MikroTik CAPsMAN – сеть точек доступа wi-fi.

Поставлена задача организовать беспроводную сеть для рабочего процесса в организации (не для телефонов сотрудников). Для этой цели решено использовать CAPsMAN (Controlled Access Point system Manager) – диспетчер управляемых точек доступа. Он позволяет централизовать управление беспроводной сетью и при необходимости выполнять обработку данных. Все управляемые точки доступа (Controlled Access Points или CAPs) получают от него настройки. У всех точек доступа один общий SSID. Так же диспетчер позволяет централизованно обновлять прошивки управляемых точек. Плавное переключение клиента от точки со слабым сигналом к точке с хорошим сигналом без разрыва соединения, системой не предусматривается. В настоящее время (2022г) в CAPsMAN нет функционала бесшовного wi-fi.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

На каждый этаж небольшого здания рассчитано по две точки доступа, соединенные гирляндой, чтоб не тащить два кабеля на этаж. Последовательное соединение не очень надежно, но приемлемо в условиях малого бюджета проекта. Производитель сам предлагает такое исполнение, устанавливая в точке доступа два порта: PoE-in и PoE-Out.

Модель точек доступа: RBmAP2nD.

*пока точки не закупили, тесты проводились на другом оборудовании

Модель роутера с CAPsMAN:  CRS326

Изначально в роутере с CAPsMAN выполнена базовая настройка по этой инструкции. Работает DHCP-сервер, настроен доступ в Интернет.

 

Настройка CAPsMAN.

Настройки, которые нужно выполнить:

1.Channels – каналы wi-fi (частота, диапазон, мощность и тп.).

2.Datapath – пересылка данных (MTU, ARP, VLAN и тп.)

3.Security Cfg – безопасность (пароль, шифрование, сертификаты)

4.Configuration – общая конфигурация.

5.Provisioning – назначение конфигурации на точки доступа.

6.Активация CAPsMAN – выполняется в последнюю очередь после выполнения настроек.

 

Настройка CAPs.

7.Быстрая настройка.

8.Подробная настройка.

9.Правило подключения.

 

1.Channels – каналы wifi.

Настройка выполняется для диапазона 2ГГц.

Выберем непересекающиеся по частоте каналы 1, 6, 11, чтоб между ними не возникало помех.

Name: CH-2GHZ – любое понятное имя латиницей.

Friquency: 2412, 2437, 2462 – частоты каналов 1, 6 и 11 соответственно.

Control Channel Width: 20MHz – ширина канала.

Band: 2ghz-b/g/n – диапазоны wi-fi.

Жмем ОК – для сохранения настройки.

 

Через командную строку терминала.



 

2.Datapaths.

Создаем новую конфигурацию нажав +.

Name: DATAPATH-1 – любое понятное имя латиницей.

Bridge: Bridge-LAN – мост для Datapath. (если несколько мостов, нужно выбрать тот который предназначен для точек wifi)

Local Forwarding – отмечен галочкой – трафик будет обрабатываться в точке доступа (для разгрузки процессора CAPsMAN).

Client To Clien Forwarding – отмечен галочкой – обмен трафика между клиентами разрешен. (в случае гостевой сети обмен данными между клиентами нужно запрещать)

 

Через командную строку терминала.



 

3.Security Cfg.

Создаем настройку безопасности.

Name: SECURITY-1 – любое понятное имя латиницей.

Authentication Type: WPA2 PSK.

Encryption: aes ccm.

Passphrase: Password12345 – пароль для подключения к точке доступа.

(в реальности сложный пароль из букв разного регистра, цифр и спецсимволов длинной не менее 12 знаков)

 

Через командную строку терминала.



 

4.Configuration – общая конфигурация.

Объединяем все настройки в одной конфигурации.

Через командную строку терминала.



 

5.Provisioning – назначение конфигурации на точки доступа.

Action: create dynamic enabled – разрешение на создание динамических интерфейсов подключаемых CAPs.

Master Configuration: CONFIG-1 — общая конфигурация.

Name Format: prefix identity — использовать префикс в имени CAP.

Name Prefix: 2GHZ — сам префикс в имени CAP — любое понятное название.

Через командную строку терминала.



 

6.Активация.

Запустим CAPsMAN в работу установив галочку Enable в меню CAPs Manager.

Через командную строку терминала.



Upgrade Policy – следует обратить внимание на эту настройку. Она нужна для обновления прошивок CAPs. Первоначальная настройка – none.

Через кнопку Interfaces можно настроить интерфейс, на котором нужно работать. По умолчанию указаны все интерфейсы.

Конфигурация в одном файле. Для ROSv6.49.7

 

Подключение точки доступа CAP к диспетчеру CAPsMAN.

7.Быстрая настройка.

Самый простой и быстрый способ через сброс конфигурации.

System >> Reset Configuration.

Две обязательные настройки.

CAPS Mode – активировано.

No Default Configuration – деактивировано.

Остальные галочки по желанию (сохранить пользователей и не делать резервную копию конфигурации).

Нажимаем Reset Configuration и через пару минут после сброса и перезагрузки точка доступа появляется в CAPsMAN.

В настройках на точке доступа (CAPs) следующая информация.

Если посмотреть конфигурацию через терминал, то видно, что настройки беспроводного адаптера прилетают от CAPsMAN.

Точкам CAP и далее клиентам в виде планшетов раздаются IP-адреса из DHCP-сервера роутера.

 

8.Настройка CAP подробно.

Сбрасываем конфигурацию точки доступа.

No Default Configuration – обязательная настройка.

CAPsMAN – не отмечаем.

Остальные настройки по желанию.

 

Подключаемся к точке доступа после сброса настроек через WinBox по MAC-адресу.

Создаем мост.

Через командную строку терминала.



 

Добавляем в мост все порты.

Через командную строку терминала.



 

Создаем DHCP-клиента.

Через командную строку терминала.



CAP получит IP-адрес.

 

Переходим в настройки беспроводной сети.

Активируем и настраиваем CAP.

Enabled – активация управления от диспетчера CAPsMAN

Interfaces: wlan1 — беспроводной интерфейс.

Discovery Interfaces: bridge-LAN — проводной интерфейс c CAPsMAN.

Bridge: bridge-LAN — мост для локальной пересылки.

 

Через командную строку терминала.



 

После сохранения точка доступа свяжется с CAPsMAN и получит дополнительные настройки автоматически.

Желательно изменить имя, чтоб различать точки доступа, когда их будет много.

Через командную строку терминала.



 

Проверяем CAPsMAN.

Видна точка доступа 2GHZ-CAP09-1 в соответствии с измененным именем и префиксом согласно настройке.

Чтоб не подключатся к разным точкам их имя можно изменить из CAPsMAN.

Аналогичным способом подключаются остальные точки.

Проверяем клиента.

Планшет подключается, получает IP-адрес и выходит в Интернет.

В списке подключенных клиентов можно узнать, какие устройства в сети, ориентируясь на MAC-адрес.

 

9.Правило подключения.

Чтоб обеспечить подключение клиентов только к точкам с надежным сигналом можно создать правило ACL с указанием мощности сигнала, при котором подключение запрещено. Правило создается в CAPsMAN.

В зависимости от ситуации эту мощность можно подобрать экспериментальным путем. Обычно указывается граница на минус 80-85 дБм. Время по первоначальной настройке 10сек. Если мощность выходит за рамки указанной, точка доступа не позволяет клиенту подключиться, и он соответственно подключается к другой подходящей точке.

Через командную строку терминала.



В результате многочисленных экспериментов установлено, если планшет подключился к точке доступа и его сигнал ухудшается с увеличением расстояния, точка не отключает клиента. А если клиент отключился при слабом сигнале и хочет подключиться опять к той же точке доступа, то она не позволит ему это. Делается вывод, что правило ACL срабатывает только при подключении клиента. Его можно оставить на случай, чтоб клиенты не подключались к точкам со слабым сигналом.

Бывают случаи, когда нужно передать служебную информацию в дальней части здания хотя-бы при минимальной скорости, а клиент не может подключиться к точке из-за правила ACL. По этому правило нужно настраивать в зависимости от ситуации.

Далее существует огромное количество настроек в CAPsMAN которые можно использовать для улучшения системы и повышения безопасности.


Дополнение. Подключение CAPs работающих в диапазоне частот 5ГГц.

При подключении точки доступа wi-fi, работающей в диапазоне частот 5ГГц к контроллеру CAPsMAN с настройками, описанными выше, получилось следующее сообщение – не поддерживаемый канал (no supported channel).

CAPsMAN пытался назначить на интерфейс работающий в диапазоне 5ГГц настройки с частотами 2ГГц. Естественно ничего не получилось.

Следовательно, для работы CAP в диапазоне 5ГГц нужно добавить необходимые частоты и несколько дополнительных настроек.

Все действия почти аналогичны настройкам для диапазона 2ГГц.

 

Channels – каналы wifi.

Добавим каналы в необходимом диапазоне частот (5ГГц).

Name: CH-5GHZ – любое понятное имя латиницей.

Friquency: без изменений (blank), в этом случае рабочая частота будет выбираться автоматически.

Control Channel Width: 20MHz – ширина канала.

Band: 5ghz-a/n/ac – диапазоны wi-fi.

Extension Channel: направление для расширения частоты канала.

Ce – выше относительно несущей частоты.

eC – ниже относительно несущей частоты.

XX – автоматический выбор.

ОК – для сохранения настройки.

 

Через командную строку терминала.



 

Дополнительная настройка (не обязательная).

Если рабочая частота не указана и выбирается автоматически (поле Frequency пустое), то можно настроить периодичность время сканирования и выбора частоты.

Save Selected – сохранение выбранной рабочей частоты после анализа окружающего пространства.

Reselect Interval – периодичность сканирования для выбора частоты.

 

Настройки Datapaths и Security Cfg. остались без изменений, дополнительно можно их не создавать, если не нужны какие-нибудь особенности.

 

Configuration – общая конфигурация.

Создаем новую конфигурацию.

Выбираем созданную конфигурацию для частот в диапазоне 5ГГц.

Datapaths и Security Cfg. взяты из настройки для 2ГГц.

Через командную строку терминала.



 

Provisioning – назначение конфигурации на точки доступа.

Создаем назначение с указанием мастер-конфигурации CONFIG-2.

Hw.Supported Modes: a an ac – поддерживаемые режимы wi-fi

Action: create dynamic enabled – разрешение на создание динамических интерфейсов подключаемых CAPs.

Master Configuration: CONFIG-2 – созданная конфигурация для диапазона 5ГГц.

Name Format: prefix identity – использовать префикс в имени CAP.

Name Prefix: 5GHZ – префикс в имени CAP — любое понятное название.

 

Через командную строку терминала.



 

Подключение точки доступа CAP 5ГГц.

Подсоединяем провод в первый порт точки доступа, подключаемся по WinBox и выполняем быструю настройку – сброс конфигурации и перезагрузка в CAPS Mode.

System >> Reset Configuration.

Две обязательные настройки.

CAPS Mode – активировано.

No Default Configuration – деактивировано.

Остальные галочки по желанию.

Нажимаем Reset Configuration и через пару минут после сброса и перезагрузки точка доступа появляется в CAPsMAN.

 

Есть одна особенность настройки. Точка доступа 5ГГц висела с ошибкой «no support channel» и принимала на интерфейс частоты из диапазона 2ГГц.

Для того чтоб устранить эту ошибку понадобилось явным образом указать какие режимы wi-fi нужно передавать для CAPs 2ГГц.

Это логично. Так как Radio MAC – все нули, то правило применимо к любой точке доступа. И далее по какому признаку распределить это назначение программа не знает. А так как это правило первое в списке оно в первую очередь раздавалось на все подряд точки доступа.

После указания Hw. Supported Modes: b g gn раздача конфигурации пошла по плану.

Отображение конфигурации в CAP с двумя рабочими диапазонами частот 2ГГц и 5ГГц


Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2022-12-13T10:09:44
MikroTik