Eind van het vorige jaar had ik een tweetal Access Points (AP) van Ubiquiti in huis hangen. Ik zocht iets met meer mogelijkheden, meer Enterprise feeling maar toch voor een normale prijs. Na de review van de Ubiquiti Access Points en Cloud Key was ik erg gecharmeerd van de producten van het merk en dit smaakte wel naar meer. Ditmaal bestaat de setup uit het bekende UniFi AC-Pro Access Point, een Cloud Key, de 8-poort Switch met Power Over Ethernet en aan de rand van het netwerk een Secure Gateway. It’s review time!
Ubiquiti levert een heel breed arsenaal aan producten voor je netwerk. Zowel traditioneel met draad, als draadloos. Dit laatste is overigens wel de core business van het merk hoor. Niet alleen voor in huis of kantoor, maar ook bijvoorbeeld een straalverbinding naar een locatie een eind verderop. Reuze keuze aan producten en over het algemeen voor een scherpe prijs. Om meer met de Ubiquiti producten te kunnen doen en vooral meer inzicht te krijgen voor wat betreft de mogelijkheden waren de mensen van WiMood zo aardig om een set aan te bieden voor mijn netwerk.
Samen met Ubiquiti en WiMood hebben we een opstelling gekozen die het prima doet voor de veeleisende prosumer thuis. Maar ook in een klein bedrijf met een paar man kun je dit prima wegzetten. Qua functionaliteit is er geen verschil in wat voor omgeving je hebt plaatst. De switch is er bijvoorbeeld ook in 24-poort uitvoering die 250W kan leveren. Is dit niet genoeg dan stap je gewoon naar de 48-poort 750W uitvoering. De oplossing is hiermee erg goed te schalen. Hetzelfde is het geval voor de router/firewall oplossing in de vorm van de UniFi Secure Gateway (USG). De variant die ik hier heb kan tot 200 gebruikers zijn werk doen. Wordt dit een beperking dan upgrade je simpelweg naar de grotere variant en zet je de limiet een factor 10 hoger.
Ook bij de UniFi switch en Secure Gateway is het niet per definitie nodig om gebruik te maken van een Cloud Key voor het beheer. Zoals je in mijn vorige review hebt kunnen lezen is het wel erg makkelijk om hem erbij te hebben. Voor mij is de belangrijkste reden het centrale punt van beheer. Heb je de Cloud Key niet dan moet je ergens zorgen dat je de controller software installeert en vanuit hier het beheer doet. Heb je thuis of binnen je bedrijf een managementserver in je netwerk dan is dit een prima plek om de installatie van de controller software op uit te voeren. Heb je dit niet dan is een Cloud Key zeer handig. Gecombineerd met de UniFi Switch die ik in deze review gebruik kun je ook nog eens handig profiteren van Power over Ethernet. Ook voor een eventueel Access Point.
UniFi US-8-60W Switch
Als je de doos van deze switch in je handen hebt dan merk je direct al dat hij niet de lichtste is. Dat vind ik wel een voordeel want voor deze prijs en in dit segment verwacht je geen goedkoop plastic ding. Dit is bij de US-8-60W dan ook zeker niet aan de orde want hij is volledig van metaal. Het voelt solide, is keurig afgewerkt en past mooi in de productserie qua looks. Nu maakt dit voor de prestatie misschien niet uit maar het oog wil ook wat tenslotte.
4 Poorten met Power over Ethernet
Aan de voorzijde van de switch heb je toegang tot 8 x 1 Gigabit-poorten. Ubiquiti noemt deze poorten “Non-blocking Throughput” waarmee ze aangeven dat je daadwerkelijk gelijktijdig de beschikking hebt over 8 datastromen van 1 Gigabit. De laatste vier van deze poorten bieden de mogelijkheid voor Power over Ethernet. De poorten werken volgens de 802.3af standaard wat inhoud dat zij eerst detecteren of er een PoE-geschikt apparaat op de poort is aangesloten, dan detecteren welk vermogen er nodig is en hierna pas de spanning aanbiedt op de 4 hiervoor bestemde aderparen. Dit wordt ook wel auto-sensing 802.3af genoemd.
Per poort kun je maximaal 15W vermogen gebruiken waarmee het totaal voor deze switch op 60W uitkomt. De switch zelf verbruikt maximaal 12W. Poorten die actief PoE-apparaten bedienen laten dit zien door middel van de oranje leds boven op de poort.
Naast het Ubiquiti logo aan de voorzijde van de switch is ook een led-strip te zien. Net zoals bij het access point en Cloud Key kun je hieraan niet alleen zien of de switch aan staat, maar ook of hij firmware aan het updaten is bijvoorbeeld. Het installeren van de firmware doe je eenvoudig via de Controller, niet anders dan voor je access point.
Netwerkmogelijkheden
Oké, ergens willen we natuurlijk ook dat deze switch iets kan door voor ons netwerk in plaatst van alleen maar PoE. Je hebt op dit model eigenlijk de beschikking over veel features die je ook vaak in veel duurdere switches kunt vinden. Ja, je kunt natuurlijk VLANs gebruiken en hij ondersteund Jumbo frames, zelf port mirroring en Link Aggregation wordt ondersteund. Maar wat hij ook kan, en dat is iets dat je niet altijd tegenkomt in dit prijssegment, is bijvoorbeeld 802.1x. Dit maakt het mogelijk om RADIUS-authenticatie op een VLAN te zetten. Is de gebruiker van de poort niet geauthentiseerd dan heb je ook geen toegang tot bepaalde VLANs.
Het taggen van en VLAN gaat overigens in de UniFi switch best wel op een handige manier. Je kunt netwerkprofielen aanmaken die je voorziet van het gewenste VLAN en die simpelweg selecteren op je poortje. Dit maakt het heel snel en makkelijk om een poort in een bepaald VLAN te zetten omdat je alleen maar aan hoeft te vinken welke netwerken je nodig hebt. Het native VLAN voor de poort is ook te kiezen uit een lijst.
Uitgebreide statistieken over je switch
De UniFi controller bied ruime mogelijkheden voor het in de gaten houden van de prestaties van je switch. Dit is echt iets waarin ik vind dat de UniFi producten in uitblinken. Of het nu je Access Point, switch of secure gateway is, je hebt altijd goed inzicht in hoe alles ervoor staat en de verkeersstromen die je componenten te verwerken hebben.
In het geval van de UniFi Switch kun je via de Insight optie een duidelijk beeld krijgen van de belasting van je switch. Je kunt zien hoeveel vermogen een poort levert aan een aangesloten apparaat (PoE), welke modus de switchpoort heeft, de VLANs en het verkeer dat er doorheen gaat. Je kunt deze gegevens zelfs nog per poort op ieder gewenst moment resetten. Wanneer er iets niet lekker werkt met een aangesloten apparaat voor wat betreft PoE, dan kun je deze poort ook een Power Cycle geven. Hiermee wordt opnieuw door de switch en het aangesloten apparaat onderhandeld voor het leveren van de spanning.
UniFi Security Gateway (USG)
Het is leuk om een draadloos netwerk in huis te hebben en een switch die weet van een VLAN is. Toch moet ergens het verkeer van binnen naar buiten kunnen (lees: het internet) en misschien zelfs wel van buiten naar binnen. Wil je lekker kunnen surfen op je iPad of laptop dan moeten je datapakketjes naar het grote boze internet kunnen. De USG is ontwikkeld om je hierbij te helpen. Het is een router voor je netwerk en levert tegelijkertijd verhoogde beveiliging voor je netwerk. Je wilt immers niet dat iedereen vanaf het internet bij je interne netwerk kan komen.
Router en firewall in één
De mogelijkheid om VLANs te kunnen gebruiken zorgt er vaak ook voor dat je verkeer moet kunnen routeren. Wanneer je de USG gebruikt voor het vervullen van de DHCP-rol in je netwerk dan zorgt hij er zelf voor dat je verkeer naar het internet gerouteerd kan worden. Je kunt daarnaast ook verschillende VLANs routeren door middel van statische routes. Dit maakt hem geschikt om in wat uitgebreidere netwerken ook te gebruiken. Samengevat is het dus een router en beveiligingsapparaat in één.
Je kunt de USG in twee uitvoeringen krijgen. De standaard USG, dit is de variant die ik in deze review gebruik, en de USG Pro 4. Het verschil tussen beide devices is puur de hoeveelheid connecties die ze kunnen verwerken en de standaard dubbele WAN-interface op de Pro 4. Qua functionaliteit is er eigenlijk geen verschil. De Pro 4 is in staat om meer connecties te verwerken vanwege het feit dat de hardware in het apparaat krachtiger is dan de normale USG. Zo vinden we in de Pro 4 een dual-core 1 GHz processor ten opzichte van een 500MHz variant in de USG. De behuizing is overigens ook anders want de Pro 4 is een rackmount uitvoering.
Helaas geen L2TP in de USG
Naast de mogelijkheden om als router en firewall te fungeren kun je ook site-to-site VPN-verbindingen opzetten. Dit doe je rechtstreeks vanuit de Controller zonder tussenkomst van andere software. Hij ondersteunt zelfs client VPN-connecties door als VPN-server te fungeren. Hier slaat Ubiquiti de plank wel even flink mis in mijn optiek. Je kunt namelijk alleen een PPTP-verbinding opzetten naar de USG. En dit zijn niet bepaald nog veilig te noemen anno nu.
Ondersteuning voor L2TP/IPsec is er niet. Apple heeft tegenwoordig niet eens meer de mogelijkheid in OS X om een PPTP-verbinding op te bouwen. Ik hoop dat dit in de toekomst nog gaat veranderen want nu moet ik VPN-poorten door middel van NAT doorzetten naar de L2TP VPN Server op mijn Synology NAS.
Onmiskenbaar lid van de UniFi familie
Aan de voorkant van de USG vind je een drietal Ethernet-poorten. Je hebt een poort voor WAN, LAN en VOIP. Er is nog een vierde poort met RJ45 aansluiting, echter is die gereserveerd als console poort. Mocht je een tweetal internetverbindingen beschikbaar hebben dan kun je de VOIP-poort ook instellen als WAN2-poort. Dit geeft je de mogelijkheid om een failover van je internetverbinding te doen. Aan de bovenkant van de aluminium behuizing kom je het welbekende Ubiquiti logo tegen. Net als bij de andere producten in de UniFi reeks wordt door middel van een led aangegeven in welke staat het apparaat verkeerd. Dit vind ik echt ideaal bij het updaten van firmware of het herstarten van een device.
Firewall instelling zijn nog beta
Het managen van de USG is op dezelfde manier ingericht als bij de UniFi switch en access point. Je adopteert hem in je controller en klaar ben je. Het enige dat direct opviel is dat de mogelijkheden om firewall rules en routes in te stellen in de controller nog de stempel “beta” heeft. Niet iets dat je zo bij een bedrijf wilt introduceren als je het mij vraagt. Staat toch wat knullig.
De technologie erachter werkt overigens perfect en is geen bèta meer. Je kunt de firewall rules namelijk ook vanaf de console toevoegen. Hij ondersteunt SSH en draait een Linux distributie onderwater. Wat mij overigens ook opviel is dat je Port Forwarding bij de eigenschappen van het device instelt in de controller, maar de firewall rules weer bij de instellingen. Zou het niet handiger zijn dit bij elkaar te houden?
Deep Packet Inspection (DPI)
Met de USG krijgt je ook de mogelijkheid om Deep Packet Inspection te doen. Dit is echt uitgebreid op het device en je krijgt een enorm goed inzicht in de typen verkeer door de USG. Dit zie je op devices in dezelfde prijsklasse eigenlijk zelden. En helemaal niet op zo’n duidelijke en representatieve manier. Zelfs vanuit de UniFi-app op mijn iPhone heb ik toegang tot dezelfde grafieken als via mijn laptop.
Zoals je kunt zien is het resultaat van de Deep Packet Inspection erg uitgebreid inzichtelijk gemaakt. Je kunt zelf bepaalde soorten verkeer toevoegen of weghalen uit het overzicht. Als je een bepaald type selecteert kun je ook nog dieper kijken naar welke devices dit verkeer genereren. Erg handig om een duidelijk inzicht in je verkeerstypen te hebben.
In het UniFi dashboard krijg je na het toevoegen van de USG aan je netwerk ook wat extra informatie over de download en upload doorvoer en latency over tijd. De actuele waarden voor deze factoren worden bovenin het scherm getoond door middel van twee wijzerplaten.
Prijs en beschikbaarheid
Zowel de US-8-60W Switch als de USG kun je op dit moment al verkrijgen in de winkel. De UniFi US-8-60W switch kost gemiddeld zo’n €145 en de UniFi Secure Gateway heb je in het bezit voor ongeveer €125. Je kunt ze bestellen in de webshop van MiWood.
Hallo Martijn, bedankt voor je nuttige bespreking! Ik heb een vergelijkbare configuratie als jij voor ogen. Drie AP’s en Cloud Key zijn er al, ik overweeg ook een 8-60W Switch en USG erbij aan te schaffen. Ik heb alleen nog één vraag: levert de Switch voldoende vermogen om zowel de AP’s als de Cloud Key zonder problemen van stroom te voorzien? Dat scheelt namelijk vier adapters in mijn geval.
Hallo Theo, fijn om te lezen dat je er iets aan hebt gehad. Voor wat betreft de switch, dat moet geen probleem zijn. Officieel geeft Ubiquiti 15,4W maximaal vermogen per PoE-poort op. Een AC Pro verbruikt maximaal op volle load zo’n 9W. In de praktijk zul je dit echter zo tussen de 3-6 zien schommelen. Dus dat scheelt je weer 4 van die PoE injectoren verstoppen 🙂
Kijk, dan ga ik je voorbeeld navolgen. Bedankt voor je (snelle) reactie!
Hierbij een update, voor toekomstige ‘zoekers’ over dit topic. Toen ik de Ubiquiti 8-60W Switch aansloot op mijn drie AC-LR AP’s, werd er maar 1 zichtbaar. De helpdesk gaf vervolgens aan dat alleen de nieuwste modellen van de AC-LR geschikt zijn voor PoE via Switch. Ik bleek dus 2 iets oudere modellen te hebben, die dat niet konden. Uiteindelijk heb ik daarom van de Switch afgezien, omdat ik geen behoefte had om de twee oudere AP’s in te ruilen. Ik werk nu nog met losse PoE-voedingen. Niet ideaal, maar wel te doen.
Beste Martijn,
Mooi artikel!
Ik heb nu thuis een 24-250w switch en een aanral Pro ap’s.
Ik wil overstappen van Xs4all (snelheid max 22) naar Ziggo. Weet jij welke instellingen de USG moet hebben voor Ziggo?
Hoi Aart,
Hij draait toevallig bij mij weer op een Ziggo verbinding en hier hoef ik verder niets voor in te stellen. Het is wel Ziggo voor consumenten. De WAN interface staat op DHCP en krijgt automatisch zijn IP-adres vanuit Ziggo. Scheelt weer knutselen 🙂
Martijn,
Dat is makkelijk maar dan kun je de usg niet gebruiken als DHCP server, of wel?
Ja hoor, je WAN interface staat dan als DHCP client (krijgt ip-adres van provider), je LAN interface staat dan als DHCP server (deelt uit aan je netwerk). Je hoeft dus geen functionaliteit in te leveren (gelukkig!).
Martijn,
Dus als ik het goed begrijp heb je je ziggo-router niet in bridge mode gezet en staat de DHCP service nog aan. Je USG pakt hierdoor de ip-adressen van Ziggo en niet van de USG??
Hi Pieter, dat is zeker niet het geval. Het Ziggo modem staat in bridge mode en de WAN interface van de USG op DHCP. De LAN interface zorgt als DHCP server voor het uitdelen van de adressen aan de interne clients. De WAN interface krijgt een publiek IP-adres van Ziggo.
Beste Martijn,
Bedankt voor het snelle reactie!
Gevolg hiervan is dus wel dat je al je (static-) IP adressen intern opnieuw moet indelen? Wellicht middels meerdere netwerk groepen (Video, NAS, Gasten, e.d.)
Dat klopt, maar als je veel statische IP-adressen hebt kun je er natuurlijk voor kiezen om dat netwerksegment te blijven gebruiken. Zolang de reeks hetzelfde is dan zit je goed. Heb je netwerk segmentatie toegepast, dan moet je uiteraard ook hier nieuwe groepen voor maken. Voordeel is dat je ook voor deze groepen dezelfde segmenten kunt aanmaken. Beetje knutselen heeft toch ook zijn charme Pieter 🙂
Martijn,
Ben ik weer even, stel dat ik deze groepen (bv al mijn ip-camera’s in een appart V-lan met juist ip-range) alvast aanmaakt in mijn huidige situatie (nog zonder USG) helpt dit als ik mijn USG implementeerd, neemt hij dit dan mee?
Ik huiver een beetje op het feit dat mijn standaard ip-range straks veranderd naar 192.168.1.xxx ipv de huidige 192.168.178.xxx (ziggo) en ik straks device’s kwijt raakt en niet meer kan bereiken. Zodra ik straks Ziggo gaat bellen voor het in bridge mode te zetten van mijn huidige router is er geen weg meer terug (met mijn huidig ICT niveau :-)).