Netzwerkkomponenten vom Hersteller Ubiquiti sind vor allem sehr komfortabel zu warten. Updates sind mit nur einem Mausklick eiunspielbar und selbst Backups werden, sofern die Funktion aktiviert ist, automatisch erstellt. Auch VLANs lassen sich sehr einfach mit dem zentralen Verwaltungstool – dem UniFi Controller – sehr komfortabel auf alle Netzwerkgeräte schnell und einfach übertragen. Leider ist es jedoch wie auch auf anderen unified Systemen teils unmöglich speziellere Konfigurationen umzusetzen. Auch wenn es die Hardware unterstützen würde.
Ubiquiti hat zwei große Produktlinien im Angebot. Die Komponenten der Edge-Serie richten sich vor allem eher an Provider und „Profis“. Die Benützung eines Terminals, ssh und telnet sind dabei erforderlich. Bei der UniFi-Serie hingegen setzt man, vor allem in den letzten Produktzyklen, eher verstärkt auf eine sehr einfache Benutzeroberfläche und eine Benützung der theoretisch möglichen Einzelkonfiguration von Komponenten und Funktionen distanziert man sich eher weiter. Das ist in den meisten Fällen auch überhaupt kein Problem. Ein KMU kann so sehr schnell und effizient sein Bürosystem verwalten und auch auf einem aktuellen Stand halten. Doch wie sieht es mit der Tauglichkeit für ein DANTE AoIP-Netzwerk aus?
Traffic trennen.
Interessanterweise sind mir kaum Hersteller bekannt welche Einstellungsmöglichkeiten wie Phantomspeisung im Dante Controller einbetten. Die Möglichkeit dafür wurde vom Hersteller prinzipiell geschaffen. Hier würde ich mir jedenfalls einen einheitlichen Standard wünschen, damit zum Beispiel eine Stagebox mit Mischpulten verschiedener Hersteller kompatibel sind.
Die meisten Geräte mit erweiterten Funktionen haben ein Webinterface und meistens auch eine Möglichkeit Befehle über beispielsweise ein Telnetinterface zu empfangen. Speziell da könnte es angebracht sein den Datenverkehr für das Controlinterface – egal ob Web oder für die Steuerung ausgehend von einem Controller – von den Audiodaten zu trennen. Hier kann man sich in der UniFi-Welt eine Eigenschaft der meisten Dante-Geräte zunutze machen: die Geräte haben in der Regel zwei MAC-Adressen.
MAC based VLAN tagging
Obwohl in der Controller-Software von Ubiquiti kein eigener Punkt für ein MAC basiertes VLAN tagging gibt es über den Umweg eines RADIUS-Servers die Möglichkeit MAC basiert Komponenten in ein VLAN zu taggen. Hierzu könnte zum Beispiel von Ubiquiti das Unifi Security Gateway verwendet werden. Dieses greift allerdings sehr stark in den Aufbau des Netzwerkes ein und ist in bestehende Infrastrukturen nur sehr schwer integrierbar. Eine Alternative hierzu ist ein eigener Radius-Server wie zum Beispiel freeradius – welcher sogar auf Ubiquiti’s USG selbst läuft.
UniFi Security Gateway
Freeradius Server
Wie bereits erwähnt verwendet Ubiquiti für den Radiusdienst auf dem USG einen freeradius-Server. Auch hier ist sowohl als Username und als Passwort die MAC des Gerätes einzugeben. Tunnel-Type und Tunnel-Medium-Type sind ebenso wie beim USG zu setzen. Tunnel-Private-Group-Id entspricht der VLAN-ID.
Mehr Informationen zur Konfiguration findet sich auf der offiziellen Seite des freeradius-Projekts (https://wiki.freeradius.org/).
Der konfigurierte freeradius-Server kann im UniFi-Controller als Radiusprofil hinterlegt werden. Hier muss für Dante Komponenten jedenfalls „Enable RADIUS assigned VLAN for wired network“ aktiviert werden.
Konfiguration am Switch
Direkt im UniFi-Controller kann nach der Konfiguration eines Radius-Profils 802.1X aktiviert werden. Bevor das jedoch gemacht wird sollte überprüft werden ob der jeweilige Uplink-Port des Switches richtig konfiguriert ist.
Auto: The port is unauthorized until a successful authentication exchange has taken place.
Force Unauthorized: The port ignores supplicant authentication attempts and does not provide authentication services to the client
Force Authorized: The port sends and receives normal traffic without client port-based authentication.
MAC-Based: This mode allows multiple supplicants connected to the same port to each authenticate individually. Each host connected to the port must authenticate separately in order to gain access to the network. The hosts are distinguished by their MAC addresses.
https://help.ui.com/hc/en-us/articles/115004589707-UniFi-How-to-Implement-RADIUS-Authentication
Danach ist nur mehr der jeweilige Port auf MAC-based umzustellen und die Komponenten sollten nun im gewünschten VLAN landen.
QoS?
Audinate hat für Administratoren einen Guide Dante Basics for the IT crowd aufgesetzt. Dort wird auch genau erläutert, was die Netzwerkadministratoren umsetzen sollten.
Speziell in Gemischen Netzwerken wo Audiotraffic gemeinsam mit dem herkömmlichen übertragen wird kann es wichtig sein, QoS-Regeln einzurichten.
Zum derzeitigen Punk unterstützen die UniFi-Switches kein QoS (z.B. kein DSCP) und sind somit grundsätzlich außerhalb der Spezifikation von Audinate.
Zum Teil kann hier Abhilfe geschafft werden indem bei den Switches am Uplink-Port ein Profil mit einem „Voice Network„, welches dem Dante-VLAN entspricht, konfiguriert wird.
Fazit
Leider hat Ubiquiti viele Funktionen nicht besonders gut dokumentiert. Die fehlende QoS Implementierung stellt die UniFi-Produkte außerhalb der geforderten Spezifikation von Audinate ab. Die vor allem in größeren Installationen notwendige Möglichkeit, anhand von MAC-Adressen den Traffic in VLANs zu taggen ist grundsätzlich möglich, jedoch nur über den Umweg mittels Radius-Server und 802.1X.
Andere Hersteller haben diese Funktion grundsätzlich auch ohne implementiert (z.B. Cisco). Zum Teil ist es auch möglich einige nicht dokumentierte Funktionen über SSH und Telnet zu konfigurieren (Tipp: dabei hilft oft die Dokumentation der Edge-Produkte von Ubiquiti), allerdings sind diese Konfigurationen zumeist nicht persistent und damit in einer Produktivumgebung nicht zu verwenden.