В рамках попередньої публікації ми розглядали приклад ручного налаштування бездротової мережі. Під ручним налаштуванням мається на увазі індивідуальне налаштування кожної точки доступу. Такий метод має свої переваги, і свої недоліки.
Один з головних недоліків попереднього методу полягає в тому, що при необхідності змінити пароль або створити додатковий SSID (Virtual AP) вам потрібно виконати редагування налаштувань кожного пристрою. До того ж, у разі «ручного» налаштування ви не матимете можливості переглядати список усіх підключених клієнтів з єдиного меню.
У цій публікації ми розглянемо процес налаштування бездротової мережі за допомогою контролера CAPsMAN.
Пам'ятайте, CAPsMAN може працювати на пристроях, які безпроводового інтерфейсу немає взагалі. Це означає, що CAPsMAN можна використовувати на будь-яких маршрутизаторах Mikrotik.
Процес налаштування ми опишемо на прикладі того ж hEX PoE , а також точок доступу wAP і wAP ac . Раніше ми вже оновили RouterOS у наших пристроях до версії 6.38.1, тому подальше налаштування виконуватиметься на актуальній, на момент написання, версії.
Активація менеджера точок доступу
Насамперед включаємо CAPsMAN. Переходимо в однойменний розділ меню ліворуч і натискаємо кнопку Manager, тут нам необхідно встановити опцію Enabled (включено).
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic1_enable_cm.png" height="456" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Інші параметри домашньої мережі не використовуються. При необхідності для корпоративних мереж можна використовувати сертифікати, причому Mikrotik може згенерувати сертифікат самостійно.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic2_enable_cm.png" height="456" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
У разі використання сертифікатів, вибираємо «auto», і встановлюємо опцію запиту сертифіката у пристрою, що підключається (Require Peer Sertificate).
Після ухвалення змін, через кілька секунд ви побачите назви згенерованих сертифікатів трохи нижче.
Створення каналів у CAPsMAN
Приступаємо до створення каналів. Рекомендую заздалегідь створити всі канали, щоб пізніше не повертатися до цього, достатньо буде просто вибирати канали зі списку.
Для діапазону 2.4 ГГц ми створили 11 каналів:
1. 2412
2. 2417
3. 2422
4. 2427
5. 2432
6. 2437
7. 2442
8. 2447
9. 2452
10. 2457
11. 2462
Створення каналів здійснюється в однойменній вкладці Channels. Як ім'я ми використовуємо префікс 2G і суфікс ChX, таким чином, у списку вибору на ім'я ми будемо знати діапазон і номер каналу.
Ширину каналу вказуємо 20 МГц, у полі Band можна вказати стандарт, який використовуватиметься. Т.к. ми не маємо старих ноутбуків і адаптерів, сміливо ставимо 2ghz-onlyn, тобто. використання лише стандарту 802.11n. Якщо ж у вас є старі пристрої – використовуйте змішані режими 2ghz-b/g, 2ghz-g/n або 2ghz-b/b/n.
Поле Extension Channel використовується стандарту 802.11n, який допускає використання широких каналів по 40 МГц. Для 802.11n слід використовувати "Ec" чи "eC", тобто. розширення відповідно вниз чи вгору стосовно основного каналу. Нижні канали слід розширювати вгору, верхні вниз.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic4_channels-5g.png" height="560" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic5_channels-5g.png" height="558" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
Щодо діапазону 5 ГГц не все так просто. Наприклад, точки доступу wAP ac підтримують широкий діапазон від 5150 до 5875 МГц, чого не сказати про клієнтські пристрої – у багатьох смартфонах та адаптерах підтримка сильно урізана. Отже, заздалегідь уточніть, які частоти в діапазоні 5 ГГц підтримуються вашими пристроями, після чого додайте відповідні канали.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic6_channels-5g.png" height="440" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
При використанні діапазону 5 ГГц можна використовувати старі стандарти 802.11 a/n або новий стандарт 802.11ac. Старі стандарти дозволяють використовувати ширину каналу 20/40 МГц, тоді як новий стандарт допускає ширину каналу до 80 МГц.
Для 5 ГГц цілком розумним буде використання стандартів a/n/ac, а не лише 802.11ac. При розширенні каналів до 80 МГц слід вказувати Ceee/eCee/eeCe/eeeC, але це налаштування буде застосовне виключно для AC.
Зверніть увагу, якщо ви захочете використовувати ширину каналу 40 МГц - використовуйте розширювачі Ec/eC. В обох випадках базова ширина каналу вказується як 20 МГц, пам'ятайте це!
Суть цих скорочень зрозуміти дуже легко: З - головний канал, e = extension channel, тобто. додатковий канал, що розширює. Комбінація цих символів показує, куди й наскільки розширювати канал. Наприклад, eCee додасть 20 МГц нижче та 40 МГц вище від основного каналу.
Реальний приклад: основна частота 5100 МГц і режим eCee, разом отримуємо 5080-5100-5120-5140 (крок 20 МГц). Оскільки вказується центральна несуча каналу, сам канал буде в діапазоні 5070-5150 МГц (тобто -/+ 10 МГц від крайніх несучих каналів).
Навіщо все це? Якщо точки доступу у вас перетинаються - настійно рекомендується рознести їх на канали, що не перетинаються. У разі 2.4 ГГц це канали 1, 6 і 11.
З метою спрощення можна використовувати єдиний канал на всіх точках, але у разі перетину та одночасної роботи ви не отримаєте максимум від можливої швидкості каналу.
Налаштування шляхів
Після налаштування каналів необхідно створити "Datapath" (дослівно "шлях даних"). Робиться це у вкладці Datapaths.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic7_datapaths.png" height="497" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
По суті, тут налаштовується, як здійснюватиметься обмін трафіком. Ім'я можна задати будь-яке, далі у списку бриджів необхідно вибрати потрібний бридж, куди потрібно засунути точки доступу.
У нашому випадку бридж всього один, у ньому будуть користувачі, підключені як кабелем, так і повітрям. Якщо ви використовуєте кілька бриджів із різними підмережами, саме тут і проводиться асоціація САРів із бриджем. Наприклад, в окремому бриджі може бути окремий DHCP зі своєю підмережею, який ізольований від основної мережі та надає виключно доступ до Інтернету.
Далі нас цікавлять дві додаткові опції: Local Forwarding та Client To Client Forwarding.
Почнемо з останньої опції, якщо коротко, вона дозволяє або забороняє обмін даними між клієнтами. Для приватної мережі цілком логічно дозволити бездротовим клієнтам обмінюватись даними. У випадку з відкритою мережею такий обмін слід забороняти, щоб унеможливити сканування мережі зловмисником щодо наявності інших клієнтів.
Опція Local Forwarding дозволяє розвантажити контролер від необхідності керування всім трафіком, дозволяючи кожній окремій точці доступу керувати трафіком своїх клієнтів. У випадку, якщо опція відключена, точки доступу надсилатимуть усі дані на центральний контролер, що підвищить завантаження мережі та самого контролера.
При використанні VLAN асоціація проводиться саме тут у розділі Datapaths.
Налаштування безпеки бездротової мережі
Як ви вже здогадалися, налаштування параметрів безпеки здійснюється у вкладці Security Cfg.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section1_pic8_security.png" height="419" title="Домашня бездротова мережа на Mike Частина друга: використовуємо можливості CAPsMAN v2">
Налаштування виконуємо згідно з скріншотом, тип безпеки – WPA2 + AES, це найбільш захищений варіант із усіх доступних.
Пароль слід вказати в полі Passphrase, використовуйте складний пароль з комбінації малих і великих літер, а також цифр.
На цьому створення профілів завершено, можна приступати до створення конфігурації.
Створення конфігурації
При створенні бездротової мережі з двома діапазонами, слід створити дві окремі конфігурації - перша для 2.4 ГГц, друга для 5 ГГц.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic9_config-2g.png" height="463" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Відкриваємо вкладку Configurations та створюємо новий запис.
- Name: назва конфігурації на власний розсуд;
- Mode: ap;
- SSID: назва бездротової мережі
- Country: вибираємо країну для того, що Mikrotik скоригував потужність радіомодуля згідно з регіональними стандартами;
- HT Tx Chains: вибираємо три всі канали;
- HT Rx Chains: вибираємо три всі канали;
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic10_config-2g.png" height="553" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
У вкладці Channel вибираємо заздалегідь створений канал для діапазону 2.4 ГГц. Як бачите, можна було налаштувати всі параметри прямо тут. Наявність профілю спрощує конфігурацію при конфігурації великої кількості точок доступу.
Зверніть увагу! Якщо ви хочете рознести канали на точках, необхідно створити кілька конфігурацій з кількома вибраними каналами.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic11_config-2g.png" height="550" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic12_config-2g.png" height="550" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Для Datapath та Security за аналогією вибираємо заздалегідь створені профілі.
Для діапазону 5 ГГц все аналогічно тільки вибираємо відповідний канал з діапазону 5 ГГц.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic14_config-list.png" height="479" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
У нашому випадку для прикладу використовуються 2 точки доступу, одна з яких підтримує два діапазони, тому конфігурацій ми маємо 3: 2 конфігурації для двох точок на 2.4 ГГц, одна конфігурація для 5 ГГц.
Для великої кількості точок достатньо створити по 2-3 конфігурації на діапазон. Далі вибирати їх у «шаховому» порядку, таким чином, щоб канали не перетиналися сусідніми АР.
Управління точками доступу
Для того, щоб налаштувати керування віддаленими точками доступу і бездротовими інтерфейсами, що є на них, необхідно створити відповідні правила у вкладці Provisioning.
Якщо у вас є лише одна конфігурація для всіх точок доступу - у полі Radio МАС залиште значення 00:00:00:00:00:00 і контролер буде застосовувати єдину конфігурацію для всіх МАС-адрес.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic15_provisioning.png" height="419" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
У нашому випадку конфігурацій кілька, тому ми прив'яжемо до кожної точки своє налаштування. Все, що нам для цього потрібно – вказати МАС точки.
У полі Action (дія) слід вибрати "create dynamic enabled".
При необхідності можна використовувати Slave-конфігурації, що дозволить створити кілька SSID на точку (Virtual AP).
Зверніть увагу. Для того, щоб одному пристрою з двома радіомодулями (Dual-Band) передати конфігурацію для 2.4 і 5 ГГц, необхідно створити 2 роздільні провіжини, кожен з яких прив'язати до МАС самого WLAN (wlan1 і wlan2 мають різні МАС-адреси)
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section2_pic16_provisioning.png" height="359" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
У результаті у нас вийшло 3 правила. Радимо використовувати коментарі, надалі це значно спростить адміністрування.
На цьому налаштування контролера завершено, можна розпочинати налаштування самих пристроїв.
Підключаємо AP до CAPsMAN
Підключаємося до першої точки доступу та вибираємо режим CAP за допомогою QuickSet, після чого режим зміниться на Ethernet. По суті це режим бриджу.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section3_pic18_provisioning.png" height="432" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Далі переходимо у вкладку Wireless і натискаємо кнопку «CAP», опція Enabled активує налаштування нижче.
У полі Interfaces вибираємо обидва інтерфейси, відразу ж відзначаємо запит сертифіката (Certificate: request) і вибираємо існуючий бридж.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section3_pic19_provisioning.png" height="360" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
При першому підключенні у нас нічого не вийде. Причина в тому, що ми вказали запит сертифіката на контролері. Точка доступу не змогла надати контролеру сертифікат, що діє, тому контролер відмовив у підключенні.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section3_pic17_provisioning.png" height="260" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Необхідно повернутися до налаштувань CAPsMAN та вимкнути запит сертифіката. Після того, як усі крапки отримають сертифікати, опцію можна буде повторно активувати. Для домашньої бездротової мережі особливої користі від використання сертифікатів немає. У випадку корпоративних мереж наявність сертифіката захищає від несанкціонованого додавання АР.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section3_pic20_provisioning.png" height="360" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
При необхідності, ви можете явно задати IP капсмана (наприклад, при роботі через Layer 3), інакше точка доступу самостійно шукатиме контролер у мережі Layer 2.
Частина друга: використовуємо можливості CAPsMAN v2" src="http://web.archive.org/web/20180216155615im_/http://lanmarket.ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section3_pic2png title="Домашня бездротова мережа на Mikrotik. Частина друга: використовуємо можливості CAPsMAN v2">
Після відключення запиту сертифіката на капсмані, бачимо, що точка отримала сертифікат. Все працює.
Повторюємо процедуру для другої точки доступу. Після того, як всі точки будуть підключені до контролера та отримають свої сертифікати, у налаштуваннях контролера повторно активуємо запит сертифіката. Більше до контролера не зможе підключитися жоден пристрій, який не має відповідного сертифіката.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic25_remote_cap.png" height="454" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
Частина друга: використовуємо можливості CAPsMAN v2">
Якщо все зроблено правильно, контролер побачить точки доступу, а самі точки отримають відповідні параметри.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic27_managed.png" height="419" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic28_managed.png" height="419" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
До речі, всі підключені радіонтерфейси відображатимуться у списку інтерфейсів на самому контролері.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic35_interfaces.png" height="359" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Підвищуємо зручність адміністрування
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic22_provisioning_comments.png" height="419" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
Для всіх правил конфігурації (provision) краще додати коментарі, інакше доведеться підглядати МАС-адреси точок при внесенні змін до конфіг.
Частина друга: використовуємо можливості CAPsMAN v2 src="http://web.archive.org/web/20180216155615im_/http://lanmarket.ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic2= title="Домашня бездротова мережа на Mikrotik. Частина друга: використовуємо можливості CAPsMAN v2">
Якщо ви використовуєте правила в тому вигляді, в якому радять у багатьох інструкціях, у списку інтерфейсів усі ваші точки відображатимуться як capX - орієнтуватися в таких інтерфейсах буде складно, погодьтеся.
Використовуйте параметри Name Format та Name Prefix. Перший параметр виставляємо «prefix identity», тобто. в назві інтерфейсу використовуватиметься префікс + Identity пристрою. Як префікс можна, наприклад, вказувати APx (AP1, AP2, AP3 ...), або 2G/5G - як вам зручніше.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic24_provisioning_ident.png" height="454" title="Домашня бездротова. Частина друга: використовуємо можливості CAPsMAN v2">
У нашому випадку я заздалегідь для кожної точки поставив унікальні та зрозумілі ідентифікатори - AP1_wAPac та AP2_wAP. Така назва дуже зручна, адже ви одразу визначите номер точки та модель пристрою.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic29_registration_table.png" height="454" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
При використанні параметра "Local Forwarding" (у профілі Datapath), всі клієнти будуть видні лише на окремих точках, при цьому список реєстрацій на контролері буде порожнім, що не зручно.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic30_datapath.png" height="461" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Відключаємо локальний форвардинг, після чого точки доступу будуть переініціалізовані.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic31_registration_table.png" height="359" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Тепер у таблиці реєстрацій ми бачимо всіх клієнтів із усіх точок.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic32_dhcp.png" height="359" title="Домашня бездротова мережа. Частина друга: використовуємо можливості CAPsMAN v2">
Для того, щоб точки доступу щоразу не отримували іншу IP від DHCP-сервера, можна виконати резервування/співставлення MAC:IP.
Відкриваємо IP – DHCP Server, вкладка Leases. Знаходимо наші точки доступу по MAC/Identity і правою кнопкою мишки викликаємо контекстне меню, в якому виконуємо дію Make Static. Далі можна вказати будь-який бажаний IP для кожної точки доступу. У моєму випадку це 192.168.0.11 та 192.168.0.12.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic33_acl.png" height="454" title="Домашня бездротова мережа на Mike Частина друга: використовуємо можливості CAPsMAN v2">
Робота з ACL не дуже відрізняється від того, як це робиться при ручному конфігуруванні бездротової мережі . Щоправда, у випадку з CAPsMAN, RouterOS надає набагато більше можливостей.
Якщо використовуєте ACL - створюйте 2 правила, перше правило з action: reject (відхилити), друге з action: accept (прийняти).
Частина друга: використовуємо можливості CAPsMAN v2" src="http://web.archive.org/web/20180216155615im_/http://lanmarket.ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic34 title="Домашня бездротова мережа на Mikrotik. Частина друга: використовуємо можливості CAPsMAN v2">
При цьому, як і раніше, для кожного зареєстрованого клієнта як коментар використовуватиметься коментар із правила ACL. Тобто. система вказуватиме, на підставі чого видано дозвіл на підключення.
Не нехтуйте перерахованими можливостями, вони здорово спростять ваше життя.
Централізоване оновлення RouterOS на CAP
Одна з важливих змін, реалізованих у CAPsMAN v2 – віддалене оновлення точок доступу.
Налаштування політики виконується у тому ж меню, що й активація менеджера CAPsMAN. Відповідають за оновлення 2 параметри: package-path і upgrade-policy, обидва вони відключені/порожні.
У полі package-path необхідно вказати шлях до директорії, у якій зберігатимуться файли *.npk, інакше, якщо директорія не задана, контролер може спробувати надати віддаленим точкам свої пакети.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic36_upgrade.png" height="322" title="Домашня бездротова мережа на Mikro Частина друга: використовуємо можливості CAPsMAN v2">
Зверніть увагу. Якщо контролер у вас на архітектурі ARM (наприклад, RB3011), а точки доступу – mipsbe, оновлення буде неможливо з файлів самого контролера. Саме для таких випадків і потрібний вищезгаданий параметр, шлях вказується у форматі /updates.
Upgrade Policy може приймати такі значення:
- none – дія не потрібна;
- require-same-version – вимагати ту ж версію. CAPsMAN спробує оновити RouterOS на CAP і, якщо оновлення не вдасться, контролер відмовиться виконувати налаштування точки.
- suggest-same-version - CAPsMAN спробує оновити RouterOS на CAP. При цьому навіть у випадку невдачі контролер виконає налаштування пристрою.
Частина друга: використовуємо можливості CAPsMAN v2" src="https://lanmarket.ua/ua/upload-files/statti/hexpoe_wap_ac2/home_wifi_on_mikrotik_cpasmanv2_section4_pic37_upgrade.png" height="271" title="Домашня бездротова мережа на Mikro Частина друга: використовуємо можливості CAPsMAN v2">
Роумінг безшовні на Mikrotik
Пара слів про безшовний роумінг на Mikrotik, якщо коротко - його немає і ніколи не було, ні на Mikrotik, ні на Ubiquiti UniFi. Причому Ubiquiti вже давно відмовилися від свого Zero-Handoff, т.к. він не дав бажаних результатів.
Роумінг від однієї AP до іншої AP, як і раніше – прерогатива самого клієнта. Саме клієнт вирішує, коли йому переходити на іншу точку, а коли ні. Стандарти 802.11a/b/g/n/ac, на жаль, не передбачають можливості повідомити клієнта про найближчі AP та рівень їх завантаження.
Використання ACL – скоріше примус клієнта «силою», оскільки виконує агресивне відключення клієнта, після чого слідує розрив зв'язку на 1-5 сек. І, знову ж таки, у випадку з ACL, немає жодних гарантій, що клієнт перейде на ту ж інфраструктуру, та й чи підключиться взагалі. На практиці клієнт може підключитися на точку з великим рівнем сигналу, до якої він раніше вже підключався. До того ж, чутливість клієнтів дуже відрізняється, тому деякі клієнти можуть відвалюватися раніше за інших.
По можливості використання ACL варто уникати, а якщо і використовуєте - вказуйте значення -85 дБм і нижче. В іншому випадку, при щільному розміщенні та низькому порозі відключення, клієнт кидатиметься між точками. Залежно від ПЗ, клієнт може взагалі припинити спроби підключення до деяких АР після кількох невдач. Справа в тому, що після декількох невдач клієнт ігноруватиме крапку по МАС, ще пізніше - по SSID.
У випадку з роумінгом на базі 802.11r/802.11k (який у Mikrotik не підтримується), точка повідомляє клієнта про те, що досягнуто межу RSSI, а також надає список доступних точок. Після цього клієнт намагається знайти іншу точку та встановити з нею зв'язок, якщо цього не сталося, клієнт залишається на старій точці. При цьому перемикання між точками не перевищує 50 мс (частіше 10-12мс), що не призводить до урвищ зв'язку. Існує також метод PMK Caching (OKC) із перемиканням у межах 100 мс. Незалежно від методу, перемикання відбувається лише після сканування щодо доступних АР.
Отже, якщо вам потрібний саме безшовний роумінг, радимо подивитися у бік рішень від Cambium Networks . У більшості випадків, для домашнього використання та використання в невеликих офісах цілком достатньо можливостей рішень від Mikrotik та Ubiquiti .
Авторизуйтеся, щоб додати відгук