CURSO GRATUITO DE UNIFI
Especialmente para a comunidade de profissionais de TI com necessidade de especialização à distância na solução UniFi, o time da Ubiquiti Networks no Brasil produziu esse curso totalmente prático e gratuito de UniFi que aborda do básico ao avançado. O curso tem carga-horária de 6h e está dividido em módulos com videoaulas de curta duração para que o aluno possa cursá-lo no seu ritmo e assistir quantas vezes preferir.
BONS ESTUDOS!
Observação: Para ter acesso direto às videoaulas/tutoriais deste curso sem a contextualização textual, basta acessar essa playlist. Tenha em mente que este curso de operação do UniFi é composto por tutoriais de configuração, por isso não oferece nenhum certificado de conclusão. Para estudar em detalhes o projeto de Wi-Fi (WLAN), recomendamos que seja realizado o curso presencial da certificação UEWA, conforme explicamos neste vídeo.
CONTEÚDO PROGRAMÁTICO
1. INTRODUÇÃO
1.0 Tipos de Controladoras
1.1 Adoção na Controladora
1.2 Configuração da LAN no USG2. CONFIGURAÇÃO DOS APS
2.1 Ferramenta de Mapas
2.2 SSIDs da Rede Wi-Fi
2.2.1 AP Groups no UniFi v6
2.3 Guest Portal
2.4 Limite de Banda
2.5 Recursos Avançados
2.5.1 Band Steering
2.5.2 MinRSSI
2.5.3 Wireless Uplink (Mesh)
2.5.4 Balanceamento3. CONFIGURAÇÃO DOS SWITCHES
3.1 VLANs
3.2 Isolamento de Portas
3.3 Agregação de Portas (LAG)
3.4 Roteamento no USW-PRO G24. CONFIGURAÇÃO DO ROTEADOR USG
4.1 Port-Forwarding
4.2 Balanceamento de 2 WAN
4.3 Servidor Radius
4.4 VPN Site-to-Site.
1. INTRODUÇÃO
Uma das maiores vantagens da solução UniFi é sua arquitetura baseada em software (SDN), onde todos os equipamentos da infraestrutura da rede são gerenciados de maneira centralizada por uma aplicação externa que pode existir localmente ou remotamente em qualquer lugar do mundo, ou seja, não há necessidade de configurar individualmente cada um dos dispositivos na rede. Ainda melhor é que o software UniFi Controller é gratuito e pode ser baixado neste link para instalação em servidores físicos ou virtuais, em servidores virtuais hospedados na nuvem ou mesmo em laptops pessoais.
Observação: Neste artigo o leitor pode entender o paradigma denominado Software-Defined Networking (SDN). Para obter mais informação sobre a instalação do UniFi Controller na nuvem para gerenciar remotamente múltiplos sites e sobre os procedimentos para fazer a adoção L3 dos dispositivos, recomendamos a leitura deste artigo.
Para simplificar ainda mais a configuração existe o Cloud-Key (CK), um mini computador pré-instalado com o software da controladora UniFi e que é alimentado via PoE. A vantagem de utilizar o CK é que o dispositivo é pequeno e consome apenas 5W, mesmo possuindo uma ótima configuração de hardware com processador quad-core. Dessa forma o investimento no Cloud-Key é pago rapidamente decorrente da economia no consumo de energia em comparação a uma máquina tradicional com o software instalado.
Observação: Para mais informações sobre o Cloud-Key como alternativa ao software UniFi Controller em uma máquina, leia este artigo.
1.1 Adoção na Controladora
O processo de adoção é a criação do vínculo entre o software UniFi Controller com um dispositivo UniFi. Uma vez adotado o dispositivo, o administrador gerencia e envia novas configurações no hardware através de um processo denominado provisionamento.
Observação: A partir da versão 5.10+ da controladora UniFi, os APs e Switches devem possuir pelo menos o firmware 4.0.9 e o USG deve possuir pelo menos o firmware 4.4.34. Os procedimentos de atualização do firmware dos dispositivos UniFi são explicados em detalhes neste artigo.
Depois de adotado, o dispositivo UniFi ficará com o status “conectado” na controladora. Se o dispositivo perder comunicação com a controladora durante o intervalo das mensagens de heartbeat, eventualmente a controladora identificará que o dispositivo UniFi está “desconectado”. Por padrão os UniFi APs aparecerão com o status “isolado” quando não puderem alcançar seu gateway, mas estiverem próximo de outros UAPs conectados na vizinhança (que possam ouvir os anúncios via wireless).
Um diferencial da solução da Ubiquiti é que a controladora UniFi não precisa necessariamente estar em execução para que os dispositivos sigam em operação, embora seja recomendado para obter maior visibilidade da rede, diferente de outros concorrentes que cobram caro por complexas soluções com equipamentos redundantes para garantir que a rede mantenha sua operação em caso de queda da controladora.
1.2 Configuração da LAN no USG
Um pré-requisito para configurar os APs UniFi é que exista uma infraestrutura com um roteador devidamente configurado como gateway da(s) rede(s) local(is), inclusive com o serviço DHCP para configurar automaticamente endereços IPs nos devices UniFi e nos clientes.
Em outros roteadores essa configuração inicial pode ser complexa, mas no UniFi Security Gateway (USG) é extremamente simples fazê-lo através da interface web do software UniFi Controller. Uma única interface física LAN do USG pode ser utilizada para conectar múltiplas redes lógicas (VLANs) através de uma configuração que é denominada roteamento inter-VLAN, cuja configuração é explicada em detalhes na seguinte videoaula.
Observação: O módulo 4 deste curso é dedicado exclusivamente ao roteador USG, oportunidade em que são abordados outros recursos suportados.
2. CONFIGURAÇÃO DOS APs
Há anos a Ubiquiti é líder de mercado na fabricação de Access Points Wi-Fi, possuindo um amplo portfólio com diferentes modelos para atender todos os perfis de mercado, desde o consumidor final em pequenas empresas até integradores que executam projetos em médias e grandes empresas.
Observação: Há vários modelos de APs Wi-Fi disponíveis no amplo portfólio UniFi. Para obter informações detalhadas sobre cada um dos modelos, recomendamos a leitura deste artigo.
2.1 Ferramenta de Mapas
Uma das tarefas mais importantes no projeto de qualquer rede Wi-Fi e que determinará seu sucesso ou fracasso é o planejamento que deve começar bem antes da execução dos serviços de implantação.
Observação: Leia neste artigo como realizar um bom planejamento de canais em Redes Wi-Fi, oportunidade em que trazemos algumas “dicas de ouro“ que devem ser seguidas em todo projeto de WLAN Wi-Fi.
Esse planejamento da rede Wi-Fi engloba muitas coisas, desde simples entrevistas com o cliente para identificar suas expectativas e auxiliar no processo de levantamento de requisitos até o planejamento mais técnico que consiste em fazer um levantamento completo das caraterísticas do ambiente para balizar o processo posterior de instalação e configuração dos APs. No que diz respeito ao aspecto técnico desse planejamento, o processo mais importante é a realização de um site survey no ambiente (in loco).
O site survey preditivo é realizado através de uma simulação prévia para estimar a cobertura Wi-Fi no ambiente. Normalmente são utilizados softwares específicos para esse fim que permitem ao administrador fazer o upload da planta baixa do local e então informar a composição dos materiais dos obstáculos, como por exemplo as paredes e janelas. A solução UniFi ajuda nessa etapa do survey preditivo através da sua própria ferramenta de mapas embutida no software UniFi, onde é possível inserir APs virtuais na planta, conforme demonstrado/explicado no vídeo abaixo.
Observação: Ao contrário do que muitos pensam, o site survey não é uma etapa única, mas um processo que se desdobra em várias sub-etapas e que deve ser realizado antes, durante e também após a implantação da rede Wi-Fi no ambiente, afinal a utilização do espectro é dinâmica ao longo do tempo. Aprenda neste artigo como realizar um bom site survey!
2.2 SSIDs da Rede Wi-Fi
A primeira configuração básica em toda rede Wi-Fi é a criação do SSID, ou seja, um ou mais “nomes das redes” para que os dispositivos clientes possam visualizar sua existência e solicitar conexão com o AP. Uma configuração recomendada em redes Wi-Fi é a criação de uma rede de visitantes que seja logicamente segregada das redes corporativas. Essa separação lógica é uma premissa fundamental para fins de segurança, já que os visitantes devem ficar totalmente isolados das demais máquinas da rede corporativa para evitar incidentes de segurança.
Observação: A partir da versão 6 da controladora UniFi, a ação de override de SSIDs por “WLAN Groups” foi substituída pelo conceito de “AP Groups”, de maneira que ficou mais fácil configurar os SSIDs que serão propagados nos APs e seus rádios 2G/5G, conforme explicado neste artigo.
2.3 Guest Portal
Uma configuração complementar que normalmente é associada com uma rede de visitantes, embora não seja uma exigência, é a personalização de um portal para o qual os visitantes serão redirecionados assim que conectados à rede Wi-Fi. Uma vez que um SSID tenha sido previamente marcado com a opção “Apply Guest Policies”, ele já fica elegível para receber várias configurações de um portal, conforme explicado na videoaula abaixo.
2.4 Limite de Banda
Principalmente em redes de visitantes é muito comum do ponto de vista de desempenho que sejam aplicadas políticas de restrição de banda para evitar o consumo excessivo de tráfego pelos visitantes, o que poderia impactar negativamente na qualidade da conexão do Wi-Fi nas redes corporativas.
Observação: Para saber mais sobre como dimensionar a configuração da restrição de banda por perfil de aplicação, recomendamos a leitura deste artigo.
2.5 Recursos Avançados
Apesar da facilidade de operação do UniFi ser um dos seus maiores atrativos, é importante ter em mente que essa solução foi desenvolvida para ambientes corporativos que têm demandas mais complexas. Por isso o software UniFi permite que sejam configurados vários recursos avançados para otimizar ainda mais o desempenho da rede Wi-Fi. Cada um desses recursos será explicado com maior detalhamento nas videoaulas dessa seção 2.5.
2.5.1 Band Steering
O Band Steering é uma técnica utilizada em ambientes Wi-Fi dual-band que estimula os dispositivos clientes a se conectarem na banda de 5 GHz para que haja máximo desempenho decorrente da maior capacidade dessa banda. Embora um número cada vez maior de dispositivos atualmente ofereça suporte à banda 5G e até prefira utilizá-la, nem sempre isso acontece, por isso um ajuste fino que ajuda é ativar o recurso Band Steering para “forçar” clientes dual-band a ficarem conectados em 5G, evitando assim o congestionamento da banda 2G.
2.5.2 MinRSSI
Em redes Wi-Fi corporativas buscamos desempenho e estabilidade, por isso é crucial fazer o correto dimensionamento da quantidade de APs na área de cobertura a ser atendida. Atualmente as boas práticas recomendam a implantação de células cada vez menores para conseguir melhor desempenho. Uma dificuldade ao criar células menores no ambiente, por exemplo diminuindo a potência de transmissão e aproximando os APs, é que provavelmente os clientes receberão sinais de boa qualidade vindos de mais de um AP, o que pode dificultar a ação de roaming, ou seja, o suporte à mobilidade através da transição dos clientes entre os diferentes APs.
O recurso Minimum RSSI é importante justamente para otimizar o efeito de roaming dos clientes entre os vários APs no ambiente. Trata-se de um recurso avançado no software UniFi que é muito útil porque ajuda os os dispositivos clientes durante o roaming, garantindo que eles permaneçam conectados no AP mais apropriado. Com esse recurso é possível “instruir” o AP a manter nele conectados somente aqueles clientes que estejam com um nível de sinal dentro de um valor pré-estabelecido, de forma que aqueles clientes com sinais abaixo desse limite são desconectados pelo AP e podem estabelecer conexão com outro que tenha melhor nível de sinal.
2.5.3 Wireless Uplink (Mesh)
Embora as boas práticas reforcem a importância de sempre utilizar cabos para conectar os APs aos demais recursos disponíveis na infraesturura da rede, há algumas situações em que não é possível seguir essa recomendação. Nesses casos é possível interligar vários APs UniFi de maneira encadeada e sem fio, através de um recurso denominado Wireless Uplink de Múltiplos Saltos ou simplesmente Mesh.
2.5.4 Balanceamento de Clientes
Uma boa prática de projeto em redes Wi-Fi é dimensionar a quantidade de APs para atender a estimativa daquilo que seria o pico de clientes conectados em determinado ambiente, ou seja, o pior caso. Ao fazê-lo, é comum que haja momentos em que o ambiente possui mais APs do que seria necessário para atender os clientes, afinal um mesmo cliente receberá sinal de boa qualidade de múltiplos APs. Nesses casos, é comum acontecer de um AP ter muito mais clientes conectados do que outro disponível no mesmo espaço físico.
O recurso Load Balancing per Radio do UniFi Controller permite determinar via software a quantidade máxima de clientes conectados por AP, viabilizando o balanceamento dos clientes naqueles ambientes em que existem múltiplos APs disponíveis na mesma área de cobertura.
3. CONFIGURAÇÃO DOS SWITCHES UNIFI
Frequentemente o nome UniFi é associado apenas com APs Wi-Fi, já que os famosos “discos brancos” são extremamente populares no mercado corporativo desde seu lançamento em 2010.No entanto, é importante destacar que UniFi não é um produto, mas uma família completa de produtos, inclusive switches para conectar equipamentos via cabo.
Observação: Há vários modelos de switches disponíveis no amplo portfólio UniFi para ambientes de pequeno a grande porte. Para obter informações detalhadas sobre cada os modelos de primeira geração, recomendamos a leitura deste artigo. Para mais informações sobre os modelos de segunda geração, recomendamos a leitura deste artigo.
3.1 VLANs
A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.
Quando algumas portas de um (ou mais) switch(es) são colocadas em uma determinada VLAN os quadros de broadcast originados por uma máquina ficam restritos somente a essas portas, o que implica em melhor desempenho decorrente da presença de menos máquinas gerando broadcasts. Outra vantagem do ponto de vista de segurança é que deixa de existir a possibilidade de alcançabilidade entre outras portas que não sejam membros da mesma VLAN na camada de enlace.
Para lidar com VLANs, o primeiro passo é criá-las no software UniFi para que os switches tenham ciência da sua existência. A boa notícia é que se a rede for unificada e o roteamento inter-VLAN tiver sido configurado através de um UniFi Security Gateway (USG), então o UniFi automaticamente saberá quais VLANs existem na rede, logo não será necessário criá-las.
Toda porta de um switch pode ser:
- TRUNK
- ACESSO
Uma porta trunk é aquela que permite a passagem de múltiplas VLANs em um mesmo link, já que para tanto é utilizado o encapsulamento 802.1qque permite fazer a marcação (tagged) das VLANs para que a outra ponta consiga fazer a separação lógica dos pacotes de cada VLAN, desde que o dispositivo vizinho também tenha suporte a 802.1q. Para fins de compatibilidade, em todo trunk é permitida a passagem de uma única VLAN sem marcação (untagged), denominada VLAN nativa, dessa forma um PC tradicional que normalmente não suporta VLANs consegue comunicação na rede através dessa VLAN nativa sem tag.
Uma porta de acesso é aquela que permite somente a passagem de uma única VLAN sem marcação (untagged), dessa forma o dispositivo conectado nessa porta não precisa ter suporte ao encapsulamento 802.1q e ainda assim será automaticamente vinculado à VLAN configurada na porta de acesso do switch de maneira totalmente transparente.
Uma das vantagens de utilizar uma infraestrutura unificada totalmente composta por equipamentos da família UniFi é que os Switches UniFi foram desenvolvidos para simplificar a instalação de redes Wi-Fi que utilizam APs UniFi. Por isso, diferente da maioria das outras soluções no mercado, todas as portas de um Switch UniFi já são automaticamente configuradas como trunk (perfil All) para permitir a passagem de todas as VLANs vinculadas aos SSIDs da rede Wi-Fi.
3.2 Isolamento de Portas
Há situações em que o objetivo de projeto vai além da separação em VLANs e passa a ser bloquear o tráfego entre as portas de um switch ainda que elas estejam associadas à mesma VLAN. Um exemplo dessa aplicação seria fazer o isolamento dos clientes conectados via cabo na mesma sub-rede/VLAN de visitantes, algo muito comum em hotéis e coworkings que disponibilizam máquinas cabeadas para os visitantes. Dessa forma as máquinas cabeadas podem alcançar seu gateway (sem isolamento) para fins de acesso à Internet, mas não podem conversar entre si para evitar incidentes de segurança entre os usuários dessas máquinas.
Outra grande vantagem desse recurso é minimizar o efeito da propagação do tráfego de broadcast/multicast originado pelos clientes da rede WiFi na infraestrutura cabeada de switches, o que impacta negativamente no desempenho de toda a rede. Nesse sentido, conforme ilustrado na figura abaixo, a recomendação de boas práticas seria habilitar o isolamento em todas as portas dos switches de acesso em que estão conectados APs UniFi. No entanto é importante ficar atento que o isolamento de portas não deve ser habilitado no switch de agregação em que são diretamente conectados os servidores, já que muitos serviços necessitam propagar tráfego de broadcast para funcionar.
3.3 Agregação de Portas (LAG)
Em ambientes corporativos é muito comum fazer a agregação de múltiplas portas físicas em um único grupo lógico de maior capacidade denominado LAG (Link Aggregation Group), equivalente à soma das capacidades individuais de cada porta. Esse recurso é importante para aumentar a capacidade de throughput do link e também a disponibilidade, afinal uma falha em qualquer link físico, seja no cabo ou na porta de um dos ativos, não implica na queda do link porque existem outras ligações redundantes em uso.
Assim é possível agrupar até 4 portas físicas de 1 Gbps em um grupo lógico de 4 Gbps, algo particularmente útil para conexão de servidores dual-port ou quad-port que possuem múltiplas interfaces de rede. Essa prática também é particularmente útil para conexão entre switches, por exemplo no caso da ligação de uplink dos switches de acesso com o switch core da infraestrutura de rede, já que cada switch possui sua própria “ilha” de clientes conectados, o que demanda maior capacidade e disponibilidade do link.
3.4 Roteamento nos Switches PRO Gen2
Nos switches UniFi PRO de segunda geração (USW-PRO) há suporte a roteamento estático (L3) e servidor DHCP, assim é possível configurar roteamento inter-VLAN diretamente neles sem a necessidade de um roteador para a comunicação entre sub-redes locais, conforme explicado no vídeo abaixo.
O recurso é configurado da mesma forma que já era feito usando um roteador USG, só que a partir da versão 5.13 existe um novo campo para selecionar se o roteamento (na sub-rede criada) será feito pelo USG (default) ou por um Switch UniFi PRO Gen2, conforme explicado neste artigo e no vídeo abaixo.
4. CONFIGURAÇÃO DO USG
O roteador/firewall UniFi Security Gateway (USG) é uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software. O USG é gerenciado de maneira centralizada através da interface do software UniFi Controller, assim como ocorre com todos os demais dispositivos UniFi na infraestrutura de rede.
Observação: Leia este artigo para saber mais sobre as características do UniFi Security Gateway (USG) e recursos suportados. Para saber mais sobre os novos security gateways all-in-one que também são controladoras, recomendamos a leitura deste artigo sobre o UniFi Dream Machine PRO.
4.1 Port-Forwarding
Uma configuração muito comum e útil nas redes corporativas é a criação de regras de port-forwarding no roteador de borda para viabilizar o acesso externo a um ou mais servidores internos. Essa configuração é necessária porque não é possível fazer esse acesso diretamente, já que o endereçamento utilizado internamente é privado, ou seja, não existe no contexto da Internet que é baseada em endereços públicos.
4.2 Balanceamento de 2 WAN
As interfaces WAN do USG são usadas para conexão de links de Internet, sendo que na interface gráfica do software UniFi Controller é possível configurar o uso “casado” dos links em modo failover ou load-balancing.
Observação: No modo failover o segundo link só é utilizado se o primeiro link cair, enquanto que no modo load-balancing ambos os links são utilizados para prover maior largura de banda.
4.3 Servidor Radius
Apesar de a maioria das redes Wi-Fi utilizarem uma chave compartilhada (PSK) com o método de segurança denominado WPA Personal, naqueles ambientes que demandam maior nível de controle e segurança é mais indicado o uso de um usuário/senha por cliente, o que pode ser feito com o método de segurança WPA Enterprise. É possível hospedar essa funcionalidade de servidor Radius internamente no próprio UniFi Security Gateway (USG), uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software.
Observação: Em nosso blog também explicamos ao leitor como fazer a configuração da solução UniFi para utilizar um servidor Radius externo para integrar a autenticação dos usuários da rede Wi-Fi com o Active Directory no Windows Server já existente no ambiente da empresa. Veja neste artigo como fazer o apontamento para um servidor externo a partir da interface do software UniFi Controller, além do passo a passo para configurar um servidor NPS/RADIUS no Windows Server 2012.
4.4 VPN Site-to-Site
Outra configuração popular em firewalls é o estabelecimento de Redes Virtuais Privativas (VPN) entre duas unidades remotas de uma empresa através da Internet. Mais uma vez essa configuração é bastante complexa em outras soluções, mas no USG é extremamente simples estabelecer uma VPN através de poucos cliques na interface web do software UniFi.
Conclusão
Agora que você assistiu todas as videoaulas e chegou até aqui é esperado que tenha o expertise necessário para executar projetos utilizando os produtos do portfólio UniFi. Caso tenha ficado alguma dúvida, lembre-se que o curso pode ser revisto a qualquer momento e que os módulos podem ser consumidos individualmente para sanar aquelas dúvidas pontuais.
Sucesso nos futuros projetos.
PARABÉNS!
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.
