Review Ubiquiti Unifi Dream Machine Special Edition (UDM-SE)

Review Ubiquiti Unifi Dream Machine Special Edition (UDM-SE)

ทาง Ubiquiti ได้ออก Unifi Dream Machine รุ่นใหม่มา เป็นรุ่น Special Edition ครับ


๊Unifi Dream Machine (UDM) เป็นอุปกรณ์ All-In-One มี Gateway + Switch + Controller สำหรับจัดการ Unifi Device เช่น Access Point, Network Switch + Unifi Protect (ระบบ CCTV) + Unifi Door Access (ระบบ Security) และ Unifi Talk (ระบบ VOIP)


UDM-SE มัน Special ตรงไหนบ้าง ??

หลักๆที่แตกต่างจากรุ่น UDM-Pro ก็ตามนี้ครับ

1. เพิ่ม Port Lan RJ45 ความเร็ว 2.5Gbps 1 Port (WAN)
2. Port Lan 8 Port จ่ายไฟ POE มาตรฐาน 802.3af กำลังไฟสูงสุด 50W (น้อยไปนิด)
3. Build-In SSD Storage 128GB

นอกนั้น Hardware Spec จะเหมือนกับรุ่นเดิมหมด CPU ARM Cotex Quad core 1.7GHz , RAM DDR4 4GB, 16GB eMMC Flash Storage, Throughput ได้ 8Gbps (ปิด IDS/IPS) ถ้าเปิด IDS/IPS จะได้ Throughput สูงสุด 3.5Gbps

Feature หลักๆ

• รองรับการทำ Loadbalance ในแบบ Fail-Over และ Weight-Balance
• Internet Threat Management เป็นการจัดการระบบความปลอดภัยจากการใช้งาน Internet เช่นจากการโดน hacking, Viruses และ Malware
• IDS/IPS จัดการ Scan Virus และ Malware จัดการหรือ Block Traffic ระดับ Application
• QOS, Bandwidth management
• DNS Content Filtering บล็อกการรับส่งข้อมูลจากไซต์ที่มีเนื้อหาที่เป็นอันตราย ฟิชชิง หรือเนื้อหาสำหรับผู้ใหญ่
• GeoIP Filtering จัดการ Block Traffic ทั้ง outgoing, incoming กับประเทศที่ต้องการ Block
• รองรับการทำ Loadbalance 2 WAN

มี 8 Port LAN Gigabit, 1 Port Lan 2.5Gbps, 2 Port SFP+ 10Gbps ใส่ HDD ขนาด 3.5 นิ้ว รองรับความจุสูงสุด 16TB (ไม่มีในชุด ซื้อเพิ่มครับ)




Port 8 (RJ45 1Gbps), 9 (RJ45 2.5Gbps), 10 (SFP+ 10Gbps) และ 11 (SFP+ 10Gbps) เปลี่ยน LAN/WAN Mode ได้ครับ





LED Display Status

1. Initial Config อุปกรณ์ UDM-SE

ไม่ยากครับ เชื่อมต่อเข้า Port Lan ของ UDM โดยที่ Default IP จะเป็น 192.168.1.1 และทำตาม Wizard ได้เลย


*** แนะนำ ยังไม่ต้องต่อ Internet  ให้ Config แบบ Local ไปก่อน ***




จากนั้นเชื่อมต่อ Internet และ Config Internet ให้เรียบร้อย และ ทำการ Upgrade Firmware 


Version ล่าสุดจะเป็น Unifi OS Version 3.0.13




รองรับ Managed อุปกรณ์ Unifi Network เช่น Access Point, Switch, Unifi Protect พวกกล้องระบบ CCTV, ระบบ Access Door, ระบบ Unifi Talk

2. หน้า Dashboard

อยากให้ออก Report ได้จริงๆ




รายละเอียด Traffic ที่ใช้งาน แยกประเภทตาม Application




รายละเอียดของ Client ที่เชื่อมต่อเข้ามาใน Network





แสดงการใช้งาน Application ต่างๆ

3. Loadbalance Mode

จากตัวอย่างที่ทดสอบ มี Internet 2 เส้น 
WAN1: TRUE ความเร็ว 500Mbps เชื่อมต่อแบบ PPPoE
WAN2: 3BB ความเร็ว 1Gbps เชื่อมต่อแบบ DHCP Client ต่อเข้า Router อีกที


การ Config WAN ก็คล้ายๆกันกับ Router ทุกยี่ห้อครับ

กำหนดความเร็ว Internet, รองรับ Dynamic DNS หลายค่ายอยู่ อย่าง dyndns และ no-ip รวมถึงรองรับ IPv6




ผมไม่แน่ใจ Firmware ก่อนหน้านี้มันรองรับให้ Port 8 เปลี่ยนเป็น WAN Port หรือไม่นะครับ ตอนนี้กำหนดให้ Port 8 เป็น WAN 1 และ Port 9 เป็น WAN 2




Loadbalance มีให้เลือก 2 Mode 
Failover Only: เลือก WAN นึงเป็นเส้นหลัก และอีก WAN นึงเป็น Backup เมื่อเส้น WAN หลักล่ม เส้น Backup ถึงจะทำงาน
Distributed: วิ่งออกทั้ง 2 เส้น โดยจะต้องกำหนดอัตราส่วนว่าวิ่งเส้นใดมากน้อยแค่ไหน 


ทดสอบ Fail-Over ในกรณีที่เส้นใดเส้นนึงหลุดการเชื่อมต่อ

ถือว่าค่อนข้างเร็วในการสลับเส้นให้ ทาง Ubiquiti ใช้วิธีการ ping ไปที่ ui.com ส่วน Distributed Mode ไม่มีปัญหาเรื่องสลับเส้นอยู่แล้วครับ

4. Network 

เป็นการสร้าง Network (ปกติผมจะเรียกว่าสร้าง Inter-VLAN ^^)   กำหนด IP Address, VLAN ID, DHCP Server, รองรับ IGMP Snooping

ตัวอย่างผมสร้างเพิ่มมาอีก 2 VLAN
VLAN 10: 10.0.10.1/24
VLAN 20: 10.0.20.1/24




Port Switch ใน UDM เมื่อเราสร้าง Inter-VLAN ขึ้นมา ถ้าจะ Untaged VLAN แต่ละ Port เช่น Port 3,4 เป็น VLAN 10 ต้องสร้าง Port Profile กันก่อนครับ


จากรูป เป็นการสร้าง Port Profile โดยเป็น VLAN 10 และ ยอมให้เชื่อมต่อไปยัง VLAN 30 (CCTV) ได้



ไปที่ Device เลือก Port Management จะมี GUI จัดการ Port ของอุปกรณ์ UDM





เลือก Port ที่ต้องการ จากนั้นกำหนด Port Profile

ในตัวอย่างเป็น Port 3 และ 4 ให้เป็น VLAN 10 เมื่อมี Client ต่อเข้ามาใน 2 Port นี้จะได้ IP ในวง VLAN 10 และเชื่อมต่อไปยัง VLAN 30 ได้



พยายามหาวิธีทำ Link Aggregate แต่ไม่เจอครับ ปกติจะเลือก Port Profile --andgt; Operation แล้วเลือก Link Aggregate แต่ไม่ยักกะมีใน UDM


ส่วน Content Filtering เดี๋ยวขอลองอีกที ^^

5. WIFI

สำหรับสร้าง SSID (WIFI)

ทำการ Add Access Point เข้าไปก่อนนะครับ ตัวอย่างผมใช้ Unifi U6-Enterprise รองรับ คลื่น 6GHz ด้วย แต่ไม่มี Device ให้ทดสอบ




สร้าง SSID 




Network: ถ้าจะทำ Multi-SSID VLAN Tagging ให้ทำการสร้าง VLAN ใน Menu Network ก่อนครับ
Broadcast APs: เลือก Access Point ที่จะปล่อย SSID ชื่อที่สร้าง
WIFI Band: เลือกย่านความถี่ที่จะปล่อย
WIFI Type: เป็น Standard หรือ เป็นแบบ Hotspot (รายละเอียดอยู่ในข้อ 6)
Band Steering: ปล่อยทุกๆย่านความถี่ในชื่อเดียวกัน (Client มันชอบไปเกาะ 2.4GHz ถ้าทดสอบความเร็ว Internet แล้วช้า อาจจะเพราะ Client มันเกาะ 2.4GHz อยู่ ถ้าอยากได้เร็วๆ แนะนำสร้าง 2 ชื่อแยกความถี่กันครับ)
Bandwidth Profile: กำหนดความเร็วให้กับ Client
Fast Roaming: ถ้า Client ไม่รองรับ Roaming มาตรฐาน 802.11r ให้ Enable
Security: WIFI Security แนะนำเลือก WPA2/WPA3 




กำหนด Channel Width และ Transmit Power ถ้าติดตั้งในโรงแรมแนะนำที่ 20 หรือ 40MHz ก็พอ

Wireless Connectivity: Wireless Meshing ถ้า Access Point ตัวไหนมีการ Enable Mesh ไว้ พอเราถอดสาย LAN ออกจะสลับเป็น Mode MESH ให้อัตโนมัติ (แต่ต้องมีไฟเลี้ยงด้วยนะครับ)

Channel Optimization: จะเป็นการจัดการเรื่อง Channel ต่างๆที่ Controller คุมอยู่ ไม่ให้ชนกันเอง หรือ ถ้ามีชาวบ้านมาชน ก็จะเลี่ยงไป Channel อื่นให้ ถ้าเลี่ยงไม่ได้แล้ว จะเป็นการปรับกำลังส่งลง

AP Excludsions: กรณีต้องการให้ Access Point บางตัว ไม่ต้องปรับแต่ง Channel อัตโนมัติ เพราะบางทีไปเจอสัญญาณตัวอื่น เลี่ยงก็ไม่ได้ พวกปรับกำลังส่งซะต่ำเตี้ยติดดินเลย 

6. Hotspot

ใน Guest Mode รองรับการทำ Authen ได้หลายรูปแบบ เช่น Facebook WIFI, Login ด้วย Password, Voucher, We Chat รองรับระบบ Payment ของ Paypal และ RADIUS Server

ตัวอย่างผมสร้าง SSID Guest จะผูกกับ VLAN 20 


รายละเอียด Captive Portal ค่อนข้างปรับแต่งได้เยอะพอสมควรเลย




มี Backgroud Template ให้เลือกใช้ ปรับแต่งสี, ข้อความต่างๆได้




ถ้าต้องการกำหนดความเร็วให้แต่ละ User เข้าไปสร้าง Bandwidth Profile ได้เลยครับ






ทดสอบ




จำกัดความเร็วไว้ที่ 20Mbps



*** พวก Facebook Login เดี๋ยวขอลองอีกทีนะครับ ***

7. VPN

รองรับ WireGuard และ L2TP With IPSecs ใน Spec รองรับ Throughput ได้สูงถึง 800Mbps

ทดสอบ L2TP ก่อน เพราะการ Config ไม่มีอะไรมาก 

กำหนด Pre-shared Key
Server Address: กำหนดขา WAN
User Authentication: Username/Password ที่ Dial-Up เข้ามา สามารถชี้ไปที่ User จาก RADIUS Server ได้
Gateway/Subnet: กำหนดอัตโนมัติ




ทดสอบ Dial-Up ด้วย Windows 






Client ที่ VPN เข้ามาจะแสดงอยู่ใน Device List




ทดสอบโยนไฟล์ไปที่ Client ฝั่ง สนง. ได้ความเร็วประมาณ 20MB/s = 160Mbps

8. Traffic management

เป็นการจัดการ Traffic แบ่งแยกได้ระดับ Application สามารถกำหนดให้แต่ละ Client หรือ แต่ละวง Network ได้ครับ

** การจัดการเรื่อง Traffic จะทำให้ความเร็ว Internet โดยรวมลดลงครับ **





Ad Blocking: น่าจะเป็นการ Block พวก Ads ไม่แน่ใจครับ เดี๋ยวว่างๆขอหาข้อมูลเพิ่ม
Networks: เลือกวง Network ที่ต้องการจัดการเรื่อง Traffic


ตัวอย่าง

Block Bittorrent, Netflix, Youtube ฯลฯ




Taget: เลือก Block ทุก Client หรือ เลือก Client/Network ที่ต้องการจะไม่ให้ใช้งานได้
Schedule: กำหนดช่วงเวลาในการจัดการ Traffic ได้




กำหนดได้สูงสุด 8 Rules




ลองเข้า Youtube จะขึ้น Error แบบนี้ Web อื่นๆที่โดน Block ก็จะเหมือนกัน

สรุป Block อยู่ครับ




ทดสอบ Download Bittorrent นิ่งสนิท




ส่วนรูปนี้เป็นการจัดการ Speed Limit ให้กับ Application Bittorrent

9. Traffic Route

เป็นการทำ Policy Base Routing (PBR) กำหนดว่า Traffic ต้นทางที่มาจาก Client หรือ วง Network ออก WAN เส้นที่เรากำหนด

หรือ ปลายทางเป็น Website อะไร IP อะไร ให้วิ่งไปเส้นทาง WAN ที่กำหนด




ตัวอย่าง

ให้ทุกๆ Trafic ที่มาจาก Client ชื่อ YOD-LAPTOP ออก WAN TRUE




ทดสอบด้วยการ Traceroute ไปที่ 8.8.8.8 และลองสลับให้ออก WAN 3BB รวมถึงกรณีที่เส้น WAN ที่เราระบุให้ออกมันล่ม Traffic มันควรจะต้องวิ่งไปที่ WAN อีกเส้นให้อัตโนมัติ

10. Forward Port

เป็นการ Forward Port จากข้างนอกเข้ามาในระบบ

ตัวอย่าง

Forward Port เข้ามาที่ Unifi Controller ที่ติดตั้งบน Windows

11. Firewall andamp; Security

Threat Mangement เป็นระบบป้องกันการโดนโจมตีตามช่องทางต่างๆครับ

Country Restriction: อนุญาติให้เชื่อมต่อไปยัง IP ประเทศไหนได้บ้าง หรือ Block ไม่ให้เข้า IP ประเทศนั้นๆ
Threat Management: จัดการเมื่อเกิดการโจมตีเข้ามาผ่านช่องทางทีกำหนด จะ Block หรือแค่แจ้งเตือน




ช่องทางการโจมตี ที่จะให้ระบบจัดการตรวจสอบ ยิ่งเลือกเยอะ ยิ่งช้าครับ แต่ก็ปลอดภัยดี

12. Push Notification

กำหนดแจ้งเตือนเมื่อมีการ Managed อุปกรณ์ ให้ส่งเป็น email ได้

น่าจะมี Alert ในระดับ Hardware ด้วย อย่างเช่นอุปกรณ์ตัวไหน Down ตัวไหน Loop, Port มีปัญหา

13. Remote Access

เป็นการ Remote ไป Managed อุปกรณ์ UDM ผ่าน Cloud ครับ เบื้องสมัคร Account ที่ https://unifi.ui.com ให้เรียบร้อย แล้วไป Enable Remote Access ใน Menu Console Setting



เวลาไม่ได้อยู่ที่ Site งาน ก็เข้า unifi.ui.com เราก็จะเข้ามา Manged อุปกรณ์ได้ครับ





สรุป
อุปกรณ์ UDM มัน Config ง่ายจริง แต่ต้องเข้าใจ Step ในการ Config นิดนึง
ยังหาการ Config Link Aggregate ไม่เจอ ถ้าต้องการ Throughput มากกว่า 1Gbps ต้องเลือกใช้ Port SFP+ หรือ ไม่ก็ Port LAN 2.5Gbps ครับ
ราคาค่อนข้างแรงไปนิด แต่ถ้าใช้อุปกรณ์ Ubiquiti ทั้งระบบ เช่น Access Point หลายๆสิบตัว, Network Switch, กล้อง Unifi Protect เหมาะเลยครับ


เท่านี้ก่อนครับผม รูปเริ่มเยอะ ถ้าไม่ติดอะไรเดี๋ยวจะทดสอบเรื่อง Facebook Login และ RADIUS ใน UDM ครับ จะ Update กันอีกที


ขอบคุณมากครับ