UBNT-BR
UBNT-BR
Sep 10, 2019 · 14 min read

CURSO GRATUITO DE UNIFI

Image for post
Image for post

Especialmente para a comunidade de profissionais de TI com necessidade de especialização à distância na solução UniFi, o time da Ubiquiti Networks no Brasil produziu esse curso totalmente prático e gratuito de UniFi que aborda do básico ao avançado. O curso tem carga-horária de 5h e está dividido em módulos com videoaulas de curta duração para que o aluno possa cursá-lo no seu ritmo e assistir quantas vezes preferir.

BONS ESTUDOS!

Observação: Para ter acesso direto às videoaulas/tutoriais deste curso sem a contextualização textual, basta acessar essa playlist. Tenha em mente que este curso de operação do UniFi é composto por tutoriais de configuração, por isso não oferece nenhum certificado de conclusão. Para estudar em detalhes o projeto de Wi-Fi (WLAN), recomendamos que seja realizado o curso presencial da certificação UEWA, conforme explicamos neste vídeo.

CONTEÚDO PROGRAMÁTICO

Image for post
Image for post

1. INTRODUÇÃO

Uma das maiores vantagens da solução UniFi é sua arquitetura baseada em software (SDN), onde todos os equipamentos da infraestrutura da rede são gerenciados de maneira centralizada por uma aplicação externa que pode existir localmente ou remotamente em qualquer lugar do mundo, ou seja, não há necessidade de configurar individualmente cada um dos dispositivos na rede. Ainda melhor é que o software UniFi Controller é gratuito e pode ser baixado neste link para instalação em servidores físicos ou virtuais, em servidores virtuais hospedados na nuvem ou mesmo em laptops pessoais.

Observação: Neste artigo o leitor pode entender o paradigma denominado Software-Defined Networking (SDN). Para obter mais informação sobre a instalação do UniFi Controller na nuvem para gerenciar remotamente múltiplos sites e sobre os procedimentos para fazer a adoção L3 dos dispositivos, recomendamos a leitura deste artigo.

Para simplificar ainda mais a configuração existe o Cloud-Key (CK), um mini computador pré-instalado com o software da controladora UniFi e que é alimentado via PoE. A vantagem de utilizar o CK é que o dispositivo é pequeno e consome apenas 5W, mesmo possuindo uma ótima configuração de hardware com processador quad-core. Dessa forma o investimento no Cloud-Key é pago rapidamente decorrente da economia no consumo de energia em comparação a uma máquina tradicional com o software instalado.

Image for post
Image for post

Observação: Para mais informações sobre o Cloud-Key como alternativa ao software UniFi Controller em uma máquina, leia este artigo.

1.1 Adoção na Controladora

O processo de adoção é a criação do vínculo entre o software UniFi Controller com um dispositivo UniFi. Uma vez adotado o dispositivo, o administrador gerencia e envia novas configurações no hardware através de um processo denominado provisionamento.

Módulo 1.1: Adoção de Devices na Controladora

Observação: A partir da versão 5.10+ da controladora UniFi, os APs e Switches devem possuir pelo menos o firmware 4.0.9 e o USG deve possuir pelo menos o firmware 4.4.34. Os procedimentos de atualização do firmware dos dispositivos UniFi são explicados em detalhes neste artigo.

Depois de adotado, o dispositivo UniFi ficará com o status “conectado” na controladora. Se o dispositivo perder comunicação com a controladora durante o intervalo das mensagens de heartbeat, eventualmente a controladora identificará que o dispositivo UniFi está “desconectado”. Por padrão os UniFi APs aparecerão com o status “isolado” quando não puderem alcançar seu gateway, mas estiverem próximo de outros UAPs conectados na vizinhança (que possam ouvir os anúncios via wireless).

Um diferencial da solução da Ubiquiti é que a controladora UniFi não precisa necessariamente estar em execução para que os dispositivos sigam em operação, embora seja recomendado para obter maior visibilidade da rede, diferente de outros concorrentes que cobram caro por complexas soluções com equipamentos redundantes para garantir que a rede mantenha sua operação em caso de queda da controladora.

1.2 Configuração da LAN no USG

Um pré-requisito para configurar os APs UniFi é que exista uma infraestrutura com um roteador devidamente configurado como gateway da(s) rede(s) local(is), inclusive com o serviço DHCP para configurar automaticamente endereços IPs nos devices UniFi e nos clientes.

Image for post
Image for post

Em outros roteadores essa configuração inicial pode ser complexa, mas no UniFi Security Gateway (USG) é extremamente simples fazê-lo através da interface web do software UniFi Controller. Uma única interface física LAN do USG pode ser utilizada para conectar múltiplas redes lógicas (VLANs) através de uma configuração que é denominada roteamento inter-VLAN, cuja configuração é explicada em detalhes na seguinte videoaula.

Módulo 1.2: Configuração das Redes no USG

Observação: O módulo 4 deste curso é dedicado exclusivamente ao roteador USG, oportunidade em que são abordados outros recursos suportados.

2. CONFIGURAÇÃO DOS APs

Há anos a Ubiquiti é líder de mercado na fabricação de Access Points Wi-Fi, possuindo um amplo portfólio com diferentes modelos para atender todos os perfis de mercado, desde o consumidor final em pequenas empresas até integradores que executam projetos em médias e grandes empresas.

Image for post
Image for post
Image for post
Image for post

Observação: Há vários modelos de APs Wi-Fi disponíveis no amplo portfólio UniFi. Para obter informações detalhadas sobre cada um dos modelos, recomendamos a leitura deste artigo.

2.1 Ferramenta de Mapas

Uma das tarefas mais importantes no projeto de qualquer rede Wi-Fi e que determinará seu sucesso ou fracasso é o planejamento que deve começar bem antes da execução dos serviços de implantação.

Observação: Leia neste artigo como realizar um bom planejamento de canais em Redes Wi-Fi, oportunidade em que trazemos algumas “dicas de ouro“ que devem ser seguidas em todo projeto de WLAN Wi-Fi.

Esse planejamento da rede Wi-Fi engloba muitas coisas, desde simples entrevistas com o cliente para identificar suas expectativas e auxiliar no processo de levantamento de requisitos até o planejamento mais técnico que consiste em fazer um levantamento completo das caraterísticas do ambiente para balizar o processo posterior de instalação e configuração dos APs. No que diz respeito ao aspecto técnico desse planejamento, o processo mais importante é a realização de um site survey no ambiente (in loco).

O site survey preditivo é realizado através de uma simulação prévia para estimar a cobertura Wi-Fi no ambiente. Normalmente são utilizados softwares específicos para esse fim que permitem ao administrador fazer o upload da planta baixa do local e então informar a composição dos materiais dos obstáculos, como por exemplo as paredes e janelas. A solução UniFi ajuda nessa etapa do survey preditivo através da sua própria ferramenta de mapas embutida no software UniFi, onde é possível inserir APs virtuais na planta, conforme demonstrado/explicado no vídeo abaixo.

Módulo 2.1: Simulação na Ferramenta de Mapas

Observação: Ao contrário do que muitos pensam, o site survey não é uma etapa única, mas um processo que se desdobra em várias sub-etapas e que deve ser realizado antes, durante e também após a implantação da rede Wi-Fi no ambiente, afinal a utilização do espectro é dinâmica ao longo do tempo. Aprenda neste artigo como realizar um bom site survey!

2.2 SSIDs da Rede Wi-Fi

A primeira configuração básica em toda rede Wi-Fi é a criação do SSID, ou seja, um ou mais “nomes das redes” para que os dispositivos clientes possam visualizar sua existência e solicitar conexão com o AP. Uma configuração recomendada em redes Wi-Fi é a criação de uma rede de visitantes que seja logicamente segregada das redes corporativas. Essa separação lógica é uma premissa fundamental para fins de segurança, já que os visitantes devem ficar totalmente isolados das demais máquinas da rede corporativa para evitar incidentes de segurança.

Módulo 2.2: SSIDs na WLAN

2.3 Guest Portal

Uma configuração complementar que normalmente é associada com uma rede de visitantes, embora não seja uma exigência, é a personalização de um portal para o qual os visitantes serão redirecionados assim que conectados à rede Wi-Fi. Uma vez que um SSID tenha sido previamente marcado com a opção “Apply Guest Policies”, ele já fica elegível para receber várias configurações de um portal, conforme explicado na videoaula abaixo.

Módulo 2.3: Guest Portal

2.4 Limite de Banda

Principalmente em redes de visitantes é muito comum do ponto de vista de desempenho que sejam aplicadas políticas de restrição de banda para evitar o consumo excessivo de tráfego pelos visitantes, o que poderia impactar negativamente na qualidade da conexão do Wi-Fi nas redes corporativas.

Módulo 2.4: Limite de Banda

Observação: Para saber mais sobre como dimensionar a configuração da restrição de banda por perfil de aplicação, recomendamos a leitura deste artigo.

2.5 Recursos Avançados

Apesar da facilidade de operação do UniFi ser um dos seus maiores atrativos, é importante ter em mente que essa solução foi desenvolvida para ambientes corporativos que têm demandas mais complexas. Por isso o software UniFi permite que sejam configurados vários recursos avançados para otimizar ainda mais o desempenho da rede Wi-Fi. Cada um desses recursos será explicado com maior detalhamento nas videoaulas dessa seção 2.5.

2.5.1 Band Steering

O Band Steering é uma técnica utilizada em ambientes Wi-Fi dual-band que estimula os dispositivos clientes a se conectarem na banda de 5 GHz para que haja máximo desempenho decorrente da maior capacidade dessa banda. Embora um número cada vez maior de dispositivos atualmente ofereça suporte à banda 5G e até prefira utilizá-la, nem sempre isso acontece, por isso um ajuste fino que ajuda é ativar o recurso Band Steering para “forçar” clientes dual-band a ficarem conectados em 5G, evitando assim o congestionamento da banda 2G.

Módulo 2.5.1: Band Steering

2.5.2 MinRSSI

Em redes Wi-Fi corporativas buscamos desempenho e estabilidade, por isso é crucial fazer o correto dimensionamento da quantidade de APs na área de cobertura a ser atendida. Atualmente as boas práticas recomendam a implantação de células cada vez menores para conseguir melhor desempenho. Uma dificuldade ao criar células menores no ambiente, por exemplo diminuindo a potência de transmissão e aproximando os APs, é que provavelmente os clientes receberão sinais de boa qualidade vindos de mais de um AP, o que pode dificultar a ação de roaming, ou seja, o suporte à mobilidade através da transição dos clientes entre os diferentes APs.

O recurso Minimum RSSI é importante justamente para otimizar o efeito de roaming dos clientes entre os vários APs no ambiente. Trata-se de um recurso avançado no software UniFi que é muito útil porque ajuda os os dispositivos clientes durante o roaming, garantindo que eles permaneçam conectados no AP mais apropriado. Com esse recurso é possível “instruir” o AP a manter nele conectados somente aqueles clientes que estejam com um nível de sinal dentro de um valor pré-estabelecido, de forma que aqueles clientes com sinais abaixo desse limite são desconectados pelo AP e podem estabelecer conexão com outro que tenha melhor nível de sinal.

Módulo 2.5.2: MinRSSI

2.5.3 Wireless Uplink (Mesh)

Embora as boas práticas reforcem a importância de sempre utilizar cabos para conectar os APs aos demais recursos disponíveis na infraesturura da rede, há algumas situações em que não é possível seguir essa recomendação. Nesses casos é possível interligar vários APs UniFi de maneira encadeada e sem fio, através de um recurso denominado Wireless Uplink de Múltiplos Saltos ou simplesmente Mesh.

Módulo 2.5.3: Wireless Uplink (Mesh)

2.5.4 Balanceamento de Clientes

Uma boa prática de projeto em redes Wi-Fi é dimensionar a quantidade de APs para atender a estimativa daquilo que seria o pico de clientes conectados em determinado ambiente, ou seja, o pior caso. Ao fazê-lo, é comum que haja momentos em que o ambiente possui mais APs do que seria necessário para atender os clientes, afinal um mesmo cliente receberá sinal de boa qualidade de múltiplos APs. Nesses casos, é comum acontecer de um AP ter muito mais clientes conectados do que outro disponível no mesmo espaço físico.

O recurso Load Balancing per Radio do UniFi Controller permite determinar via software a quantidade máxima de clientes conectados por AP, viabilizando o balanceamento dos clientes naqueles ambientes em que existem múltiplos APs disponíveis na mesma área de cobertura.

Módulo 2.5.4: Balanceamento de Clientes Wi-Fi

3. CONFIGURAÇÃO DOS SWITCHES UNIFI

Frequentemente o nome UniFi é associado apenas com APs Wi-Fi, já que os famosos “discos brancos” são extremamente populares no mercado corporativo desde seu lançamento em 2010.No entanto, é importante destacar que UniFi não é um produto, mas uma família completa de produtos, inclusive switches para conectar equipamentos via cabo.

Image for post
Image for post

Observação: Há vários modelos de switches disponíveis no amplo portfólio UniFi para ambientes de pequeno a grande porte. Para obter informações detalhadas sobre cada um dos modelos, recomendamos a leitura deste artigo.

3.1 VLANs

A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.

Quando algumas portas de um (ou mais) switch(es) são colocadas em uma determinada VLAN os quadros de broadcast originados por uma máquina ficam restritos somente a essas portas, o que implica em melhor desempenho decorrente da presença de menos máquinas gerando broadcasts. Outra vantagem do ponto de vista de segurança é que deixa de existir a possibilidade de alcançabilidade entre outras portas que não sejam membros da mesma VLAN na camada de enlace.

Para lidar com VLANs, o primeiro passo é criá-las no software UniFi para que os switches tenham ciência da sua existência. A boa notícia é que se a rede for unificada e o roteamento inter-VLAN tiver sido configurado através de um UniFi Security Gateway (USG), então o UniFi automaticamente saberá quais VLANs existem na rede, logo não será necessário criá-las.

Módulo 3.1: VLANs nos Switches UniFi

Toda porta de um switch pode ser:

  • TRUNK

Uma porta trunk é aquela que permite a passagem de múltiplas VLANs em um mesmo link, já que para tanto é utilizado o encapsulamento 802.1qque permite fazer a marcação (tagged) das VLANs para que a outra ponta consiga fazer a separação lógica dos pacotes de cada VLAN, desde que o dispositivo vizinho também tenha suporte a 802.1q. Para fins de compatibilidade, em todo trunk é permitida a passagem de uma única VLAN sem marcação (untagged), denominada VLAN nativa, dessa forma um PC tradicional que normalmente não suporta VLANs consegue comunicação na rede através dessa VLAN nativa sem tag.

Uma porta de acesso é aquela que permite somente a passagem de uma única VLAN sem marcação (untagged), dessa forma o dispositivo conectado nessa porta não precisa ter suporte ao encapsulamento 802.1q e ainda assim será automaticamente vinculado à VLAN configurada na porta de acesso do switch de maneira totalmente transparente.

Uma das vantagens de utilizar uma infraestrutura unificada totalmente composta por equipamentos da família UniFi é que os Switches UniFi foram desenvolvidos para simplificar a instalação de redes Wi-Fi que utilizam APs UniFi. Por isso, diferente da maioria das outras soluções no mercado, todas as portas de um Switch UniFi já são automaticamente configuradas como trunk (perfil All) para permitir a passagem de todas as VLANs vinculadas aos SSIDs da rede Wi-Fi.

3.2 Isolamento de Portas

Há situações em que o objetivo de projeto vai além da separação em VLANs e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.

Módulo 3.2: Isolamento de Portas no Switch UniFi

Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.

Image for post
Image for post
Fonte: Managing Broadcast Traffic in UniFi

3.3 Agregação de Portas (LAG)

Em ambientes corporativos é muito comum fazer a agregação de múltiplas portas físicas em um único grupo lógico de maior capacidade denominado LAG (Link Aggregation Group), equivalente à soma das capacidades individuais de cada porta. Esse recurso é importante para aumentar a capacidade de throughput do link e também a disponibilidade, afinal uma falha em qualquer link físico, seja no cabo ou na porta de um dos ativos, não implica na queda do link porque existem outras ligações redundantes em uso.

Módulo 3.3: Agregação de Portas no Switch UniFi

Assim é possível agrupar até 4 portas físicas de 1 Gbps em um grupo lógico de 4 Gbps, algo particularmente útil para conexão de servidores dual-port ou quad-port que possuem múltiplas interfaces de rede. Essa prática também é particularmente útil para conexão entre switches, por exemplo no caso da ligação de uplink dos switches de acesso com o switch core da infraestrutura de rede, já que cada switch possui sua própria “ilha” de clientes conectados, o que demanda maior capacidade e disponibilidade do link.

4. CONFIGURAÇÃO DO USG

O roteador/firewall UniFi Security Gateway (USG) é uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software. O USG é gerenciado de maneira centralizada através da interface do software UniFi Controller, assim como ocorre com todos os demais dispositivos UniFi na infraestrutura de rede.

Image for post
Image for post

Observação: Leia este artigo para saber mais sobre as características do UniFi Security Gateway (USG) e recursos suportados.

4.1 Port-Forwarding

Uma configuração muito comum e útil nas redes corporativas é a criação de regras de port-forwarding no roteador de borda para viabilizar o acesso externo a um ou mais servidores internos. Essa configuração é necessária porque não é possível fazer esse acesso diretamente, já que o endereçamento utilizado internamente é privado, ou seja, não existe no contexto da Internet que é baseada em endereços públicos.

Módulo 4.1: Port-Forwarding no USG

4.2 Balanceamento de 2 WAN

As interfaces WAN do USG são usadas para conexão de links de Internet, sendo que na interface gráfica do software UniFi Controller é possível configurar o uso “casado” dos links em modo failover ou load-balancing.

Módulo 4.2: Balanceamento de 2 WAN no USG

Observação: No modo failover o segundo link só é utilizado se o primeiro link cair, enquanto que no modo load-balancing ambos os links são utilizados para prover maior largura de banda.

4.3 Servidor Radius

Apesar de a maioria das redes Wi-Fi utilizarem uma chave compartilhada (PSK) com o método de segurança denominado WPA Personal, naqueles ambientes que demandam maior nível de controle e segurança é mais indicado o uso de um usuário/senha por cliente, o que pode ser feito com o método de segurança WPA Enterprise. É possível hospedar essa funcionalidade de servidor Radius internamente no próprio UniFi Security Gateway (USG), uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software.

Módulo 4.3: Servidor Radius Local no USG

Observação: Em nosso blog também explicamos ao leitor como fazer a configuração da solução UniFi para utilizar um servidor Radius externo para integrar a autenticação dos usuários da rede Wi-Fi com o Active Directory no Windows Server já existente no ambiente da empresa. Veja neste artigo como fazer o apontamento para um servidor externo a partir da interface do software UniFi Controller, além do passo a passo para configurar um servidor NPS/RADIUS no Windows Server 2012.

4.4 VPN Site-to-Site

Outra configuração popular em firewalls é o estabelecimento de Redes Virtuais Privativas (VPN) entre duas unidades remotas de uma empresa através da Internet. Mais uma vez essa configuração é bastante complexa em outras soluções, mas no USG é extremamente simples estabelecer uma VPN através de poucos cliques na interface web do software UniFi.

Módulo 4.4: VPN Site-to-Site no USG

Conclusão

Agora que você assistiu todas as videoaulas e chegou até aqui é esperado que tenha o expertise necessário para executar projetos utilizando os produtos do portfólio UniFi. Caso tenha ficado alguma dúvida, lembre-se que o curso pode ser revisto a qualquer momento e que os módulos podem ser consumidos individualmente para sanar aquelas dúvidas pontuais.

Sucesso nos futuros projetos.
PARABÉNS!

Grupo UniFi no Facebook 
facebook.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr
Image for post
Image for post

Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução…

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store