підтримує 6 ГГц, система автоматично вибирає цей діапазон і застосовує шифрування WPA2/WPA3 за замовчуванням, забезпечуючи високий рівень безпеки та оптимальне використання спектру

Оновлення UniFi Network Application 8.1.113 є значним кроком вперед в управлінні мережею, пропонуючи широкий спектр нових функцій, удосконалень і виправлень, призначених для підвищення ефективності, безпеки і продуктивності мереж. Дотримуючись рекомендованих практик оновлення та залишаючись в курсі відомих проблем, мережеві адміністратори можуть повністю використати потенціал цього оновлення для оптимізації роботи мережі.

Заголовки