Review TP-Link Omada Pro อุปกรณ์เครือข่ายระดับองค์กร

TP-Link Omada Pro อุปกรณ์เครือข่ายระดับองค์กร

สวัสดีครับ

ทางร้านได้มีโอกาสทดสอบอุปกรณ์ TP-Link Omada Pro ซึ่งเป็น Solution Netwrok ที่รองรับงานระดับองค์กรที่มี User เป็นจำนวนมาก

TP-Link Omada Pro ที่ได้มามีครบ Set เลย 😄

TP-Link Router G36 รองรับ Loadbalance, VPN

TP-Link Omada Pro Controller C5300

L3-Managed Multi-Gig POE Switch S6500-48MPP6Y

TP-Link Access Point AP9670 WIFI 6 4x4 MU-MIMO

ทีแรกผมตั้งใจจะลงรูป Hardware ด้วย แต่เดี๋ยวรูปมันจะเยอะเกินไป ขอลงในส่วน GUI รวมถึง Feature ต่างๆละกันครับ

ผมจะเปรียบเทียบกับรุ่น Omada ธรรมดาด้วยครับ แตกต่างกับรุ่น Pro ยังไงบ้าง

อุปกรณ์ TP-Link Omada-Pro ทุกตัว ถ้าจะ Managed ผ่าน Controller จะมีค่า License Subscription แต่ราคายังไม่ออกมาเลยครับ ^^

การเพิ่มอุปกรณ์เข้า Omada Controller เพื่อความง่าย เชื่อมต่ออุปกรณ์ทั้งหมดให้อยู่ Network เดียวกันก่อน แล้ว Adopt เป็นอันเสร็จเรียบร้อยครับ

Omada Management

 ในการจัดการอุปกรณ์ TP-Link Omada ผ่าน Controller จะแยกออกเป็น Global View และ Project View (เลือกที่ Menu ด้านขวาบน)

Global View

สำหรับ Global View เป็นการจัดการอุปกรณ์ Controller, ดู Log, ตรวจสอบการ Config ต่างๆผ่าน Audit Log, Upgrade Firmware อุปกรณ์ และ จัดการ License

Controller Settings

สำหรับจัดการอุปกรณ์ Controller, จัดการ IP Address, Time Zone, Accout Security 2FA, ตั้งค่า Email Server, เปิดใช้งาน Build-In RADIUS Server, เชื่อมต่อ TP-Link Cloud ฯลฯ

เมื่อเชื่อมต่อกับ TP-Link Cloud เราจะจัดการและดูแลระบบอุปกรณ์ TP-Link Omada จากที่ไหนก็ได้ครับ Remote ไปยัง Site งานได้เลย

Device

รายการ TP-Link Omada Device เข้าไป Override ค่า Config ต่างๆได้ครับ

แต่ละ Device จะต้องมี License สำหรับการ Managed อุปกรณ์ผ่าน Omada-Pro Controller

Audit Log

สำหรับตรวจสอบว่ามีการ Config อะไรไปบ้าง มีใคร Login เข้ามา

Project View

สำหรับจัดการ Config อุปกรณ์ TP-Link Omada ที่อยู่ใน Project ครับ ตรงนี้มีลูกค้าหลายๆท่านเคยสอบถามเข้ามา จะเข้าไป config พวก WAN, SSID จากตรงไหน เพราะ Default จะเป็นหน้า Global View ไม่สามารถเข้าไป Config ภายในอุปกรณ์ได้

Statistic

Performance การทำงานของอุปกรณ์ ส่วน Application Analytics โดยหลักการจะเป็นพวกสถิติการใช้งานในระดับ Application ของ Client ครับ แต่ต้อง เปิด DPI ซึ่งตอนนี้ยังเปิดไม่ได้

MAP

Network Topology, รองรับการทำ Heatmap

Abnormal

ตรวจสอบเหตุการณ์ที่ผิดปกติ ที่จะทำให้ระบบเครือข่ายมีปัญหา (มีเฉพาะ Omada-Pro) จะช่วยให้เราวิเคราะห์สาเหตุและแก้ไขปัญหาได้รวดเร็ว ไม่ต้องมานั่งงมกันหน้างาน คือ Network ระดับองค์กรนี้ถ้าล่มนานๆนี้งานเข้าเลยละครับ

Feature Abnormal ใน Omada-Pro ช่วยหาสาเหตุของปัญหาได้เยอะเลย

รายละเอียดที่ทำให้ระบบมีปัญหา

ตัวอย่าง เกิด Loop ขึ้น ถ้า set Mail-Server ไว้ แจ้งเตือนผ่าน mail ได้เลย

รายละเอียดเหตุการณ์ที่ไม่ปกติทั้งหมดที่ Omada Pro สามารถตรวจสอบได้ พวกอุปกรณ์ Offline บ่อยๆนี้ส่วนใหญ่เป็นที่สาย LAN กับเข้าหัว LAN ไม่ดีครับ

Network Health

ตรวจสอบการทำงานของอุปกรณ์ของอุปกรณ์ TP-Link Omada, ประสิทธิภาพของ Internet, ประสิทธิภาพการเชื่อมต่อ WIFI ของ Clients, AP ไหนคนใช้เยอะ, AP ตัวไหนมีการเชื่อมต่อแล้วหลุดบ่อย อาการพวกนี้ส่วนใหญ่เลยเป็นที่ระดับสัญญาณครับ ติดตั้ง AP เพิ่ม หรือไม่ก็ทำเป็น MESH ตำแหน่งแถวๆนั้น

ปัญหา Client ไม่ได้ IP นี้ก็สำคัญครับ จะเกี่ยวข้องกับระดับสัญญาณ WIFI ที่รับได้ด้วย

Traffic ในแต่ละ WAN บางที User บ่นว่า Internet ช้า ก็มาดูที่ตรงนี้ได้ครับ

Insights

ตรวจสอบการเชื่อมต่อของอุปกรณ์ในเครือข่าย, แสดงรายละเอียดของ Client ที่เชื่อมต่อเข้ากับ Access Point หรือ เชื่อมต่อกับ Port อะไรของ Network Switch, Client ที่เชื่อมต่อเข้ามาผ่าน Authentication, รายละเอียดการเชื่อมต่อ VPN, Block การเชื่อมต่อของ Clients

Settings

Menu สำหรับการ Config อุปกรณ์ ขอยกตัวอย่าง Feature หลักๆที่น่าสนใจครับ

Site Configuration

จัดการชื่อ Project , Time Zone, Country มีผลกับการตั้ง Radio, เปิดใช้งาน MESH ,เปิดใช้งาน Fast Roaming (802.11k/v), AI Roaming, เปิด Band Steering

t

Loadbalance

Router ที่ใช้ทดสอบเป็นรุ่น TP-Link G36 Omada Pro รองรับ Mode Loadbalance ได้ 5 WAN กำหนดได้ 2 Mode แบบ Weight และ Fail-Over ครับ

รองรับ VLAN 802.1q

ทำ Inter-VLAN โดย Default จะเป็น Connected Route ทำให้แต่ละวงสามารถเชื่อมต่อหากันได้ ถ้าจะ Block ต้องไป Block ที่ Access Control List

การ Set Port Trunk/Access VLAN บน Switch ทำค่อนข้างง่ายครับ สร้าง Profile แล้ว Click เลือกที่ Switch Port ได้เลย จะให้เป็น Access Port หรือ Trunk Port

Wireless

สำหรับ Config SSID, Wireless Security รองรับ WPA2 Enterprise, WPA2 Enterprise,  PPSK, ใน TP-Link Omada Controller จะมี Build-In RADIUS Server ในตัว สามารถใช้กับ WPA Enterprise ได้เลยครับ

Multi-SSID VLAN Tagging, Client Rate Limit กำหนดความเร็วให้กับ Client, SSID Rate Limit กำหนดความเร็วแต่ละ SSID, WLAN Schedule สำหรับตั้งเวลาเปิด/ปิดสัญญาณ WIFI, MLO สำหรับ WIFI-7 ที่เป็น Tri-Band 2.4/5/6GHz

WLAN Optimize

Mode การปรับปรุงคุณภาพสัญญาณ WIFI สำหรับ Omada-Pro จะมีการ Scan สัญญาณรบกวนจากอุปกรณ์อื่นๆด้วยครับ มีการเก็บบันทึกข้อมูลการใช้งานของ Client เพื่อปรับแต่งช่องสัญญาณ, txPower และ Channel Width ให้ดีที่สุด

Bandwidth Control

กำหนดความเร็ว Internet ให้กับ Client, รองรับ Threshold Control เช่น กำหนดไว้ที่ 80% กรณีที่มีการใช้งาน Internet ยังไม่ถึง 80% ของความเร็ว Internet ที่กำหนดไว้ที่ WAN จะไม่มีการจำกัดความเร็วของ Client

แต่เมื่อไหร่ที่มีการใช้งาน Internet เกินค่า Thershold จะมีการกำหนดความเร็ว Internet ให้กับ Client

Security

Security ที่มีเฉพาะใน Omada-Pro จะเป็น Wireless IDS/IPS ผมเองก็ไม่ค่อยชำนาญเท่าไหร่ อารมณ์ประมาณเฝ้าระวังรูปแบบการโจมตีต่างๆ โดยเทียบกับข้อมูลที่ทางเรามีว่า Packet แบบนี้วิ่งเข้ามาคือการโจมตีแล้วนะ รวมถึงตรวจสอบพวก AP แปลกปลอมที่มาวางหลอกไว้ในระบบให้ User ทำการเชื่อมต่อแล้วทำการ Sniffer ข้อมูลไป

OUI Based VLAN

 อธิบาย OUI นิดนึงครับ

ค่า MAC Address (Media Access Control Address) ใน Network Card / Wireless Card จะแบ่งเป็น 2 ส่วนครับ

ตัวอย่าง MAC Address 00:1A:2B:3C:4D:5E

ส่วนแรก 00:1A:2B - OUI (Organizationally Unique Identifier)ใช้ระบุผู้ผลิตหรือองค์กรที่ผลิต Network Card หรือ อุปกรณ์เครือข่าย

ส่วนสอง 3C:4D:5E - NIC (Network Interface Controller) เป็นหมายเลขเฉพาะของNetwork Card หรือ อุปกรณ์เครือข่ายที่ผู้ผลิตกำหนด

ใน TP-Link Omada-Pro รองรับ OUI Based VLAN เป็นการกำหนด Dynamic VLAN ให้กับ Client ที่มีหมายเลข OUI ตรงตามที่กำหนด

ตัวอย่างการ Config

D-Link NIC มีค่า OUI = A8-63-7D

กำหนด Dynamic VLAN ที่ Port 3 และ 4 ของ Network Switch เมื่อมี Network Card ที่มีหมายเลข OUI = A8-63-7D ให้จัดสรร VLAN 10 ให้

ส่วนตัวอย่างนี้ใช้ OUI ของ Apple เมื่อเชื่อมต่อ WIFI เข้ามาให้จัดสรร VLAN 20 (ต้อง Disable ที่อยู่ WIFI แบบส่วนตัวใน Smartphone ไม่งั้นมัน Random MAC)

จากที่ทดสอบ ถ้าหมายเลข OUI ไม่ตรง จะได้ VLAN Managed ครับ ยังไม่ค่อยตอบโจทย์เรื่อง Security เพราถ้าไม่ตรงกับที่กำหนด ควรจะไม่ให้มีการเชื่อมต่อหรือมี Option ให้เลือกว่าจะไปอยู่ที่ VLAN อะไร

PPSK

PPSK (Private Pre-Shared Key) เป็นรูปแบบ WIFI-Security ที่ใช้รหัสของใครของมันครับ และรหัสนั้นจะผูกกับ MAC Address ของ Clients ที่เชื่อมต่อเข้ามาใน Omada จะไม่สามารถนำรหัสนี้ไปให้ Client เครื่องอื่นเชื่อมต่อได้อีก

รองรับการกำหนด Dynamic VLAN แต่ผมเห็นใน SSID Profile เลือก PPSK Profile ได้แบบเดียว อาจจะต้องสร้าง Project Group ใหม่กรณีที่ต้องการใช้ SSID ชื่อเดียวกัน แต่อยู่คนละ VLAN

RADIUS

ใน TP-Link Omada Controller มี RADIUS Server ในตัวครับ เรื่อง Spec/Limitation เดี๋ยวผมขอหาข้อมูลอีกที

รองรับ Authentication แบบ User Authentication และ MAC Authentication

ทดสอบ Authentication แบบ User/Password ครับ

Authentication

Portal

รูปแบบของการทำ Portal Authen จะมีหน้า Captive Portal ให้ User ใส่รหัส , ใส่ Username/Password หรือต้อง ลงทะเบียนก่อน

พวกการใส่รหัสทางผมเคย Review ไว้ใน Omada Controller Review TP-Link OC-300 Omada Network Controller

ที่มีมาใหม่คือ From Auth ครับ เป็นการให้ User ทำการลงทะเบียนกรอกข้อมูลก่อนใช้งาน Internet

หน้าตาช่องข้อมูลสำหรับให้ User ลงทะเบียน แก้ไขได้ตามต้องการครับ

ข้อมูลที่ User ทำการลงทะเบียนอาจจะนำไปทำ Marketting

802.1x

รองรับ Protocol 802.1x

ใน FW ที่ผมทดสอบตอนนี้ยังรอบรับแค่ในส่วนของ Network Switch ครับ ยังไม่รองรับในส่วน Access Point ถ้าเมื่อไหร่ที่รองรับนี้จะง่ายมากๆเลย สามารถกำหนด Dynamic VLAN ให้แต่ละ Users ที่เชื่อมต่อเข้าได้ด้วย

กำหนด Authen แบบ Port Based เมื่อ Client เชื่อมต่อเข้ามายัง Port ที่กำหนด, ให้ทำการ Enable 802.1x ใน NIC ใน Windows ก็จะมี Popup ให้ใส่ Username/Password ครับ

รายละเอียดของเครื่องที่เชื่อมต่อเข้ามาผ่าน Authen แบบ 802.1x

VPN

สำหรับ VPN ใน TP-Link Omada-Pro รองรับ VPN แบบ IPSec, L2TP with IPSecs, PPTP, SSL VPN และ EoGre Tunnel

Site-To-Site VPN กรณีที่ TP-Link Gateway ถูกควบคุมโดย Controller ตัวเดียวกัน สามารถเลือก Auto IPSecs ได้เลยครับ เดี๋ยวถ้ามีโอกาสจะทดสอบอีกครั้ง

Client-To-Site ทดสอบสร้าง VPN L2TP with IPSecs ให้ Windows ทำการเชื่อมต่อเข้ามา

Service

ใน Omada-Pro จะมี Export Data เพิ่มขึ้นมาครับ สำหรับ Export ข้อมูล Omada Device และข้อมูลของ Client ออกมาเป็น Excel ได้

ขอจบ Review เท่านี้ก่อนนะครับ ^^

เดี๋ยวเก็บตกพวกรายละเอียดต่างๆ เช่น Hardware และการ Config ในแต่ละอุปกรณ์อีกที

โดยรวมแล้ว ข้อแตกต่างระหว่าง Omada Pro กับ Omada จะเป็นพวก Security ต่างๆเช่นพวก Wireless IDS/IPS, DPI, SD-WAN ,พวก Log ที่ละเอียดมากขึ้น ทั้งในส่วน Hardware, การเชื่อมต่อ WIFI ของ Clients ความผิดพลาดต่างๆในระบบเครือข่าย จะช่วยให้เราวิเคราะห์และแก้ไขปัญหาได้ง่ายและรวดเร็วมากขึ้น

การ Authen ในรูปแบบต่างๆก็ทำได้ค่อนข้างง่าย ตอนนี้ Omada-Pro ยังไม่มีจำหน่ายอย่างเป็นทางการ (02/12/2024) คงต้องรอ Firmware ที่สมบูรณ์ทุกอย่างแล้วครับ ไม่ว่าจะเป็นพวก DPI หรือ SDWAN จะทำให้คุ้มค่ามากขึ้น

คุณภาพของ Hardware ออกแบบได้ดีเป็น การระบายความร้อน Industrial-Grade ยิ่ง Network Switch นี้น่าจะทนสุดๆ ส่วน Access Point การระบายความร้อนที่ดีมาก เปิดทิ้งไว้ 24 ชั่วโมง จับแล้วยังแค่อุ่นๆ