Ubiquiti UniFiの世界

この記事で実現すること

米国Ubiquiti（ユビキティ）社のネットワーク製品群であるUniFiを紹介します。Ubiquiti社はAppleにも在籍経験のあるロバートJ・ペラ氏が立ち上げた会社でWi-Fiネットワークの製品に強みを持っています。NY証券取引所にも上場しており、ビジネス向けのネットワーク機器販売が主力のビジネスです。
Ubiquitiにもいくつか製品群があり、このうちUniFiという製品群では、ネットワーク、監視カメラ、入退室管理などの製品があります。法人向けと個人向けのちょうど中間に位置するこの製品群は、ビジネスグレードという位置付けながら廉価です。Ubiquti製品群でも上級者向けのEdgeMaxシリーズがあり、初級者〜中級者向けをターゲットとしているのがUniFiです（ネットワークの知識は必要です）。ここではネットワーク製品のうちスイッチとWi-Fiにフォーカスを当ててどのような機能・サービスがあるのか説明していきます。ペラ氏はカリフォルニア大学において日本語の学士号を保有されており、親近感を覚えます。

UniFiの世界へようこそ
https://help.jp.ui.com

UniFi製品の特徴

UniFiはネットワークの「見える化」をテーマとした製品群と言えます。複数のネットワーク機器や個々の端末を集中管理することに長けています。代表的なのは特にWi-Fiですが、クライアントの通信量や電波の届き具合、通信量、どこのアクセスポイントに接続されているか把握・管理が容易です。ネットワークスイッチも同様でネットワークトポロジーが明瞭で設定内容やトラフィック量が把握できます。インターネットに接続するルーターの役目を果たすセキュリティゲートウェイはどのようなサイトに接続しているか、どれくらいのトラフィック量なのかが非常に見やすくなっています。また、直感的に分かりやすいGUIによる管理が可能で、難しい従来のコマンドラインは必要ありません（※詳細の情報把握にSSHでコマンド確認することも可能です）

カメラや電話などのネットワーク製品を除いた、UniFiにおけるコアネットワーク製品を管理するためにはUniFi OS ConsoleまたはUniFiネットワークアプリケーションが必要です。

UniFi OS Console

UniFi OS ConsoleはUniFi環境において各ネットワーク機器を集中管理するために必要なものです。Wi-FiのAPやネットワークスイッチはそれぞれGUIなど持ち合わせていないため、GUI管理のためのConsoleが必要となります。UniFiコンソールをさらに分類するとUniFiゲートウェイがあります。 UniFiゲートウェイはUniFi Dream Machine(UDM)やUDM Proはセキュリティゲートウェイと各ネットワーク機器を管理するConsole機能を持ちます。Dream Machineはセキュリティゲートウェイ、Wi-Fi（日本では11ac対応）、Consoleとが一体になっています。UDM Proは、Wi-Fiの機能は持ちませんが、LAN/WANに10GbE SFP+を持ち、IDS(侵入検知システム）/IPS(侵入防止システム）のスループットが3.5Gbpsあります（iperf3で計測しているとの記載があります）。

残念ながら、私はUniFiゲートウェイ製品のDream MachineやUDM Proを保有していないので、ここでUniFiの魅力的な製品の1つであるセキュリティ製品の説明ができません。現時点においては、UniFiのセキュリティゲートウェイは日本の環境におけるMAP-EやDS-Liteに対応していないように見えます。UDM ProなどはIPv6 Delegationに対応しており魅力的ですが、日本においてはプロバイダを選ぶ（具体的にはフレッツなどでひかり電話を契約し/56などの複数のIPv6プレフィックスの割り当てが必要）ことになり、かなり利用環境が限定されます。ただし、日本でもUDM Proを動作させているユーザーもいらっしゃるようで、このあたりは日本のUbiquitコミュニティが参考になります。また、UniFiの監視カメラなどを導入されたい場合は、ハードディスクをセッティングする必要がありUniFiの専用ハードウェアが必要です。この場合は、UDMシリーズや後述するCloud Key Gen2 Plusを導入する必要があります。

なお、ゲートウェイの機能としてUDMやUDM ProはIDS/IPS、DPI（ディープパケットインスペクション）の機能を持ち、DNSフィルタやパケットのシグネチャを検査する仕組みを持っています。現時点では暗号化されたSSL/TSL通信を解読できません。セキュリティゲートウェイではVPNはPPTP、L2TPに加え、最近Teleport VPNに対応しています。

UDM Pro
https://jp.store.ui.com/collections/UniFi-network-UniFi-os-consoles/products/udm-pro

Dream Machine
https://jp.store.ui.com/collections/UniFi-network-UniFi-os-consoles/products/UniFi-dream-machine

Cloud Key Gen2は35,000円ほどしますが、監視カメラを導入する場合は必要です。予め1TBのHDDが用意されているので特に難しいセットアップは不要でUniFiの運用を開始できます。

Cloud Key Gen2 Plus
https://jp.store.ui.com/collections/UniFi-network-UniFi-os-consoles/products/UniFi-cloudkey-gen2-plus-1

UniFi OS Consoleを購入しなくとも、WindowsやmacOSでUniFi Network Applicationをセットアップできます。別途、Java11のインストールが必要です。もし、仮想環境のESXiをお持ちであれば（一定のネットワークの知識があることが前提です）、ESXi上にUbuntuなどを導入し、そこにUniFi Network Applicationをセットアップできます。ネットワークアプリケーションのロールバックはサポートされておらず、旧バージョンを再インストールするか、ESXiによるバックアップからロールバックすることになります。UniFi本来のメリットを享受するためには見える化が大事ですから24時間365日の稼働とトラフィック収集が重要です。もちろんカジュアルユーザーは設定変更時だけ都度PCを起動し、UniFi Network Applicationを起動し、設定変更する方法もあります。

自分でUniFi Network Applicationをセットアップする場合は自身で用意するハードウェア以外の費用はかかりません。UniFiソフトウェアは無償ですし、サブスクリプションなどの定額支払いもありません。Linuxの場合、最低2GByteのメモリ、HDDは最低10Gバイトが必要です。私はUbuntu Desktop上に構築しており、4Gバイトのメモリ、HDDは40Gバイトにしています。UniFiのセットアップやバージョンアップにGUIは不要ですが、ハードウェアスペックに余裕のある方はGUI(Ubuntu Desktop)をお薦めします。

UniFi Help Center
https://help.ui.com/hc/en-us/articles/360012282453-UniFi-Network-Self-Hosting-your-UniFi-Network-Without-a-Console-Advanced-

UniFiの管理画面

UniFiの管理画面は新旧の2種類あります。旧画面は日本語にも対応していますが、最新機器の製品名が表示されないなどちょっと中途半端な対応状況です。デザイン的にも少し洗練された新画面はまだまだ機能が不足しているというデメリットもありますが、徐々に機能拡充されていきます。これから利用を開始するユーザーは新画面で利用されることをお勧めします。

新画面の抜粋

旧画面

スマホアプリ

UniFiの管理システムはハイブリッドクラウドのような仕組みがあり、無償で利用できます。完全なオンプレミスも可能ですが、外出先から自宅内のネットワーク機器を手軽にコントロールできるのは魅力的です。

特にスマホアプリから行うWi-Fi機器やスイッチ機器のモニタリング、設定変更が容易で秀逸です。コントローラは2要素認証に対応しており、自宅でコントローラにログインすると、スマホにPush通知が来ますのでこれに応答することによりログインが完了します。アプリからはLANの直接接続、或いはUbiquitiのクラウド経由で自宅のConsoleまたはネットワークアプリケーションと接続されますが、クラウド経由の場合でも自宅のFirewallやルーターで特定のPortで待ち受ける（Port解放する）ことなく、UniFi Console（ネットワークアプリケーション）側からUbiquitiのクラウドにアクセスし、最終的にはコントローラーからスマホへ接続する形態です。セキュリティ的にも一段レベルが上で、ダイナミックDNSなどの準備が不要であることが特徴です。

UniFi Networkアプリ（iOS/Android)
UniFiのシングルサインオンアカウントを使ってスマホアプリにログインします。自宅内でも自宅外であってもVPNなど意識することなく簡単かつ素早くUniFi機器の管理ができます。

新しい機器をスイッチポートに接続する際にはどのVLANに属するか設定しますが、この場合はスマホアプリからConsoleを経由し大抵のことができます。SFP＋のDDM(Digital Diagnostic Monitoring)の値も取れますし、スイッチによっては機器本体の温度も把握できます。

このスマホアプリではARという機能があり、UniFiスイッチの第2世代以降は以下のビデオのようにスマホで実際のスイッチ機器をかざすことによって接続された端末がVR的にマッピングされたものを見られます。UniFiスイッチを一躍有名にした機能でもあります。

UI Verifyアプリ（iOS/Android)
これはConsoleやUbiquitiのサイトにログインする際の2要素認証のためのワンタイムパスワードのスマホアプリです。

これを導入してシングルサインオンの設定をしておくとPCなどからログインした際にはプッシュ通知がされます。

これで2要素認証も簡単に対応できます。

その他管理

• Syslog/SNMP
  UniFi Console、各機器それぞれが統合管理されるので、1箇所のSyslogサーバにログを書き出せます。あくまでsyslogなので、UniFiシステムの障害切り分けに使うレベルのものです。また、SNMPv3の管理機能を持ちます。

• SSH
  スイッチの詳細情報を確認できます、パスワード認証、公開鍵認証が可能です。私はYubicoのYubiKeyで公開鍵認証を使っています。

• バックアップ
  構成情報を定期的にバックアップできます。

• 通知
  メール、アプリにイベントを通知できます。ファームウェア更新の通知（自動更新も可能）、スイッチやWi-Fiを対象にすればクライアント（インタフェース）の新規接続、切断、ローミングが通知されます。他にもリスク管理の通知機能があります。

オンラインストア

UniFi製品は日本のオンラインストアがあります。製品はワールドワイドに展開されていますが、ONUと接続する可能性のあるセキュリティゲートウェイや電波を出すWi-Fi製品は技適マークもありますし、ネットワークスイッチの電源コードはPSEマークも付与されており安心して購入できます（電源ケーブルは3PINとなっており、日本のコンセントに合うように2PIN変換アダプタが別途必要です）。

Ubiquit Japan Store
https://jp.store.ui.com

世界的にはUbiquitiの製品・パーツは非常に廉価です。日本においては今年に円安のため2回ほど価格改定があり、以前と比べると特別廉価とは感じなくなっています。

• MMモジュール（10Gbpsマルチモード光学モジュール）2つで6,299円
• 10GSFP+ RJ45モジュール10,009円

日本のサイトでは今のところ送料が無料です。UbiquitiのMMモジュールは様々な機器に繋いでいますが、特段問題が発生したことはありません。Ubiquitiのスイッチに限りませんが、SFP/SFP+の互換性の問題が出る場合があり、純正のMMモジュールまたは信頼のあるSFPベンダーからの購入をお勧めします。

ケーブルに関してはUbiquitiの純正のOM3ケーブルは部屋と部屋とを繋ぐにしては短すぎるものばかりなので別途FSやAmazonなどで調達する必要があります。

UbiquitiのRJ45ケーブル（Cat6)はコネクタ付近で曲げることができるユニークなパッチケーブルです。基本的にCat6Aはなく、Cat6のケーブルのみの取り扱いですが、最大8メートルのパッチケーブルであれば10GbEでも問題が出ることはありません。

ネットワークスイッチ

ここ数ヶ月、このブログでは省電力化および低発熱を目的としてSFP＋の説明をしてきましたが、UniFiスイッチを簡単に紹介します。

UniFiスイッチはL2の製品群が主流です。設定はGUIのみで行います。SSHでスイッチに接続し、設定変更は行えますが再起動のタイミングにおいて、GUIで設定した内容に上書きされます。見える化やスイッチ全体の一括管理のために、全てのスイッチをUniFiのものに統一したくなりますが、部分的にUniFiスイッチを導入できます。UniFiスイッチはハードウェア自体は一般的なL2スイッチとあまり違いは無いので異なるメーカーのL2スイッチをUniFiスイッチに接続し、VLANで相互に運用できます。

個人で利用する場合、無理にVLANを切る必要もありませんが、マルチプルVLANも対応しているので、1つのネットワークアドレスで複数のVLANに属する形を取ればネットワーク分離も簡単に行えます。

一部の製品にはL3に対応したスイッチも存在しますが、IPv6に対応していないことや、アクセスコントロール（ACL）が行えないというものであり、L3としてはまだ使えるレベルには達していません。

USW-Aggregation

ファンレスL2スイッチです。SFP＋ポートを8つ持ちます。小規模なネットワークにも向いていますが、アグリゲーションという名前が付くだけあって、本来はいくつかのスイッチを束ねる目的のスイッチでもあります。MikroTikの8Portスイッチと値段も同程度でもあり、良く比較される対象になっています。奥行きは短いですが、基本は19インチラックに合うように作られているので結構幅があります。あまりIT機器のようにも見えないデザインでもあり、リビングに単独で置いても違和感はありません。

USW-Pro-Aggregation

L3スイッチです。10G SFP＋ポートを28ポート、および25G SFP28ポートを4ポート持っています。私は寝室にあるクローゼットにこのスイッチを置いており、ファンの音はしますが、クローゼットのドアを閉めれば全く気にならない程度で静音といえます。L3は前述したように本来のL3としては制約がありますが、セグメント超えのiperf3を実行しても殆どスループットは落ちません。ここはさすがL3スイッチです。

USW-Enterprise-8-PoE

L3スイッチです。Enterpriseという割には小ぶりでリビングに似合いそうなスイッチです。SFP＋を2ポート、2.5GbE（1GbE、100Base）のRJ45ポートを8ポート持ちます。ファンの音は殆どわかりません。実際にフロントのLCDパネルでファンの回転数を引き上げられ、その際はさすがにファンの音はするものの、やがて自動運転ではかなりの抑えた風量に戻るようです。米国ではTVとかオーディオなど色々な専用セグメントが必要だったりするのでL3が必要なのでしょうか。これはPoEスイッチでもあり、UniFiの世界では小型スイッチやWi-FiがPoE、つまりLANケーブル1本で通信と給電とが行われます。家が小さい日本ではあまり馴染みがないテクノロジですが、アメリカのように大きい家ではLANケーブル1本で各部屋まで配線し、天井や壁にWi-Fiやスイッチを埋め込む形でLANを構築していく事が多いのでPoEが重宝されます。RJ45の8ポートが2.5GbEであると同時にPoEによる給電が可能です。かなりの発熱で筐体上部は50℃ほどあり、コンソールからは70℃以上の熱を示しています。この温度であればファンが回っても良さそうな雰囲気ですが、LCDパネル上のファン回転数は80rpmで静かです。普段の運用ではファンが回るイメージがありません。

Switch Flex Mini

小型の1G RJ45を5ポート持つ小型スイッチです。4,794円と廉価です（最近の円安で値上がりしました）。UniFiではトランクポートとして設定する場合、複数のVLANを選択しグループ化しますが、トランクポートは全てのVLANが対象となる制約があります。一応L2対応になっています。洗練されたデザインで小型のこのスイッチは発熱が小さく安定しており気に入ってます。しかし、気に入っている割には無造作にマジックテープを裏面にべったり貼り付け、TVの後ろに貼り付けています。PoEの入力が可能なので、PoEスイッチから電源を取っています。最初から小さい電源アダプタも付属していますがケーブルの本数を減らしたい方はPoEは便利です。100Base-TXのLANを持つテレビなどは目立たないこのスイッチに集約させ、多くの長いLANケーブルから解放されるのに便利です。4,794円でUniFiの世界をテストドライブしてみるのも良いかもしれません。

Wi-Fi

米国ではUniFiのWi-Fiシステムは非常に多くの製品が発売されていますが、日本で販売されている利用可能な製品はWi-Fi5、Wi-Fi6の有線接続を必須とする数製品に絞られます。日本のメーカーとは異なった魅力のあるアクセスポイント（AP）です。主流の11ax対応製品については、3製品あります。Lite、Pro、LR（ロングレンジ）になります。中継機としてExtender、メッシュ用としてU6 Meshが存在します。

基本的に壁に固定し、LANケーブルのPoEから電源を取ります。これまでのWi-Fiルータを棚やテーブルに置くという方法ではなく、電源コンセントの制約が無いため、自由度が高く、壁などに取り付けられます。APの設置は壁にねじ止めするのが本来の姿ですが、小心者の私は100均で売っている壁にメモを留めるようなピンを打ち付けてAPを固定しています。APを取り外した後も壁紙の補修液を塗り込めば壁の穴は目立ちません。

UniFiのWi-Fi製品は、ネットワークスイッチのPoEまたはPoEインジェクタを別途購入し接続することになります。

壁掛けで1本のLANケーブルのみであれば部屋に馴染み、さほど気になるものでもありません。
Fast Roaming(802.11r)を前提として、APの切り替えがスムーズに行えます。一般的には端末を持つ人が移動した時のローミングを目的としていますが、家族が普段通りにスマホを使っていながら接続APを切り替えられます。私の場合、自宅の1階にU6-Proを、2階にU6-Liteを設置していますが、どちらのAPからも家じゅう電波は届きます。APの故障対策のためというよりは、私が色々なことをやってAPやスイッチの設定を変更したりリブートしたりするので、自宅内で家族向けに安定的なWi-Fiサービスの提供のためにはとても便利な機能です。AP毎の周波数を設定し、お互いが競合しないようにするなど、より細かい設定ができます。

ハードウェアスペックとしては一般的ですが、端末がどのAPに接続されているか、それぞれの端末の電波状況などがわかります。また時間でSSID単位に停波させることも可能で、私は夜間は11gの最小限の送信出力に絞り11axは止めています。スマホは夜間に勝手に11gに切り替わり最低限の通信は可能になっています。

日本のWiーFiルーターも多機能で、当たり前のようにあるWPSプッシュボタンによるクライアント登録（認証）や子供の端末を管理するなどの機能はUniFiは持っていません。下手に長いWi-Fiパスワードにしてしまうと、UniFiではIoTに対するパスワード入力が困難です。UniFiと国内のWi-Fiルーターとは目指す方向が違う事になり、基本性能という意味では殆ど変わらないものとお考えください。

ホームゲートウェイやスイッチなどが揃っている環境でUniFiのWi-Fi製品のみを導入できます。

まとめ

ここではUniFiの製品群を説明しました。製品としては荒削りなところもあり、それなりに不具合や未対応の箇所を抱えながら少しづつ機能強化しているというプロダクトの特徴があります。特に見える化という観点で、ネットワーク環境を変える予定のある方は検討の候補になるかもしれません。私が保有しているスイッチを簡単に紹介しましたがSFP+に偏っており、他にも魅力的なスイッチがありますので、是非Ubiquitオンラインストアにアクセスされてみることをお勧めします。

このブログでは仮想環境のESXi上にUbuntuをセットアップし、UniFi Network Applicationを運用する方法を紹介しています。

• 「Ubuntu22.04LTSをESXiにセットアップする」
• 「UniFi Network Applicationのセットアップ」
• 「UniFi Network Applicationの運用」
• 「UniFiスイッチ」
• 「UniFi Wi-Fiシステム」

リソース

以下の日本語ヘルプ、コミュニティがUniFiの構築には大いに参考になります。

Ubiquiti コミュニティ（日本）
https://www.facebook.com/groups/uijapan

UI 日本語ヘルプ記事
https://help.jp.ui.com/categories/6583256751383/

Ubiquiti Community（米国中心）
https://community.ui.com/