Обновление сетевого приложения UniFi 8.1.113

UniFi-Update-81113

Обновление UniFi Network Application 8.1.113 - это комплексный пакет, который добавляет поддержку нескольких расширенных сетевых функций, таких как Network Viewer, NAT Pooling, L3 Network Isolation (ACL), Device Isolation (ACL), OSPF Dynamic Routing, а также значительные улучшения в работе с топологией. Эти усовершенствования направлены на упрощение управления сетью, предлагая надежные инструменты для оптимизации и безопасности сети.

Что нового в версии 8.1.113

В версии 8.1.113 добавлено несколько новых функций в сетевое приложение UniFi, каждая из которых направлена на предоставление сетевым администраторам больше инструментов и возможностей для комплексного управления сетью. Эти функции позволяют получить более детальный обзор сети, усилить меры безопасности, улучшить визуализацию топологии сети и более эффективные протоколы маршрутизации.

Network Viewer

Средство просмотра сети - это особая функция этого обновления, которая предлагает подробный, унифицированный обзор всей сетевой инфраструктуры. Этот инструмент позволяет сетевым администраторам видеть все компоненты сети, включая WiFi, виртуальные сети, интернет-соединения, VPN и многое другое, в одном месте. Например, если администратору нужно устранить проблему с соединением, Network Viewer может быстро определить, где именно возникла проблема - на конкретном устройстве, сегменте сети или внешнем подключении.

Основные функции и преимущества Network Viewer:

  • визуализация сети: предоставляет графическое представление структуры сети, включая коммутаторы, маршрутизаторы, точки доступа, устройства конечных пользователей и их соединения, что позволяет быстро идентифицировать, как организована сеть
  • мониторинг состояния: отображает текущее состояние сетевых устройств и соединений, включая доступность, загрузку, пропускную способность и другие важные показатели, что помогает выявлять проблемы в реальном времени
  • управление конфигурациями: позволяет легко переходить к настройкам отдельных сетевых компонентов непосредственно из визуального интерфейса, упрощая процесс настройки и изменения конфигураций
  • диагностика и отладка: упрощает процесс выявления и устранения сетевых проблем, предоставляя подробную информацию о текущих или потенциальных ошибках в сети
  • безопасность сети: отображение информации о политике безопасности, активных защитных механизмах и текущем состоянии безопасности сети, помогая выявить потенциальные уязвимости или несанкционированные соединения

 

features_and_benefits_of_network_viewer

 

NAT Pooling

NAT Pooling в UniFi Network Application версии 8.1.113 представляет собой важную инновацию для управления интернет-трафиком в масштабах организации. Благодаря этой функции, сетевые администраторы получают значительно более гибкие инструменты для оптимизации исходящего трафика, уменьшения заторов и повышения общей производительности сети.

Основные характеристики NAT Pooling:

  • эффективность трафика: NAT Pooling позволяет распределять исходящий интернет-трафик между несколькими публичными IP-адресами. Это снижает риск создания "узких мест" (bottlenecks) в сети, особенно в часы пик, когда нагрузка на интернет-соединение может быть особенно высокой
  • гибкость управления: использование пула IP-адресов предоставляет администраторам больше возможностей для управления трафиком, позволяя адаптировать сетевые настройки под специфические потребности различных отделов или видов деятельности в организации
  • безопасность: благодаря распределению трафика между несколькими адресами, NAT Pooling может также добавить дополнительный уровень безопасности, затрудняя внешним наблюдателям отслеживание сетевой активности конкретного пользователя или устройства

Шаги реализации NAT Pooling:

  1. настройка дополнительных IP-адресов на WAN-интерфейсе: первым шагом является настройка дополнительных публичных IP-адресов на вашем WAN-интерфейсе. Это необходимо для создания пула адресов, которые будут использоваться для NAT
  2. использование опции "Internet Source / NAT": далее, в настройках виртуальных сетей, нужно найти опцию "Internet Source / NAT". Эта опция позволит вам настроить, как именно будут использоваться ваши дополнительные IP-адреса для NAT Pooling
  3. конфигурация NAT Pooling: в этом разделе вы можете определить правила для распределения трафика между различными IP-адресами в пуле. Вы можете настроить, какие конкретно адреса будут использоваться для определенных видов трафика или для трафика от определенных отделов вашей организации
  4. мониторинг и оптимизация: после внедрения NAT Pooling важно регулярно мониторить его эффективность и вносить необходимые коррективы для обеспечения оптимального распределения трафика и общей производительности сети

 

nat_pool

 

L3 Network Isolation и Device Isolation

Изоляция сети 3-го уровня (L3 Network Isolation) и изоляция устройств (Device Isolation) в UniFi Network Application версии 8.1.113 реализуются с помощью списков контроля доступа (ACL). ACLs позволяют администраторам сети детально управлять доступом к сетевым ресурсам, обеспечивая высокий уровень безопасности и гибкость в конфигурации сетевых политик.

Изоляция сети 3-го уровня (L3 Network Isolation)

L3 Network Isolation использует ACL для автоматической блокады всего трафика между различными IP-субсетями, тем самым предотвращая возможность несанкционированного доступа между сегментами сети. Например, если в организации есть две подсети: одна для корпоративных пользователей и другая для гостевого доступа к Интернету, L3 Network Isolation гарантирует, что трафик между этими подсетями не пересекается, даже если они физически подключены к одному и тому же коммутатору или маршрутизатору.

Изоляция устройств (Device Isolation)

Device Isolation использует ACL на уровне коммутаторов для блокировки коммуникации между отдельными устройствами внутри одной и той же сети. Это особенно полезно в случаях, когда необходимо изолировать уязвимые или критически важные системы от других устройств в сети, даже если они находятся в одной подсети. Например, платежные терминалы или серверы с конфиденциальной информацией могут быть изолированы, обеспечивая дополнительный уровень безопасности.

Реализация с помощью ACL

ACLs позволяют администраторам определять правила, которые детально контролируют, какие типы трафика разрешены или запрещены проходить через сеть. Для каждой из этих функций, ACLs настраиваются для спецификации разрешенных соединений:

  • для L3 Network Isolation: ACLs настраиваются на маршрутизаторах или мультисервисных коммутаторах для блокировки или разрешения трафика между различными IP-адресами или субсетями согласно политике безопасности организации
  • для Device Isolation: на коммутаторах настраиваются ACLs, которые идентифицируют и блокируют трафик между MAC-адресами устройств в одной подсети, разрешая лишь необходимые соединения, такие как доступ к интернету или корпоративным ресурсам

Применение ACL для изоляции сети и устройств является мощным инструментом для повышения безопасности сети. Оно позволяет администраторам гибко управлять доступом к ресурсам и защищать критически важные данные от потенциальных угроз, обеспечивая при этом необходимый уровень изоляции и контроля над сетевым трафиком.

l3_network_and_device_isolation

Улучшенная топология

Топология сети в UniFi Network Application играет ключевую роль в определении и управлении сетевыми ресурсами. Она дает возможность администраторам визуализировать, как именно каждое устройство подключено к сети, и обеспечивает интуитивно понятную карту для устранения неисправностей и оптимизации сетевых потоков. Вот некоторые особенности улучшенной топологии:

  • горизонтальное вращение: новая функциональность вращения топологии по горизонтали дает возможность пользователям настроить визуализацию под широкоформатные дисплеи, улучшая обзор сети и упрощая анализ структуры подключений
  • лучший обзор: на больших экранах можно легче охватить весь массив подключений, что полезно для больших сетевых инфраструктур, где количество устройств и подключений может быть огромным
  • диагностика соединений: благодаря четкому визуальному представлению топологии, легче обнаружить проблемы в сети, такие как неисправные устройства или узлы, которые перегружают сеть

Применение этих усовершенствований в сетевой среде может значительно упростить управление сетью и ее мониторинг. Например, в случае с приведенной топологией, администратор имеет возможность быстро идентифицировать, что устройство, как "Apple TV" или "PlayStation 5", подключены непосредственно к коммутатору "USW-16-PoE", а затем анализировать качество их соединений, используя процентные значения качества сигнала рядом с каждым устройством.

 

topology_rotation

 

Динамическая маршрутизация OSPF

OSPF является одним из ключевых протоколов внутренней маршрутизации, использующим состояние соединений для определения кратчайшего пути между узлами в IP-сети. Основные аспекты динамической маршрутизации OSPF, которые можно настроить в UniFi Network Application:

  • Router ID: уникальный идентификатор маршрутизатора в OSPF. Обычно это IP-адрес интерфейса маршрутизатора
  • Redistribution of routes: возможность распространения статических и подключенных маршрутов к другим маршрутизаторам в OSPF-сети
  • Areas/Subnets: OSPF делит сеть на области для оптимизации управления маршрутизацией. Каждая область содержит свои субсети и настраивается с уникальным Area ID
  • Interfaces: настройка OSPF для интерфейсов позволяет контролировать, каким образом устройства взаимодействуют с OSPF-процессом

В контексте данного интерфейса, сетевой администратор может настраивать различные аспекты OSPF для каждой виртуальной сети:

  • Area ID/Subnet: идентифицировать подсеть и определить ее область
  • Network: выбрать сеть, которая принадлежит к определенной области
  • Area Type: указать тип области, как "Normal" или "Stub", что влияет на маршрутизационное поведение в сети
  • Authentication: настройки аутентификации для обеспечения безопасности обмена маршрутизационной информацией между OSPF-узлами
  • Cost: указать значение пути, используемое в алгоритме выбора пути
  • Network Type: определить тип сети, например "Broadcast" для сетей с возможностью широковещательной рассылки

Эти настройки позволяют сетевым администраторам детально управлять маршрутизацией, обеспечивая оптимальный проход трафика в масштабируемых и сложных сетях. Применение OSPF может существенно повысить эффективность сети, путем автоматического выбора наилучшего пути для данных на основе текущего состояния сети, что является особенно важным для динамически изменяющихся сетевых условий.

Использование OSPF является важным в контексте VPN. Если вы настраиваете Site-to-Site VPN вместе с OSPF, есть рекомендация использовать Site Magic для лучшей интеграции и упрощения конфигурации. Управление маршрутами VPN с помощью OSPF может значительно улучшить производительность и надежность VPN-соединений.

Важным аспектом настройки OSPF является выбор между распространением статических и подключенных маршрутов. Распространение статических маршрутов (Redistribute Static Routes) включает маршруты, определенные вручную, в OSPF, тогда как распространение подключенных маршрутов (Redistribute Connected Routes) включает сети, к которым напрямую подключен маршрутизатор. С этими настройками можно очень точно контролировать, какие маршруты анонсируются в OSPF, что позволяет тонко настраивать поведение маршрутизации в зависимости от ваших потребностей.

 

ospf_dynamic_routing_protocol

 

Визуализация развёртывания InnerSpace

Основные характеристики InnerSpace:

  • интеграция планов этажей: InnerSpace позволяет администраторам загружать планы этажей, предоставляя контекст для размещения сетевого оборудования
  • визуализация покрытия: инструмент обеспечивает визуальное изображение областей покрытия WiFi, позволяя легко идентифицировать слабые зоны сигнала
  • планирование размещения AP (Access Point): используя InnerSpace, можно точно определить оптимальные места для размещения точек доступа, чтобы достичь максимального покрытия и качества сигнала
  • операционная эффективность: инструмент упрощает обнаружение и устранение проблем с WiFi, уменьшая время и усилия, необходимые для диагностики и оптимизации сети

Реализация InnerSpace:

При внедрении InnerSpace в организации, такие как больницы или учебные заведения, где важно иметь надежный WiFi, администраторы могут:

  1. загрузить планы этажей: используя интерфейс UniFi, администраторы могут загружать детальные планы зданий, предоставляя основу для моделирования покрытия
  2. размещение виртуальных AP: на плане этажа можно разместить виртуальные AP для определения их влияния на покрытие в разных зонах здания
  3. анализ покрытия: InnerSpace позволяет просматривать, как сигнал распространяется от каждой AP, идентифицировать зоны с недостаточным покрытием и определить, где могут понадобиться дополнительные AP для обеспечения непрерывного покрытия
  4. оптимизация расположения: выбор оптимального расположения для AP зависит от многих факторов, включая препятствия, расстояние между AP и требования к покрытию. InnerSpace позволяет экспериментировать с расположением в цифровом формате, прежде чем физически устанавливать оборудование

InnerSpace от UniFi представляет инновационный подход к управлению WiFi-инфраструктурой, обеспечивая высокий уровень сервиса для пользователей и оптимизацию ресурсов для администраторов. Это интуитивный инструмент, делающий процесс планирования WiFi-сети более точным и менее трудоемким, позволяя организациям достигать оптимального покрытия и качества беспроводной связи.

 

innerspace

 

Юзабилити и навигации

Новая система вкладок на боковой панели позволяет пользователям мгновенно перейти к недавно посещенным секциям, что значительно ускоряет процесс работы с программой. Эта функция выходит на передний план, когда:

  • администраторы часто переходят между различными сетевыми настройками
  • выполняются повторные задачи управления в течение дня
  • нужен быстрый доступ к специфическим настройкам в процессе исправления ошибок или оптимизации сети

Универсальность настроек сети расширилась, обеспечивая лучшую интеграцию функций, таких как "Разрешить доступ к Интернету" и "Изолировать сеть". Эти опции могут быть легко активированы непосредственно из сетевых настроек, что делает процесс конфигурации более простым и менее подверженным ошибкам. Это особенно полезно для:

  • конфигурации гостевых сетей с ограниченным доступом
  • разделение трафика между корпоративными и гостевыми сетями
  • быстрого обновления политик безопасности в соответствии с изменяющимися требованиями бизнеса

Брандмауэр и IPv6

Нововведения в системе правил брандмауэра позволяют пользователям получить более детальный контроль над трафиком в сети. Теперь правила содержат дополнительные столбцы, которые улучшают визуализацию и позволяют пользователям лучше понимать, как правила применяются к сетевому трафику. Это значительно упрощает настройку сетевых политик безопасности, поскольку пользователи могут более точно определить, какие типы трафика разрешены или блокируются в сети.

Обновление также объединило правила трафика и правила брандмауэра в один раздел, с опциями "Простые" и "Расширенные". Этот подход способствует лучшему пониманию взаимосвязи между управлением трафиком и мерами безопасности, поскольку пользователи могут легче настроить правила в зависимости от своих потребностей в безопасности и управлении трафиком.

Что касается поддержки IPv6, обновление UniFi Network Application 8.1.113 делает шаг вперед в реализации этой современной интернет-протокольной версии. Внесенные изменения позволяют пользователям легче интегрировать IPv6 в свои сети, благодаря следующим усовершенствованиям:

  • добавление IPv6 WAN адреса к настройкам Интернета и проверке здоровья Интернета
  • введение IPv6 адресов и подсетей в настройки сети для делегирования префиксов, отдельных сетей и статических настроек
  • добавление IPv6 link-local адресов к сетевым настройкам
  • улучшение визуализации IPv6 адресов для клиентов и беспроводных подключений, в частности путем добавления поддержки на панели клиентов беспроводного соединения

Эти улучшения поддержки IPv6 не только способствуют более легкому переходу на более современную интернет-адресацию, но и обеспечивают более устойчивую и гибкую сетевую инфраструктуру для пользователей UniFi. Учитывая растущий дефицит IPv4 адресов и необходимость в использовании более эффективных и безопасных сетевых технологий, эти обновления играют ключевую роль в повышении качества сетевого сервиса UniFi.

VPN, WiFi и коммутации

Обновление конфигурации VPN в UniFi Network Application 8.1.113 предлагает несколько ключевых улучшений:

  • больше информации в настройках VPN-клиента: администраторы теперь могут получить более подробную информацию о настройках VPN-клиента, что позволяет точнее управлять VPN-подключениями
  • проверка уникальности IP-адресов: добавлена функция проверки уникальности локального и удаленного IP-адресов для VPN-сетей типа "сайт-сайт", что обеспечивает более надежные и бесконфликтные VPN-соединения
  • настройка шифра для OpenVPN Site-to-Site VPN: теперь можно конфигурировать шифрование для OpenVPN Site-to-Site VPN, обеспечивая более высокий уровень безопасности для межсайтовых VPN-соединений. Для этого необходимо иметь UniFi (облачный) шлюз с прошивкой версии 3.2.12 или более новой

Изменения в настройках WiFi имеют целью улучшить поддержку и использование новейших технологий WiFi, а именно:

  • инструкции по развертыванию WiFi 6: добавлены инструкции по использованию точек доступа с поддержкой 6 ГГц, что помогает пользователям эффективнее внедрять технологию WiFi 6 в своих сетях
  • автоматический выбор 6 ГГц диапазона: при создании WiFi-сети с точкой доступа, поддерживающей 6 ГГц, система автоматически выбирает этот диапазон и применяет шифрование WPA2/WPA3 по умолчанию, обеспечивая высокий уровень безопасности и оптимальное использование спектра

Обновление UniFi Network Application 8.1.113 является значительным шагом вперед в управлении сетью, предлагая широкий спектр новых функций, усовершенствований и исправлений, предназначенных для повышения эффективности, безопасности и производительности сетей. Следуя рекомендованным практикам обновления и оставаясь в курсе известных проблем, сетевые администраторы могут полностью использовать потенциал этого обновления для оптимизации работы сети.

Заголовки