Update Unifi Infrastruktur im Public Access Bereich

Es gibt 9 Antworten in diesem Thema, welches 2.118 mal aufgerufen wurde. Der letzte Beitrag () ist von AKzK.

    Hallo zusammen,

    ich muss eine vorhandene Unifi Infrastruktur updaten sodass wesentlich mehr Performance zur Verfügung steht. Hierbei steht vor allem das Gastnetz im Vordergrund, über welches freies WLAN angeboten werden soll.

    Zur vorhandenen Infrastruktur:

    1x USG 3P

    1x Cloud Key

    1x Switch 8 PoE

    3x AP AC Pro


    Netzaufbau:

    2 Netze, per VLAN getrennt. Ein "internes" Netz mit Komponenten wie KNX Gateways, Siemens SPS etc. pp. Dazu gibt es ein privates WLAN im selben VLAN. Dann gibt es den öffentlichen Teil mit Gast-WLAN mit eigenem VLAN. Das USG hat jeweils einen Port in die entsprechenden VLANs und geht per WAN an eine FritzBox 7590. Dahinter ist ein 100Mbit Telekom DSL Anschluss. (Doppeltes NAT, ist mir bewusst und soll nach Möglichkeit weg!)


    Vorhandenen Probleme:

    Die WLAN Infrastruktur wird im Prinzip nur bei Veranstaltungen benötigt, dann können bis 500 mobile Endgeräte mit dem Netz verbunden sein. Da schlägt das USG 3P aber massiv an seine Grenzen. Teilweise können nichtmals mehr DHCP Leases vergeben werden. Erst wenn IDS / IPS deaktiviert werden, fängt sich das System. Bei kleinen Veranstaltungen funktioniert das noch, bei den erwähnten großen Veranstaltungen definitiv nicht. Und IDS / IPS dann zu deaktivieren macht ja auch wenig bis keinen Sinn.


    Neues Netz / Fragen zum sizing:

    Die Halle ist mit 3 AP-AC Pro ausgestattet, diese sollen auch übernommen und nicht getauscht werden. Auch der Switch 8 PoE soll bleiben. Lediglich die USG muss weg und nach Möglichkeit das doppelte NAT sowie die Fritzbox. In einigen Monaten wird der DSL Anschluss durch einen 500Mbit FTTH Anschluss abgelöst.

    Hier macht mir das Sizing etwas Probleme, da ich die größeren Unifi Geräte nicht kenne und dementsprechend keine Erfahrung habe.

    Es sollten folgende Bedingungen erfüllt werden:


    - Durchsatz mit aktiviertem IDS / IPS und Traffic Identification bis 1Gb/s entsprechend dem Telekom FTTH Tarif

    - DHCP und sonstige Services sollten durch die aktivierten Mechanismen IDS/IPS Traffic Identification nicht beeinträchtigt werden

    - Nach Möglichkeit Wegfall der Fritzbox und Vermeidung von doppeltem NAT


    Nach bisherigem Stand meiner Recherchen kommen dafür nur die USG Pro oder die USG Special Edition oder das Next-Generation Pro Gateway in Frage.

    Liege ich hier richtig?



    Ich hoffe ich hab mich verständlich ausgedrückt und keine Angaben vergessen. Ich hoffe ihr könnt mir etwas auf die Sprünge helfen.


    Grüße

    Andreas

    Wenn du unbedingt ein Unifi Gateway haben willst dann bleiben nur UDM Pro oder SE und der UXG Pro.

    Ich muss nicht zwingend ein Unifi Gateway haben, nur etwas was die von mir beschriebenen Funktionen bietet. Ein Unifi Gateway erschien mir naheliegend um im Ökosystem zu bleiben.

    Ja grundsätzlich hast du recht wenn du im Ökosystem bleiben willst, dann siehe oben. Ansonsten würde das auch über eine Sophos oder PFSense oder ähnliches laufen können. Aber auch da brauchst du die entsprechend potente Hardware.

    Aus diversen Quellen wurde mir aus erster Hand berichtet, dass auch die Pro oder Special Edition mit allen aktivierten Features nur knapp 380mbit liefern. Da würde ich bei einem 500mbit Anschluss schon einiges verlieren.


    Hat jemand schon Erfahrungen mit dem Next-Gen Gateway?

    Zitat von AKzK

    Aus diversen Quellen wurde mir aus erster Hand berichtet, dass auch die Pro oder Special Edition mit allen aktivierten Features nur knapp 380mbit liefern. Da würde ich bei einem 500mbit Anschluss schon einiges verlieren.


    Hat jemand schon Erfahrungen mit dem Next-Gen Gateway?

    Die Quellen würde ich ganz schnell mal vergessen und sich lieber auf offizielle Infos verlassen. Alle 3 Geräte können problemlos Gigabit mit IDS/IPS Vlans usw... Das einzige was langsamer wird ist VPN, aber das liegt nicht an den Endgeräten.


    EDIT: Das einzige was das alles ausbremst ist Smart Qeues. Aber das braucht man in der Regel auch nicht.

    Die Quellen sind tatsächlich 3 mir bekannte Admins die genau diese Geräte betreuen. Auf deren Aussagen gebe ich eigentlich recht viel. Ist dem also nicht so und die Geräte liefern tatsächlich Gigabit mit IDS / IPS / Traffic Identification?


    Eine andere Frage noch (Bin so tief im Unifi Ökosystem nicht drin):

    Wer übernimmt die Funktion des DHCP Servers bei Einsatz von USG Pro / SE / NextGen? Wenn ich das richtig verstehe bei Pro und SE die Geräte selbst, da die Controller Software direkt dort läuft, beim NextGen bräuchte ich wieder einen CloudKey (z.B. Gen2) oder?


    Edit:
    Ich meine die Geräte Dream Machine Pro, Dream Machine Special Edition. Sorry, falsche Bezeichnung....

    Ja korrekt, dem ist nicht so. Die Geräte schaffen das Problemlos.


    Bei den UDM übernehmen die Geräte selber den DHCP und bei der UXG der Cloudkey (DHCP läuft aber auch da nachher auf der UXG).

    Bei der Client Anzahl würde ich auf einen Selfhosted Controller und das UXG setzen, damit hast du den Vorteil, das du den Controller evtl. skalieren kannst, falls er dicke Backen macht.


    btw. UDM Pro, UDM SE und UXG Pro schaffen ca. 3,5 Gbit mit IPS/IDS/DPI aktiv - das gilt sowohl WAN-Seitig als auch für Inter-VLAN Routing.


    P.s.

    verwechsle bitte nicht das USG Pro mit dem UXG Pro!



    Und hier noch was für deine Adminkumpels (no offense) DPI + Threatmanagement aktiv am UXG-Pro


    11385-pasted-from-clipboard-png

    Gruß

    defcon

    Gefällt mir 1

    Lange habe ich hier nicht gemeldet, es war die letzte Zeit recht stressig.


    Ich bin jetzt wieder aktiv in dem Thema drin und bin in der Auswahl der Geräte.


    Ich tendiere sehr stark zur UXG Pro. Ich denke damit bewegt man sich in die richtige Richtung.

    Eine Frage hat sich beim letzten Post von defcon aber ergeben:


    Warum soll ich den Controller selbst hosten? Wofür benötigt dieser im laufenden Betrieb denn Leistung? Also welche Funktionen übernimmt er, die Leistung benötigen? Ich gehe jetzt mal von dem Beispiel einer Veranstaltung mit 500 Endgeräten aus.


    So wie ich das verstehe, übernimmt die zukünftige UXG Pro sowohl die Funktion des DHCPs als auch natürlich die der Firewall mit IDS / IPS / DPI.


    Eigentlich benötige ich den Controller doch nur zum konfigurieren. Mir ist also nicht ganz klar, warum ich den Controller entsprechend leistungsfähig auslegen muss.


    Gruß

    Andreas