Review TP-Link Omada Pro อุปกรณ์เครือข่ายระดับองค์กร

TP-Link Omada Pro อุปกรณ์เครือข่ายระดับองค์กร

สวัสดีครับ

ทางร้านได้มีโอกาสทดสอบอุปกรณ์ TP-Link Omada Pro ซึ่งเป็น Solution ที่รองรับงานระดับองกรณ์ที่มี User เป็นจำนวนมาก

TP-Link Omada Pro มาครบ Set เลย

TP-Link Router G36 รองรับ Loadbalance, VPN

TP-Link Omada Pro Controller C5300

L3-Managed Multi-Gig POE Switch S6500-48MPP6Y

TP-Link Access Point AP9670 WIFI 6 4x4 MU-MIMO

ทีแรกผมตั้งใจจะลงรูป Hardware ด้วย แต่เดี๋ยวรูปมันจะเยอะเกินไป ขอลงในส่วน GUI รวมถึง Feature ต่างๆละกันครับ

จะมีเปรียบเทียบกับ TP-Link Omada ด้วยครับ

อุปกรณ์ TP-Link Omada-Pro ทุกตัว ถ้าจะ Managed ผ่าน Controller จะมีค่า License Subscription ครับ เรื่องราคายังไม่ออกมาเลยครับ ^^

การเพิ่มอุปกรณ์เข้า Omada Controller เพื่อความง่าย เชื่อมต่ออุปกรณ์ให้อยู่ Network เดียวกันก่อน แล้ว Adopt ก็เสร็จเรียบร้อยครับ

Omada Management

 ในการจัดการ Controller จะแยกออกเป็น Global View และ Project View (เลือกที่ Menu ด้านขวาบน)

Global View

สำหรับ Global View จะเป็นการจัดการอุปกรณ์ Controller, Device ทั้งหมด, ดู Log, Audit Log, Upgrade Firmware อุปกรณ์ และ จัดการ License

Controller Settings

สำหรับจัดการอุปกรณ์ Controller, จัดการ IP Address, Time Zone, Accout Security พวก 2FA, ตั้งค่า Email Server, เปิดใช้งาน RADIUS, เชื่อมต่อ TP-Link Cloud ฯลฯ

เมื่อเชื่อมต่อกับ TP-Link Cloud จะสามารถ Managed/Monitor อุปกรณ์จากที่ไหนก็ได้ครับ Remote มายัง Site งานได้เลย

Device

แต่ละ Device จะต้องมี License สำหรับการ Managed อุปกรณ์ผ่าน Controller

Audit Log

สำหรัยตรวจสอบว่ามีการ Config อะไรไปบ้าง

Project View

สำหรับจัดการ Config อุปกรณ์ภายใน Project ครับ

Statistic

Performance การทำงานของอุปกรณ์ ส่วน Application Analytics โดยหลักการจะเป็นพวกสถิติการใช้งานในระดับ Application ของ Client ครับ แต่ต้อง เปิด DPI ซึ่งตอนนี้ยังเปิดไม่ได้

MAP

Network Topology, รองรับการทำ Heatmap

Abnormal

ตรวจสอบเหตุการณ์ที่ผิดปกติ ที่จะทำให้ระบบเครือข่ายมีปัญหา (มีเฉพาะ Omada-Pro) จะช่วยให้เราวิเคราะห์สาเหตุและแก้ไขปัญหาได้รวดเร็วครับ ไม่มานั่งงมกันหน้างาน

รายละเอียดที่ทำให้ระบบมีปัญหา ตัวอย่าง เกิด Loop ขึ้น

รายละเอียดเหตุการณ์ไม่ปกติทั้งหมดที่ Omada Pro สามารถตรวจสอบได้

Network Health

ตรวจสอบการทำงานของอุปกรณ์ของอุปกรณ์ TP-Link Omada, ประสิทธิภาพของ Internet, ประสิทธิภาพการเชื่อมต่อ WIFI, AP ไหนคนใช้เยอะ, AP ตัวไหนคนเชื่อมต่อแล้วหลุดบ่อย

Insights

ตรวจสอบการเชื่อมต่อของอุปกรณ์ในเครือข่าย แสดงรายละเอียดของ Client ที่เชื่อมต่อเข้ากับ Access Point หรือ หมายเลข Port ของ Network Switch, Client ที่เชื่อมต่อเข้ามาผ่าน Authentication, รายละเอียดการเชื่อมต่อ VPN, Block การเชื่อมต่อของ Clients

Settings

เป็น Menu สำหรับการ Config อุปกรณ์ ขอยกตัวอย่าง Feature หลักๆที่น่าสนใจครับ

Site Configuration

จัดการ Project , เปิดใช้งาน MESH ,เปิดใช้งาน Fast Roaming (802.11k/v), AI Roaming, Band Steering

t

รองรับ Loadbalance 5 WAN

Router ที่ใช้ทดสอบเป็นรุ่น TP-Link G36 Omada Pro รองรับ Mode Loadbalance ได้ 2 Mode แบบ Weight และ Fail-Over ครับ

รองรับ VLAN 802.1q

การ Set Port Trunk/Access VLAN บน Switch ทำค่อนข้างง่ายครับ สร้าง Profile แล้ว Click เลือกที่ Switch Port ได้เลย

Wireless

รองรับการ Config ตามมาตรฐาน, Wireless Security รองรับ WPA2 Enterprise, WPA2 Enterprise,  PPSK, ใน TP-Link Omada Controller มี Build-In RADIUS Server ในตัว สามารถใช้กับ WPA Enterprise ได้เลยครับ, Multi-SSID VLAN Tagging, Client Rate Limit กำหนดความเร็วให้กับ Client, SSID Rate Limit กำหนดความเร็วแต่ละ SSID, WLAN Schedule สำหรับตั้งเวลาเปิด/ปิดสัญญาณ WIFI

WLAN Optimize

Mode การปรับปรุงคุณภาพสัญญาณ WIFI สำหรับ Omada-Pro จะมีการ Scan สัญญาณรบกวนจากอุปกรณ์อื่นๆด้วยครับ มีการเก็บบันทึกข้อมูลการใช้งานของ Client เพื่อจัดการช่องสัญญาณ, txPower และ Channel Width ให้ดีที่สุด

Bandwidth Control

กำหนดความเร็ว Internet ให้กับ Client รองรับ Threshold Control เช่น กำหนดไว้ที่ 80% กรณีที่มีการใช้งาน Internet ยังไม่ถึง 80% ของความเร็ว Internet ที่กำหนดไว้ที่ WAN จะไม่มีการจำกัดความเร็วของ Client

แต่เมื่อไหร่ที่มีการใช้งาน Internet เดินค่า Thershold จะมีการกำหนดความเร็ว Internet ให้กับ Client

Security

Security ที่มีเฉพาะใน Omada-Pro จะเป็น Wireless IDS/IPS ผมเองก็ไม่ค่อยชำนาญเท่าไหร่ อารมณ์ประมาณเฝ้าระวังรูปแบบการโจมตีต่างๆ โดยเทียบกับข้อมูลที่ทางเรามีว่า Packet แบบนี้วิ่งเข้ามาคือการโจมตีแล้วนะ รวมถึงตรวจสอบพวก AP แปลกปลอมที่มาวางหลอกไว้ในระบบให้ User ทำการเชื่อมต่อแล้วทำการ Sniffer ข้อมูลไป

OUI Based VLAN

ค่า MAC Address (Media Access Control Address) ใน Network Card / Wireless Card จะแบ่งเป็น 2 ส่วนครับ

ตัวอย่าง MAC Address 00:1A:2B:3C:4D:5E

ส่วนแรก 00:1A:2B - OUI (Organizationally Unique Identifier)ใช้ระบุผู้ผลิตหรือองค์กรที่ผลิต Network Card หรือ อุปกรณ์เครือข่าย

ส่วนสุดท้าย 3C:4D:5E - NIC (Network Interface Controller) เป็นหมายเลขเฉพาะของNetwork Card หรือ อุปกรณ์เครือข่ายที่ผู้ผลิตกำหนด

ใน TP-Link Omada-Pro รองรับ OUI Based VLAN เป็นการกำหนด Dynamic VLAN ให้กับ Client ที่มีหมายเลข OUI ตรงตามที่กำหนด

ตัวอย่างการ Config

D-Link NIC มีค่า OUI = A8-63-7D

กำหนด Dynamic VLAN ที่ Port 3 และ 4 ของ Network Switch เมื่อมี Network Card ที่มีหมายเลข OUI = A8-63-7D ให้จัดสรร VLAN 10 ให้

ส่วนตัวอย่างนี้ใช้ OUI ของ Apple เมื่อเชื่อมต่อ WIFI เข้ามาให้จัดสรร VLAN 20 (ต้อง Disable ที่อยู่ WIFI แบบส่วนตัว)

จากที่ทดสอบ ถ้าหมายเลข OUI ไม่ตรง จะได้ VLAN Managed ครับ ยังไม่ค่อยตอบโจทย์เรื่อง Security ควรจะไม่ให้มีการเชื่อมต่อ

PPSK

เป็นรูปแบบ WIFI-Security ที่ใช้รหัสของใครของมันครับ และรหัสนั้นจะผูกกับ MAC Address ของ Clients ที่เชื่อมต่อ ใน Omada รองรับการกำหนด Dynamic VLAN แต่ผมเห็นใน SSID Profile เลือก PPSK Profile ได้แบบเดียว อาจจะต้องสร้าง Project Group ใหม่กรณีที่ต้องการใช้ SSID ชื่อเดียวกัน แต่อยู่คนละ VLAN

RADIUS

ใน TP-Link Controller จะมี RADIUS Server ในตัวครับ เรื่อง Spec เดี๋ยวผมขอหาข้อมูลอีกที

รองรับ Authentication แบบ User Authentication และ MAC Authentication

ทดสอบ Authentication แบบ User/Password ครับ

Authentication

Portal

อีกรูปแบบของการทำ Authen ครับ จะมีหน้า Captive Portal ให้ User ใส่รหัส หรือ ลงทะเบียนก่อน

พวกกรอกรหัสทางผมเคย Review ไปใน Omada Controller ที่มีมาใหม่คือ From Auth ครับ ให้ User ทำการลงทะเบียนก่อนใช้งาน

หน้าตาช่องข้อมูลสำหรับให้ User ลงทะเบียน แก้ไขได้ตามต้องการครับ

ข้อมูลที่ User ทำการลงทะเบียน

802.1x

รองรับ Protocol 802.1x ใน FW ที่ผมทดสอบตอนนี้ยังรอบรับแค่ในส่วนของ Network Switch ครับ ยังไม่รองรับในส่วน Access Point ครับ ถ้าเมื่อไหร่ที่รองรับนี้จะง่ายมากๆเลย สามารถกำหนด Dynamic VLAN ให้แต่ละ Users ได้ด้วย

กำหนด Authen แบบ Port Based เมื่อ Client เชื่อมต่อเข้ามายัง Port ที่กำหนด ที่ NIC ใน Windows ให้ทำการ Enable 802.1x ก็จะมี Popup ให้ใส่ Username/Password ครับ

รายละเอียดของเครื่องที่เชื่อมต่อเข้ามาผ่าน Authen แบบ 802.1x

VPN

สำหรับ VPN ใน TP-Link Omada-Pro รองรับ VPN แบบ IPSec, L2TP with IPSecs, PPTP, SSL VPN และ EoGre Tunnel

Site-To-Site VPN กรณีที่ TP-Link Gateway ถูกควบคุมโดย Controller ตัวเดียวกัน สามารถเลือก Auto IPSecs ได้เลยครับ เดี๋ยวถ้ามีโอกาสจะทดสอบอีกครั้งครับ

Client-To-Site ทดสอบสร้าง VPN L2TP with IPSecs ให้ Windows ทำการเชื่อมต่อเข้ามา

Service

ใน Omada-Pro จะมี Export Data เพิ่มขึ้นมาครับ สำหรับ Export ข้อมูล Omada Device และข้อมูลของ Client ออกมาเป็น Excel ได้

ขอ Review เท่านี้ก่อนนะครับ ^^

เดี๋ยวเก็บตกพวกรายละเอียดต่างๆในส่วนของ Hardware และการ Config แต่ละอุปกรณ์อีกที

โดยรวมแล้ว ข้อแตกต่างระหว่าง Omada Pro กับ Omada จะเป็นพวก Security ต่างๆเช่นพวก Wireless IDS/IPS, DPI, SD-WAN , Detail Log ต่างๆ ที่ละเอียด ทั้งในส่วน Hardware, การเชื่อมต่อ WIFI ของ Clients ช่วยให้เราวิเคราะห์และแก้ไขปัญหาได้ง่ายมากขึ้น

การ Authen ในรูปแบบต่างๆก็ทำได้ค่อนข้างง่าย ตอนนี้ยังไม่มีจำหน่ายอย่างเป็นทางการ (02/12/2024) คงต้องรอ Firmware ที่สมบูรณ์ทุกอย่างแล้วครับ ไม่ว่าจะเป็นพวก DPI หรือ SDWAN

คุณภาพของ Hardware ออกแบบได้ดีเป็น การระบายความร้อน Industrial-Grade ยิ่ง Network Switch นี้น่าจะทนสุดๆ ส่วน Access Point เปิดทิ้งไว้ 24 ชั่วโมง จับแล้วยังแค่อุ่นๆ