Unifi Advanced WiFi Settings Explained

-

 Unifi Advanced WiFi Settings Explained

Trong việc quản trị, cài đặt, cấu hình Wifi Unifi thì các setting mặc định thường an toàn với hầu hết mọi trường hợp. Nhưng sẽ rất hữu ích nếu bạn hiểu rõ hơn những cài đặt nâng cao trong việc cấu hình, khắc phục sự cố.

Các cài đặt và mô tả này được sử dụng giao diện mới Unifi Controller Ver6.4.54.

*** Vài lưu ý trước khi vào nội dung chính mình cần chia sẽ:
  1. Bài viết này mang tính chất dành cho cá nhân để lưu trữ kiến thức cũng như kinh nghiệm bản thân đã trải qua.
  2. Bài viết chia sẻ phi lợi nhuận
  3. Bài viết có thể làm vài bạn biểu môi: "xời xời, đơn giản thế này ai chẳng biết, post lên làm gì" ==> thì xem lại mục "1" nhé.
  4. Bài viết có lấy thể lấy hình ảnh và 1 vài nội dung trên Internet, nên nếu có gì vi phạm bản quyền, cảm phiền các bạn báo lại giúp mình

Nội dung:

  • Creating a New Wireless Network
  • Advanced Wifi Setting
    • Wifi Band
    • Optimize IoT Wifi Connectivity
    • AP Group
    • UAPSD
    • Hight Performance Devices
    • Proxy ARP
    • Legacy Support
    • Multicast Enhancement (EGMPv3)
    • BSS Transition
    • L2 Isolation
    • Enable Fast Roaming
  • Bandwidth Profie
  • Security Setting
    • Security Protocol
    • If WPA3 is selected...
    • Hide Wifi Name
    • PMF (Protected Management Frame)
    • Group Rekey Interval
  • MAC Authorization Settings
  • 802.11 Rate and Beacon Controls
    • Override DTIM Period
    • 2.4. GHz Data Rate Control
    • 5 GHz Data Rate Control
  • Wifi Scheduler
  • Setting only available in the old UI

Creating New Wireless Network

Trong giao diện Unifi, Network Settng được chia thành Wifi, Networks and Internet
  • Wifi kiểm soát các kết nối wireless, bao gồm SSID, Password và các cài đặt nâng cao khác
  • Neworks kiểm soát mạng LAN và Vlan, bao gồm DHCP, DNS và IP address
  • Internet kiểm soát các kết nối WAN của bạn, bao gồm VLan, IP address và Smart Queues cho QoS.
Theo mặc định, Unifi có một mạng LAN được sử dụng cho tất cả các kết nối có dây và không dây. Việc tạo thêm lớp mạng cho phép bạn phân bổ và hạn chế lưu lượng. Điều này thường được sử dụng cho các thiết bị khách hoặc thiết bị IoT, hoặc để tách biệt với những yêu cầu đi kèm. Trước khi đi sâu vào cài đặt mạng không dây, hãy thiết lập mạng và VLan của bạn trước. Điều này có thể được thực hiện bằng cách sửa đổi mạng LAN mặc định hoặc tạo 1 mạng mới trong tab Networks.

Nếu bạn muốn sử dụng 1 lớp mạng đã được tạo cho 1 Wifi mới, hãy đi tới Setting => Wifi => Add New Network

Đặt tên Wifi (SSID), mặt khẩu và chỉ định lớp mạng mà nó sẽ sử dụng. Nếu bạn không muốn sử dụng mật khẩu WPA2 mặc định, hãy mở tùy chọn nâng cao và chỉnh sửa cài đặt ở tab "Security". Nếu không bạn có thể lưu, nó sẽ lưu vào tất cả các Access Point theo mặc định.

Đó là tất cả những gì bạn cần với 1 mạng cơ bản. Nếu bạn muốn nhiều hơn nữa thì hãy mở rộng tab "Advanced".

Advanced Wifi Setting

Wifi Band

  • 2.4 GHz: tốc độ chậm hơn, phạm vi xa hơn, xuyên tường tốt hơn
  • 5 GHz: tốc độ nhanh hơn, phạm vi gần hơn, xuyên tường yếu hơn.
  • Default: Both (cả 2)
  • Note: SSID băng tần kép có thể dẫn đến sự cố chuyển vùng, với 1 số ứng dụng khách không sử dụng 5GHz hoặc không chuyển vùng tới AP gần nhất. Có một số cách để chống lại điều này: thường là điều chỉnh vị trí AP. giảm công suất phát 2.4GHz, enabling band steering, fast roaming, hoặc "high performance devices" có thể hiệu quả. Bạn cũng có thể tạo 1 SSID 2.4GHz và 5GHz riêng biệt nếu bạn muốn được đảm bảo, kiểm soát thủ công đối với băng tần được thiết bị nào sử dụng.

Optimize IoT Wifi Connectivity

  • Cải thiện độ tin cậy kết nối của các thiết bị IoT
  • Default: ON
  • Effect: Buộc phải cài đặt DTIM thành các giá trị mặc định là 1 cho 2.4GHz và 3 cho 5GHZ. Thông tin thêm về DTIM bên dưới, trong phần 802.11 Rate and Beacon Controls.

AP Group

  • Cho phép lập nhóm các AP và các AP này sẽ có chung cấu hình.
  • Default: All AP
  • Note: Unifi có giới hạn 4 SSID cho mỗi băng tần, mỗi nhóm AP. Bạn có thể tạo thêm lên tới 8 SSID nếu bạn giới hạn trong 1 băng tần. Có thể có tối đa 4 SSID 2.4GHz và 4 SSID 5GHZ, hoặc 4 SSID băng tần kép.

UAPSD

  • Unscheduled Automatic Power Save Delivery, còn được gọi là tiết kiệm điện WMM
  • Default: OFF
  • Effect: Bật cho phép các thiết bị hỗ trợ UAPSD tiết kiệm pin bằng cách giữ Radio Wifi của chúng ở chế độ ở chế độ nghĩ trong thời gian dài hơn. Giống như nhiều tính năng bị tắt theo mặc định, điều này có thể gây ra sự cố cho một số máy khách, đặc biệt là các thiết bị IoT.
  • Khuyến nghị: Bật nếu tuổi thọ pin là quan trọng và kết nối thiết bị IoT thì không.

High Performance devices

  • Chỉ kết nối các thiết bị có performance với 5GHz.
  • Default: ON
  • Effect: Việc tắt tùy chọn này cho phép các máy khách với performance cao tham gia 2.4GHz. Điều này có thể khắc phục một số vấn đề với SSID băng tần kép và hiệu suất chuyển vùng kém, với cái giá là throughput giảm khi thiết bị kết nối với 2.4 GHz.
  • Khuyến nghị: Tắt nếu bạn có các khu vực chỉ được phủ bởi 2.4GHz hoặc gặp sự cố với thiết bị 2.4GHz không thể kết nối.
  • Note: Ubiquiti không chỉ định "high performance" là gì, nhưng tôi cho rằng điều này áp dụng cho các thiết bị hỗ trợ Wifi 5 hoặc 6 và các thiết bị hỗ trợ multiple stream. Về cơ bản là các thiết bị điện thoại, máy tính hiện đại.

Proxy ARP

  • ARP là Address Resolution Protocol, được sử dụng để học địa chỉ MAC cho địa chỉ IP nhất định.
  • Default: OFF
  • Effect: Bật cho phép AP trả lời các yêu cầu ARP đối với thiết bị khách, giúp hạn chế traffic broadcast. Chủ yếu được sử dụng trong các hệ thống lớn, mật độ cao.
  • Khuyến nghị: bật cho các hệ thống có mật độ người dùng cao.

Legacy Support

  • Bật Lagacy device support (11b)
  • Default: OFF
  • Effect: Bật tính năng này cho phép kết nối với các thiết bị cũ hơn hoặc không hỗ trợ 802.11g hoặc các chuẩn mới hơn.
  • Khuyến nghị: Chỉ bật nếu bạn cần cáu thiết bị cũ (chỉ hỗ trợ 802.11a hoặc 802.11b) kết nối wifi.

Multicast Enhancement (IGMPv3)

  • Cho phép thiết bị gửi traffic multicast đến các máy khách đã đăng kí với tốc độ cao hơn bằng cách bật giao thức IGMPv3 .
  • Default: OFF
  • Effect: Bật tính năng này có thể cải thiện hiệu suất với các thiết bị thông minh trong gia đình như loa thông minh hoặc thiết bị phát trực tuyến. Thường hoạt động tốt hơn khi:
    • Spanning Tree được đặt ở chế độ STP thông thường trên switch của bạn. Tôi khuyên bạn nên giảm độ ưu tiên của các thiết bị switch để chúng tiếp tục là Spanning Tree root bridge.
    • IGMP Snooping được bật trong Network setting => Advanced. Điều này cho phép các Sw xác định các nhóm multicast được sử dụng trong mỗi port. Các luồng multicast chỉ được chuyển tiếp đến các thiết bị sẽ nhận được chúng.
    • Multicast Echancement (IGMPv3) được bật trong Wifi Setting => Advanced. Điều này cho phép dịch vụ hàng đợi IGMP trên Unifi Gateway, cho phép nó tạo ra các nhóm multicast để cải thiện traffic milticast như luồng video hoặc âm thanh. Khó có thể khắc phục sự cố multicast nếu không nắm bắt gói và kiến thức về các giao thức liên quan.
    • Multicast DNS được bật trong Advanced Features => Advanced Gateway Setting. mDNS cho phép chuyển đổi tên máy chủ (host name) thành địa chỉ IP trong mạng nội bộ mà không cần máy chủ DNS. mDNS của Unifi cho phép bạn khám phá các thiết bị trên các network khác.
  • Khuyến nghị: Bật cài đặt này có thể giúp giải quyết các vấn đề với Chromecast, AirPlay hoặc các thiết bị thông minh khác. Một tùy chọn khác là bật mDNS và tạo SSID riêng cho các thiết bị này và làm theo các bước trong bài viết của Ubiquiti tại đây.

BSS Transition

  • Cho phép chuyển đổi BSS với WNM, viết tắt của Wireless Network Management. WNM cho phép AP gửi tin nhắn đến các máy khách để cung cấp cho họ thông tin về mạng và thông tin chi tiết của các AP khác. Điều này bao gồm việc sử dụng và số lượng khách hàng hiện tại, cho phép khách hàng đưa ra các quyết định chuyển vùng sáng suốt hơn.
  • Default: ON
  • Effect: Bật 802.11v. Điều nay hỗ trợ tiết kiệm năng lượng và quá trình chuyển vùng, nhưng khách hàng tùy thuộc vào thiết bị để đưa ra quyết định dựa trên thông tin đã cho.
  • Khuyến nghị: Nên bật, đặc biệt là trong hệ thống có nhiều AP.

L2 Transition

  • Isolates station ở mức Layer2 (Ethernet)
  • Default: OFF
  • Effect: Hạn chế client giao tiếp với nhau.
  • Khuyến nghị: Bật cho các hệ thống mạng dành cho khách với bảo mật cao hoặc hệ thống IoT.

Enable Fast Roaming

  • Chuyển vùng nhanh hơn cho các thiết bị hiện đại với khả năng tương thích chuẩn 802.11r. Nó thực hiện điều này bằng cách tăng tốc quá trình thương lượng, đàm phán khóa bảo mật, cho phép cả quá trình thương lượng và yêu cầu diễn ra song song. Với 802.11X, các khóa được lưu trong bộ đệm thay vì các máy khách cần kiểm tra với máy chủ RADIUS với mỗi lần chuyển vùng. Với pre-share key như WPA2, máy khách sẽ trải qua quá trình bắt tay 4 bước thông thường.
  • Default: OFF
  • Effect: Cho phép chuyển đổi BSS nhanh qua OTA (Over-the-air), cho phép các thiết bị hỗ trợ chuyển vùng giữa các AP nhanh hơn. Nếu không bật cài đặt này, việc chuyển vùng từ AP này sang AP có thể mất vài giây và trong thời gian đó dữ liệu không thể gửi hoặc nhận. Trong hầu hết các trường hợp, bạn sẽ không nhận thấy điều này, nhưng các ứng dụng nhạy cảm với độ trễ và thời gian thực như cuộc gọi thoại hoạt động kém. Hành vi chuyển vùng chậm với cuộc gọi VoIP có thể dẫn đến khoảng trống trong âm thanh. Với tính năng Fast Roaming 802.11r được bật, việc chuyển vùng gần như lập tức.
  • Note: Fast BSS Transition hoạt động với cả pre-share key (PSK) và 802.1X. Các thiết bị cũ hơn sẽ không gặp sự cố kết nối khi bật tính năng này. 

Bandwidth Profile

  • Default, hoặc chọn profile hiện có.
  • Default: bandwidth unlimited.
  • Effect: Cho phép bạn đặt giới hạn băng thông download và upload mặc định cho mỗi client.
  • Note: Tạo profile mới trong Advanced => Bandwidth Profile


Security Setting

Security Protocol

  • Open: Không cần mật khẩu để kết nối Internet
  • WPA-2: Phương thức pre-share key, yêu cầu mật khaair để kết nối, WPA-2 kém an toàn hơn WPA-3, nhưng được hỗ trợ rộng rãi hơn, đặc biệt là trên các thiết bị cũ.
  • WPA-2 Enterprise: Phương thức bảo mật 802.1X, yêu cầu máy chủ RADIUS để cho phép người dùng truy cập bằng username hoặc passwork. Thường phổ biến trong các hệ thống lớn cần cấp hoặc thu hồi quyền truy cập mà không thay đổi quyền truy cập của người khác bằng cách thay đổi pre-share key.
  • WPA-2/WPA-3: Cho phép kết hợp các kết nối WPA-2 và WPA-3. Các thiết bị hỗ trợ WPA-3 sẽ sử dụng tiêu chuẩn mới và an toàn hơn, trong khi các thiết bị cũ hơn sẽ sử dụng WPA-2. Điều này nói chung là kém an toàn hơn so với WPA-3, nhưng nó linh hoạt hơn và ít có khả năng gây ra sự cố hơn khi chuyển sang WPA-3 làm mặc định.
  • WPA-3: Phương thức Pre-share key mới hơn, thực hiện rất nhiều điều hay ho để an toàn hơn WPA-2, WPA-3 vẫn dễ bị tấn công bởi 1 số cuộc tần công nhất định, vì vậy hãy đảm bảo sử dụng mật khẩu phức tạp và hạn chế quyền truy cập vào mật khẩu đó nếu nó quan trọng.
  • WPA-3 Enterprise: Phương thức bảo mật 802.1X mới hơn, như WPA-3 cá nhân cho phép các kết nối an toàn hơn.


If WPA3 Is Selected...

  • WPA3 SAE anti-clogging threshold in seconds
    • Default: 5
    • Note: SAE là Simultaneous Authentication of Equals (Xác thực đồng thời), và anti-clogging (tính năng chống tắt ngẵn) được thiết kế để ngăn chặn các cuộc tấn công DoS (Denial of Service) vào AP. Cài đặt này ảnh hưởng đến ngưỡng thời gian cho những gì mà AP coi là "quá nhiều" yêu cầu.
  • WPA3 Sync in seconds
    • Default: 5
    • Note: Việc giải thích cách thức hoạt động của WPA3 nằm ngoài hướng dẫn này. Chỉ thay đổi điều này nếu bạn biết chính xác mình làm cần gì và làm gì với nó.

Hide Wifi Name

Điều này buộc các AP gửi Frame báo hiệu không có SSID, có nghĩa là SSID trong Frame được đặt thành rỗng. Các báo hiệu vẫn được gửi đi và các mạng ẩn vẫn dễ bị phát hiện. Để tham gia vào 1 SSID ẩn, khách hàng sẽ phải nhập thủ công tên SSID cùng với mật khẩu.

Ẩn SSID không nâng cao tình năng bảo mật. Sử dụng mật khẩu phức tạp hơn hoặc chuyển sang giao thức mới hơn như WPA2/3 so với WPA hoặc WEP.

PMF (Protected Management Frame)

Protected Management Frame (PMF) là một tính năng bảo mật nhằm mục đích ngăn chặn việc chặn hoặc giả mạo traffic management. Frame management bao gồm authentication, de-authentication, associiation, dissociation, beacons, và probes. Chúng không thể được mã hóa như traffic unicast thông thường, vì vậy tính năng nà được bảo vệ khỏi giả mạo, ngăn chặn 1 số cuộc tấn công bảo mật phổ biến.
  • Yêu cầu: Các AP sẽ sử dụng PMF cho tất cả các trạm. Các trạm không có khả năng PMF sẽ không thể tham gia WLAN. Bắt buộc đối với WPA3.
  • Optional: Các AP sẽ sử dụng PMF cho tất cả các trạm có khả năng, đồng thời cho phép các trạm không hỗ trợ PMF tham gia WLAN
  • Disabled: Các AP sẽ không sử dụng PMF cho bất cứ trạm nào.

Group Rekey Interval

  • Cài đặt này kiểm soát tần suất 1 AP thay đổi GTP Group Temporal Key (Khóa tạm thời). GTK là khóa mật mã được sử dụng để mã hóa tất cả traffic broadcasr và multicast giữa APs và Clients.
  • Default: 3600 giây.
  • Note: Khoảng thời gian thấp hơn có nghĩa là khóa thay đổi thường xuyên hơn, nhưng có thể gây ra sự cố người dùng ngắt kết nối hoặc không thể truy cập vào mạng với thông báo "wrong passwork" ngay cả khi thông tin đăng nhập chính xác.

MAC Authorization Settings


MAC Address Filter

  • Cho phép bạn hạn chế thiết bị tham gia vào mạng trừ khi họ có trong danh sách cho phép (allow list) hoặc chặn các địa chỉ MAC cụ thể (deny list)
  • RADIUS MAC Authentication
    • Cho phép bạn sử dụng máy chủ RADIUS để xác thực thiết bị client.
  • RADIUS Profile
    • Cho phép bạn chọn các Radius profile được xác định trước.
    • Để tạo profile mới, Advanced Fratures => RADIUS => Add RADIUS Profile. Đây là nơi bạn chỉ định các thông tin của máy chủ RADIUS như IP address, port, Vlan, password và thời gian update.
  • MAC address format
    • Cho phép bạn đặt định dạng địa chỉ MAC 

802.11 Rate And Beacon Controls



Override DTIM Period

  • DTIM là viết tắt của Delivery Traffic Indication Message, là một thông báo được gởi cùng với frame beacon (frame cảnh báo). Vai trò của DTIM là cho một số ứng dụng khách đang ở chế độ ngủ biết rằng nó có dữ liệu được lưu trong bộ đệm đang chờ nó. Số cao hơn đệm lâu hơn, có khả năng tiết kiệm pin. Tuy nhiên, việc thay đổi các giá trị này gây ra nhiều vấn đề, vì vậy bạn có thể tự chịu rủi ro khi thay đổi chúng.
  • Default for 2.4GHz: 1, nghĩa là mỗi frame beacon 2.4GHz sẽ bao gồm 1 DTIM
  • Default for 5GHz: 3, nghĩa là cứ 3 frame beacon 5GHz sẽ có 1 DTIM.
  • Note: Bạn không thể sửa đổi giá trị mặc định khi "Optimiza IoT Connectivity" được bật.

2.4 And 5 GHz Data Rate Control

  • Disabling tốc độ dữ liệu thấp nhất là 1 cài đặt phổ biến cần xem xét đối với các hệ thống có mật độ cao, nơi bảo tồn thời gian phát sóng là quan trọng. Tốc độ dữ liệu thấp hơn sẽ kém hiệu quả hơn. Khi dữ liệu được gửi ở tốc độ thấp, dữ liệu sẽ sử dụng nhiều thời gian phát sóng hơn, hạn chế hiệu suất của các thiết bị khác sử dụng AP đó. Để hiểu rõ hơn, chi tiết hơn bạn có thể tham khảo bài viết của Rob Krumm
  • Default for 2.4GHz: tất cả tốc độ cho phép (từ 1 đến 54 Mbps)
  • Default for 5GHZ: tất cả tốc độ cho phép (từ 6 đến 54 Mbps)
  • Khuyến nghị: để ở chế dộ mặc định. Việc vô hiệu hóa tốc độ dưới 6 Mbps hoặc 11 Mbps có thể cải thiện hiệu quả ở mội trường có mật độ cao.

Wifi Scheduler

Cho phép bạn bật hoặc tắt SSID vào một thời điểm nhất định hoặc thiệt lập lịch trình hàng tuần

Setting only available in the old UI

Các cài đặt này bị thiếu trong giao diện mới hoặc đã được di chuyển/đổi tên:
  • Applu Guest Policies
  • Beacon Country
  • Add 802.11d country roaming enhancements
  • TLDS Prohibit
  • Block Tunneled Link Direct Setup (TDLS) connections
  • Point to Point (P2P)
  • Gửi cảnh bảo ở tốc độ 1 Mbps

Đặt quảng cáo của bạn ở đây

Nhận xét

Đăng nhận xét