В корпоративной среде WiFi выполняет все более заметную функцию и играет все возрастающую по значимости роль. К WiFi можно подключить смартфон или планшет, но, что гораздо важнее, корпоративный телефон, мобильный терминал сбора данных или онлайн-кассу для приема платежей и печати чеков. Хорошо, если необходимая вашему предприятию область действия WiFi-сети невелика, и можно обойтись обыкновенной недорогой точкой доступа, но как быть, если беспроводной связью необходимо покрыть тысячи квадратных метров на нескольких этажах? Варианты, безусловно, есть.
Во-первых , можно "наплодить" множество сетей WiFi на множестве автономных точек доступа. Вариант плох тем, что таким хозяйством сложно и неудобно управлять , при перемещении по территории предприятия некоторые мобильные устройства придется переключать между этими сетями вручную, и, самое главное, все это придется объяснить пользователям, которые не всегда хорошо понимают в ИТ, и просто неспособны впитать эти премудрости. Плюс у такого решения только один: это дешево .
Во-вторых , можно вещать одну сеть WiFi с помощью однотипных автономных точек доступа с поддержкой технологии WDS . Главный минус такого решения в том, что подавляющее, абсолютное и безоговорочное большинство более-менее доступных по цене (до 300 USD) точек доступа популярных вендоров безобразно работают в режиме WDS . Вещание может пропадать и восстанавливаться, коннективити между основными и зависимыми точками доступа будет нарушаться, а мобильные устройства будут терять связь и, вместе с ней, свои функциональные характеристики. Так что лучше оставить этот вариант для настоящих самураев.
Идеологически и технологически верным вариантом считается использование контроллера и зависимых точек доступа. Именно такой вариант и называется "бесшовный WiFi". Суть его в том, что точек доступа может быть много, а управлением ими и их вещанием занимается одно централизованное устройство-контроллер. Контроллер:
- отслеживает состояние подчиненных точек доступа, нагрузку на них;
- регулирует мощность сигнала и пропускную способность в зависимости от количества клиентов и характера их работы;
- самостоятельно восстанавливает необслуживаемые из-за отказов оборудования области за счет увеличения зоны покрытия от ближних точек доступа;
- обеспечивает веб-аутентификацию и динамические учетные записи для реализации т.н. "гостевого доступа" (для некоторых контроллеров доступны опции вроде принтеров для генерации и печати временных учетных данных пользователей);
- обеспечивает быстрый роуминг, с помощью которого вы можете свободно перемещаться, например, с WiFi-телефоном между зонами покрытия разных точек доступа, не прерывая разговор и не наблюдая при этом никаких перебоев со связью. Контроллер при этом своевременно "натравливает" на ваше устройство сигнал с наиболее близко расположенной точки доступа.
Современные контроллеры позволяют подключать точки доступа по WiFi в режиме репитера (т.н. технология Mesh) без кабельного подключения к сети, а также обеспечивают интеграцию со смежными ИТ-системами (например, Active Directory, сервисы геолокации и т. д.).
На чем строить бесшовный Wi-Fi
В нашем каталоге решений уже скрупулезно подобраны и описаны варианты бытовых, корпоративных и отраслевых WiFi-решений: . А если идти "по верхам", то наиболее удачные варианты бесшовного Wi-Fi на рынке представлены следующими вендорами:
2. В сегменте middle-end царствует другой американский производитель - . Относительно недорогой, Cambium также отличается надежностью и высокой производительностью.
Подобно Ruckus Unleashed, Cambium также может работать в режиме управления сетью без контроллера. У Cambium эта экосистема называется autoPilot, она поддерживает до 32 точек доступа в сети и до 1000 беспроводных клиентов. Функционально она почти не уступает версии с контроллером, к тому же не требует никаких инвестиций, помимо покупки самих точек доступа - не нужно покупать лицензий, сервисных контрактов и их обновлений.
Надо быстрее, выше, сильнее? Пожалуйста! Бесплатный облачный контроллер cnMaestro поддерживает уже до 4000 точек доступа и до 25000 беспроводных клиентов. Софт можно совершенно бесплатно установить на собственный сервер, если убеждения не позволяют использовать облачные решения. С функционалом у Cambium тоже все в порядке: тут вам и централизованное управление экосистемой, и сервисы геолокации, аналитики, анализа радиоэфира, интеграции со смежными системами... в общем все, чего душа желает.
Недостатком Cambium можно считать относительно бедную линейку точек доступа: . Хотя все необходимое в ней присутствует: есть точки доступа с секторными антеннами, с поддержкой 802.11ac Wave 2, MU-MIMO 4x4:4, уличные и для помещений. В общем, полный джентельменский набор к вашим услугам!
3. В бюджетном сегменте конкуренция значительно выше, но мы выделяем среди прочих дерзких китайцев TP-LINK. Это главный и наиболее интересный конкурент Ubiquiti (о котором будет ниже), хотя такое сравнение в 2019 году для TP-LINK уже вовсе не лестное.
Для начала давайте разберемся с самим лейблом TP-LINK: вообще-то их два. Есть TP-LINK, который делает дешевые домашние роутеры и пластмассовые свитчи, а есть TP-LINK, который делает продукты линейки Enterprise - системы WiFi, коммутаторы серии Smart, аксессуары к ним. Это, фактически, 2 разные компании, т.к. между этими двумя направлениями нет точек пересечения ни в области научных разработок, ни в производственных линиях. И, объективности ради, Enterprise TP-LINK значительно выше качеством, чем его младший собрат, специализирующийся на продукции для SOHO.
Теперь к WiFi. У TP-LINK есть линейка Auranet CAP - в настоящий момент находящаяся в некотором забытии (но это временно). Потолок решения - 500 точек доступа, 10000 беспроводных клиентов. Контроллеры - только аппаратные, на 50 или 500 точек доступа. Точки доступа - в достаточно старом, "топорном" дизайне, но с поддержкой честного бесшовного роуминга в соответствии со стандартами 802.11k/v, Beamforming, Band Steering, Airtime Fairness - в общем, набор совершенно полный. High Density на TP-LINK, конечно, не обеспечить, но мероприятия по 200-300 пользователей в одном зале мы уже обслуживали, и нареканий у заказчиков это не вызвало.
Вторая экосистема у TP-LINK называется Omada , в ней представлены точки доступа серии EAP. Контроллер - Omada Controller - выпускается в аппаратном исполнении (с лимитом в 50 точек доступа в 1-й сети), но есть и в программном, который можно установить на сервер под управлением Windows или Linux. Точки доступа EAP выглядят современно, и, само собой, умеют все, что нужно уметь в 2019 году уважающей себя точке доступа.
4. Наш следущий пациент - Ubiquiti серии UniFi. Это когда хочется красиво и дешево. Причем "красиво" с Ubiquiti будет постоянно, т.к. у них все подчинено дизайну: от упаковки до дизайна интерфейсов управления. И дизайн действительно едва ли не лучший в отрасли. В целом же продукция Ubiquiti характеризуется крайне невысокой ценой при достаточно высоком качестве продукта в целом.
Главный минус Ubiquiti заключается в том, что подлинно бесшовный роуминг WiFi в соответствии со стандартами IEEE он все же не поддерживает, предлагая взамен его проприетарную реализацию. Которая работает, ну, скажем, так себе. Поэтому если вам нужно организовать безупречную работу роуминга клиентов WiFi с голосовыми или видеоприложениями, то Ubiquiti, как это ни печально, вам уже не подойдет. Тоже самое касается High Density - это не про Ubiquiti. Вообще в радиочасти Ubiquiti далек от идеала, но благодаря мощной компонентной базе, очень широкой линейке оборудования и правильной маркетинговой политики, они до сих пор являются одним из самых популярных производителей WiFi-решений. В России у Ubiquiti обнажаются еще 2 существенных недостатка: отсутствие официального сервиса и представительства. Первое значит, что гарантия на территории РФ работает чуть лучше, чем никак, а второе - что у вас не будет ни техподдержки, ни сертификатов на оборудование (что закрывает ему дорогу на государственные предприятия и к операторам связи).
Преимущество Ubiquiti - в их экосистеме UniFi, включающей в себя теперь уже не только WiFi-оборудование, но также коммутаторы, маршрутизаторы, видеонаблюдение, телефонию, а с недавних пор даже некоторые компоненты "умного дома". Причем управление всем этим хозяйством доступно через очень красивые и удобные приложения (в т.ч. мобильные), интегрирующиеся с "облаком" Ubiquiti, т.е. "порулить" экосистемой UniFi вы сможете из любой точки планеты, и это без всяких плясок с пробросом портов, статическими IP-адресами и прочей чехарды. В общем, это действительно удобно.
5. Mikrotik, Edimax, Wisnetworks, TG-NET и т. д. 5-й пункт в этом списке мы дописываем только потому, что число 5 - красивее, чем 4. Ну или репутация у него лучше. Объективно перечисленные тут вендоры пока не дотягивают даже до уровня Ubiquiti (они может быть и не хуже, но по совокупности факторов их восприятия рынком все же не так значительны), однако все равно занимают на рынке какую-то нишу и пользуются какой-то популярностью.
Дерзко похвастаемся: у нас накопился обширный опыт развертывания больших сетей Wi-Fi, мы успели вживую "пощупать" самые разнообразные решения большинства профильных вендоров, и знаем их сильные стороны и подводные камни. Мы готовы применить свой опыт для проектирования и инсталляции беспроводных сетей на вашем предприятии. - сэкономите свои время и деньги!
Сейчас набирают популярность различные беспроводные устройства, для которых скоростной доступ в сеть возможен только посредством WiFi. Это Ipad/Iphone, и другие мобильные гаджеты. Когда вы хотите организовать WiFi доступ на площади 30 кв. м., то установка обычного Dlink за 1200 рублей, решат все ваши проблемы, но, если у вас площадь >500 кв. м. и это только по одному этажу это решение не подойдет. Если использовать обычные точки доступа или роутеры, то у каждого роутера будет свое название сети (уникальный SSID) либо роутеры надо будет разносить далеко, чтобы зоны покрытия не перекрывались, а это приведет к появлению зон с очень плохим качеством приема, или, вообще, отсутствующим сигналом. Где-то полгода назад, столкнулся с такой же проблемой, решение нашлось достаточно быстро это UniFi.
Пример Установки WiFi UniFi в автосервисе-автомойке с несколькими зданиями.
UniFi обеспечивает покрытием беспроводной сети школьный округ Аркадия в Калифорнии (перевод).
UniFi обеспечивает беспроводным доступом высококлассные отели в Перу (перевод).
Возможности WiFi точек UniFi:
Одна сеть для всех точек WiFi.
Привлекательный дизайн.
Простота монтажа, PoE.
Отображение зоны покрытия и расположения точек доступа на дисплее администратора.
Централизованное управление беспроводной сетью.
Гостевые сети, без доступа к локальной сети.
Создание временных паролей для гостевых пользователей.
Автоматическое обновление ПО на точках доступа.
Высокая масштабируемость: до 100 и более точек.
Множественные беспроводные сети с разграничением прав доступа.
Разделение трафика пользователей сети по VLAN.
Быстрый внутрисетевой роуминг при переключении между точками доступа.
Отслеживание трафика пользователей, определение источников повышенной нагрузки на сеть.
Большая зона покрытия.
Возможность генерации одноразовых временных паролей (актуально для мест общего пользования: гостиниц, кафе и т. п.)
Подключение точек в режиме репитера.
Обзор возможностей контроллера UniFi Controller тут.
Внедрение WiFi от Ubiquity в отелях Перу тут (перевод).
Аппаратный контроллер для Ubiquiti UniFi. UniFi Cloud Key.
Как это выглядит на практике:
На один из компьютеров сети устанавливается программный контроллер, на котором производятся все настройки беспроводной сети.
Через этот контроллер впоследствии производятся все настройки точек и параметров сети. Ниже пара скриншотов настроек и внешнего вида.
Это план здания с указанием мест установки точек.
Настройка гостевой сети, без доступа к ресурсам корпоративной.
Мониторинг активных клиентов.
Мониторинг точек доступа.
Вид сверху.
Процесс установки и настройки предельно простой:
1. Расставляете точки и подключаете их к локальной сети, UniFi поддерживают PoE так, что для их подключения нужна только ethernet розетка.
2. Устанавливаете программный контроллер на любой компьютер сети, настраиваете параметры WiFi сетей, инициализируете точки, после инициализации на точке применятся настройки с контроллера, и точка будет готова для работы. Даже при выключенном контроллере настройки на точках сохраняются.
В этой статье мы научимся создавать единую бесшовную WiFi-сеть на роутерах MikroTik / Микротик. Где это может пригодиться? Например, в разного рода кафе или отелях, где одного wi-fi роутера недостаточно для покрытия всех помещений и доступа в интернет , а с большим количество точек доступа постоянно возникают различного рода проблемы: на ноутбуках постоянно пропадает соединение, а мобильные устройства не переключаются самостоятельно на ближайшую точку доступа.
Решение этой ситуации – бесшовный роуминг WiFi сети или handover, который мы можем получить благодаря функционалу CapsMan из нескольких роутеров Микротик, один из которых будет контроллером WiFi, а остальные – точками доступа, управляемые этим контроллером.
Первое, что нужно сделать – это обновиться до последней версии ПО. Прошивку можно скачать на официальном сайте. Далее, зайдя в интерфейс MikroTik, перетаскиваем ее в раздел Files и перегружаем роутер. Вместе с прошивкой так же нужно скачать пакет Wireless CAPs MAN, перетащить в то же место и перегрузиться. После произведенных действий можно переходить к настройке.
Начнем с контроллера. Открываем раздел CAPsMAN, нажав соответствующую кнопку в главном меню. Во вкладке Interfaces жмем кнопку Manager (включаем режим контроллера) и в появившемся окне ставим галочку Enable, сохраняемся OK. После этого переходим во вкладку Configurations.
Настройки конфигурации будут распространяться на все точки доступа, подключенные к контроллеру. Жмем синий крест и во вкладке Wireless указываем имя конфигурации (3), режим беспроводной сети (4), имя сети (5), а также включаем все беспроводные антенны на прием и передаю (6), сохраняемся (7) и переходим во вкладку Channel.
Здесь указываем частоту (2), формат вещания беспроводной сети (3) и канал (4). Сохраняемся (5) и переходим во вкладку Datapath.
Здесь нам нужно только поставить галочку в Local Forwarding – это передаст управление трафиком точкам доступа. Осталось заполнить последнюю вкладку Security.
В разделе безопасности выбираем тип аутентификации, метод шифрования и пароль к беспроводной сети, жмем OK.
После того, как создали конфигурацию, переходим к следующему пункту – развертывание. В том же разделе CAPsMAN выбираем вкладку Provisioning (1) и жмем синий крест. Поле Radio MAC (2) позволяет выбрать определенную точку доступа, к которой будет относиться наше развертывание. Оставляем его по умолчанию, чтобы развертывание относилось ко всем точкам доступа. В следующем поле Action (3) выбираем createdynamicenabled, так как у нас динамический интерфейс. В Master Configuration (4) указываем имя созданной выше конфигурации.
С разделом CAPsMAN закончили, переходим к разделу Wireless (1). Во вкладке Interfaces жмем кнопку CAP (3), ставим галочку Enabled (4), выбираем интерфейс wlan1 и указываем ip-адрес нашего основного роутера, который по совместительству является контроллером.
Если мы сделали все правильно, то во вкладке Interfaces появятся две красные строчки, которые свидетельствуют о том, что wi-fi адаптер подключился к контроллеру и перенял все необходимые настройки.
На этом настройка главного роутера-контроллера закончена, и эту сеть можно использовать для создания телефонной сети и подключения к офисной АТС
Настройка точек доступа, которые будут подключаться к контроллеру по Ethernet-кабелю, довольно проста. Их тоже нужно прошить до последней версии и установить CAPs MAN. Далее объединяем все порты и wi-fi интерфейс в один Bridge в одноименном разделе.
Следующим шагом в разделе Wireless проделываем то же самое, что и на контроллере, за исключением того, что вместо IP-адреса в CAPs MAN Addresses, указываем созданный на точке доступа Bridge в поле Discovery Interfaces. После проделанных манипуляций точка доступа получит настройки с контроллера и будет раздавать wi-fi (должны появиться такие же две красные строчки во вкладке Interfaces).
Эти вопросы часто задают заказчики, нуждающиеся в сложной организации корпоративных сетей на большой территории предприятия.
На базе Wifi предложена технология обеспечения доступа к корпоративной вычислительной сети на складах, в офисах и производственных помещениях.
Как известно, Wifi - это беспроводной стандарт связи на нелицензируемых частотах. К недостаткам этого стандарта можно отнести ограниченный радиус действия отдельных точек доступа, эта проблема решается с помощью объединения отдельных сетей в одну мультисеть.
Бесшовный роуминг реализуется подключение пользователей к локальным, зоновым мультисетям множества поставщиков. Такой подход в настоящий момент реализуется и для гетерогенных сетей, например, с целью объединения услуг WiMAX, Wi-Fi, GSM, CDMA, GPRS, UMTS.
В случае с WiFi бесшовный роуминг есть объединение разных точек доступа и обеспечение перехода абонента между сетями Wi-Fi неощутимо для пользователя.
В целом, бесшовный wifi роуминг обеспечивает бесперебойное подключение абонентов при пересечении границ сетей.
Технология «бесшовного» доступа уже предложена рядом компаний. Например, для гетерогенных wifi сетей «бесшовных роуминг» разработала компания Cisco, бесшовным Wi-Fi роумингом корпоративного формата активно занимается Motorola, Microtik и Aruba. Это, пожалуй, самые яркие предложения на рынке на сегодняшний день, поэтому постараемся их сравнить на двух прикладных задачах, разворачивая бесшовный wifi на склад и wifi для гостиниц.
Основные элементы технологии бесшовного wifi
Развитие «бесшовных» технологий и сетей является основным трендом современного технологического развития.
В современных сетях производители пытаются объединить вычислительные мощности сети, как в гомогенные (одного типа), так и гетерогенные (разных типов) инфраструктуры. Такой подход продиктован широким разнообразием стандартов сетей, включая как с коммутацией пакетов, так и каналов.
Для зоновых сетей такие решения принято называть мультисервисными сетями. Для локальных корпоративных сетей существует целый ряд сетевых приложений, между которыми нужно обеспечить согласование и безусловный доступ незаметно для пользователя.
Технология реализуется с помощью специального программного обеспечения, которое сохраняет IP-адрес клиента в локальной или в зоновой сети, что позволяет одновременно обеспечить гарантированную доставку данных и бесперебойный трафик при переходе между сетями.
Таким образом, подразумевается и бесперебойная работа приложений.
В настоящий момент развивается парадигма "бесшовного WiFi доступа", который реализуется рамках виртуальных локальных сетей VLAN - Virtual LAN.
Бесшовный роуминг wifi Motorola, Microtik, Aruba
Если говорить и предложенных технологических решениях, то имеет смысл обратить внимание на три компании, работающие в этом сегменте - это Motorola, Microtik, Unifi, эти компании между собой активно конкурируют. Особенности технологии и идея заимствована в мобильных сетях, в которых подобная функция бесшовного роуминга известна как «функция хендовер».
В результате реализации бесшовного роуминга обеспечивается доступ к сети без единого разрыва при переходе между сетями. Технология реализуется с помощью специального сетевого оборудования.
Бесшовный роуминг wifi Motorola, Microtik, Aruba предлагает похожие базовые функции: по умолчанию работу в режимах Bridge/Router, функцию восстановления DHCP и наличие DHCP Relay Option 82.
Если необходимо развернуть wifi для гостиниц, все же имеет смысл выбрать wifi Motorola, в котором реализован:
- доступ по HTTP / HTTPS, SSHv2, Telnet, SNMP (v2c, v3)
- функция Captive Portal, управляющая учетными записями пользователей и шифрующая трафик.
Если использовать бесшовный роуминг wifi Microtik также имеются достаточно широкие возможности, особенно это касается доступного н рынке сетевого оборудования, аутентификация пользователей тогда реализуется на базе программного обеспечения сторонних производителей.
Бесшовный роуминг wifi Unifi является во многом дешевой и нестабильной репликой, активно предлагающей свое оборудование для развертывания сложных Wi-Fi сетей. Мы не рекомендуем данное оборудование.
При этом все-таки хочется выделить функции бесшовного wifi Motorola, который с помощью «родного» программного обеспечения и радиус-сервера маршрутизирует трафик в беспроводных мультисетях, поддерживается встроенный абонентский биллинг с качественной аутентификацией и шифрованием пакетов (WEP, WPA, WPA2).
Этот вариант особенно рекомендуется для корпоративных сетей при необходимости обеспечения сетевого доступа на всей территории компании, в том числе, когда нужно установить wifi на склад, производство или в офис в защищенном режиме со сниженными рисками перехвата трафика.
Для полнофункциональных мультисервисных wifi сетей Моторола с помощью SMART RF реализует возможность выбора каналов и уровней мощности на порте в WiFi роутерах Motorola, что позволяет настроить и оптимизировать трафик.
Таким образом, VLAN (виртуальная локальная сеть) позволяет решить максимум корпоративных задач и реализовать на базе беспроводной сети.
Бесшовный роуминг wifi mikrotik позволяет организовать недорогие беспроводные сети, но все-таки в значительной мере уступает Motorola, несмотря на технологически близкие предложения.
Все компании предлагают законченный набор аппаратного оборудования, позволяющего развернуть «большие» wifi-сети, объединяя отдельные точки доступа в одну сеть и обеспечивая эффективную маршрутизацию.
При этом оптимальные объем функций, требуемых в современных корпоративных сетях, реализован только в wifi Motorola, конечно же, это во многом касается безопасности сетей и блокирования доступа.
При этом, например, бесшовный роуминг wifi motorola может быть порекомендован как недорогое решение с полным набором функций с целью организации wifi для гостиниц. Опять же это актуально как для гостиничных комплектов, так и для небольших отелей, особо не заботящихся о безопасности перехвата трафика клиентов во внутренней сети.
О предложенных технологиях приведенных компаниях можно сказать, что они продолжают развиваться, каждые полгода выходят обновления, новая прошивка аппаратного оборудования. Причем все решения предлагаются так, чтобы пользователи могли постоянно обновлять свои сети, в том числе, используя наследуемое оборудование, которое не мешает реализовать новые функции.
Если все же рассматривать беспроводную локальную сеть на базе оборудования предложенных компаний, то все же Motorola предложила значительно более развитую версию - wifi Motorola рекомендуется нашей компанией по умолчанию.
Введение
Как я уже сказал, у меня есть на тему настройки capsman в mikrotik. В наше время в связи со скоростью развития информационных технологий информация очень быстро устаревает. И хотя статья все еще актуальна, ее регулярно читают и используют, сейчас есть что к ней добавить.
Вышла новая версия технологии Controlled Access Point system Manager (CAPsMAN) v2. Я расскажу немного о ней. В своей работе буду опираться на опыт предыдущей статьи и на официальный Manual:CAPsMAN с сайта производителя микротиков.
В моем распоряжении будут 2 роутера RB951G-2HnD, которые в соответствии с моими рекомендациями на эту тему. Рекомендую на всякий случай ознакомиться с ними, чтобы было общее представление о базовых настройках роутеров. На одном из этих роутеров я настрою контроллер точек доступа, другую подключу к этому контроллеру. Обе точки образуют единую бесшовную wifi сеть с автоматическим переключением клиентов к ближайшей точке.
Примера из двух точек доступа будет достаточно для общего представления о работе технологии. Дальше эта настройка линейно масштабируется на необходимое количество точек доступа.
Что такое capsman v2
Для начала расскажу, что такое capsman v2 и чем он отличается от первой версии. Сразу стоит сказать, что совместимости между двумя версиями нет. Если у вас контроллер v2, то к нему могут подключаться только точки доступа с такой же версией. И наоборот — если у вас точки v2, подключиться к контроллеру первой версии не получится.
CAPsMAN v2 имеет другое название пакета в системе — wireless-cm2 . Он появился в системе начиная с версии RouterOS v6.22rc7. У предыдущей версии название — wireless-fp, он появился в версии v6.11. Если у вас нет нового пакета, до последней.
Список нововведений capsman v2:
- Возможность автоматически обновлять управляемые точки доступа.
- Усовершенствован протокол обмена информацией между контроллером и точками доступа.
- Добавлены поля «Name Format» и «Name Prefix» в настройках Provision rules.
- Улучшено логирование процесса переключения клиента от точки к точке.
- Добавлен L2 Path MTU discovery.
Если у вас в сети уже настроен capsman, то разработчики предлагают следующий путь обновления всей вашей сети до v2:
- Настраиваете в исходной сети временный контроллер capsman v2.
- Начинаете постепенно обновлять управляемые точки доступа для установки в них пакета wireless-cm2. Все обновленные точки доступа будут подключаться к временному контроллеру.
- После того, как все управляемые точки доступа будут обновлены до последней версии, обновляете основной контроллер capsman. После того, как это случится, выключаете временный контроллер.
Есть более простой путь, если вам не критичен простой сети на некоторое время. Одновременно запускайте обновление на всех роутерах — и на контроллере и на точках. Как только они обновятся, все заработает на новой версии.
Сразу предупреждаю, если возникнут вопросы на эту тему. Я лично не проверял обновление до версии v2, не было в этом необходимости.
Настройка контроллера wifi сети
Переходим от теории к практике. Первым делом настроим контроллер capsman перед подключением к нему точек доступа. Как я уже говорил, обновляем перед этим систему. У нас должен быть установлен и активирован пакет wireless-cm2 .
Чтобы активировать функцию контроллера беспроводной сети, идем в раздел CAPsMAN , нажимаем на Manager и ставим галочку Enabled.
Прежде чем продолжить настройку, расскажу немного о принципе работы системы. В сети настраивается контроллер управления точками доступа. К нему подключаются отдельные wifi точки и получают с него настройки. Каждая подключенная точка доступа образует виртуальный wifi интерфейс на контроллере. Это позволяет стандартными средствами управлять траффиком на контроллере.
Наборы настроек на контроллере могут быть объединены в именованные конфигурации. Это позволяет гибко управлять и назначать различные конфигурации разным точкам. К примеру, можно создать группу с глобальными настройками для всех точек доступа, но при этом отдельным точкам можно задать дополнительные настройки, которые будут перезаписывать глобальные.
После подключения управляемой точки к мастеру сети, все локальные wireless настройки на клиенте перестают действовать. Они заменяются настройками capsman v2.
Продолжим настройку контроллера. Создадим новый радиоканал и укажем его параметры. Идем на вкладку Channels , жмем на плюсик и указываем параметры.
Выпадающего списка в настройках нет и это неудобно. Подсмотреть настройки можно в текущих параметрах Wifi, если он уже настроен.
Продолжаем настройки на вкладке Datapaths . Жмем плюсик и задаем параметры.
Немного задержусь на параметре local-forwarding . Если он активирован, то всем траффиком клиентов точки доступа управляет сама точка. И большинство настроек datapath не используются, так как контроллер не управляет траффиком. Если этот параметр не установлен, то весь трафик с клиентов поступает на контроллер сети и там управляется в зависимости от настроек. Если вам необходим траффик между клиентами, то укажите параметр Client To Client Forwarding.
Переходим к настройкам безопасности. Открываем вкладку Security Cfg. и жмем плюсик.
Пришло время объединить созданные ранее настройки в единую конфигурацию. Таких конфигураций может быть несколько с разными настройками. Для примера достаточно и одной. Идем на вкладку Configurations и жмем плюсик.
На первой вкладке Wireless указываем имя конфигурации, режим ap и имя SSID будущей бесшовной wifi сети. На остальных вкладках просто выбираем созданные ранее настройки.
Основные настройки mikrotik контроллера capsman v2 закончены. Теперь нужно создать правила распространения этих настроек. Как я уже ранее писал, разным точкам можно предавать разные конфигурации. Контроллер может идентифицировать точки доступа по следующим параметрам:
- Если используются сертификаты, то по полю Common name сертификата.
- В остальных случаях используются MAC адреса точек в формате XX:XX:XX:XX:XX:XX
Так как в своем случае я не использую сертификаты, создадим правило распространения настроек на основе MAC адреса. А так как у меня единая конфигурация для всех точек, то и правило распространения будет самое простое. Сделаем его. Переходим на вкладку Provisioning и жмем плюсик.
| Radio Mac | MAC адрес точки доступа |
| Hw. Supported Modes | не понял для чего это, в документации пусто |
| Identity Regexp | в документации тоже ничего нет |
| Commom Name Regexp | и про это нет |
| IP Address Ranges | и про это тоже |
| Action | выбор действия с радио интерфейсом после подключения |
| Master Configuration | выбор оснвной конфгиурации, которая будет применена к создаваемому радио интерфейсу |
| Slave Configuration | второстепенная конфигурация, можно подключить еще один конфиг клиентам |
| Name Format | определяет синтаксис названий для создаваемых CAP интерфейсов |
| Name Prefix | префикс для имен создаваемых CAP интерфейсов |
На этом настройка контроллера capsman v2 закончена, можно подключать wifi точки доступа к нему.
Подключение точек доступа
В моем повествовании участвуют две точки доступа с адресами 192.168.1.1 (Mikrotik) и 192.168.1.3 (CAP-1) , соединенные между собой по ethernet кабелю. Первая из них контроллер, вторая простая точка. Обе точки видят друг друга в локальной сети. Wifi интерфейс контроллера так же как и обычной точки подключается к capsman и берет у него настройки. То есть контроллер является одновременно и контроллером и рядовой точкой доступа. Даже комбинация из двух точек организует полноценную бесшовную wifi сеть на всей площади, которую покрывают их радио модули.
Подключение точек доступа CAP к контроллеру CAPsMAN возможно по двум разным протоколам — Layer 2 или Layer 3. В первом случае точки доступа должны быть расположены физически в одном сегменте сети (физической или виртуальной, если это L2 туннель). В них не обязательно настраивать ip адресацию, они найдут контроллер по MAC адресу.
Во втором случае подключение будет по протоколу IP (UDP). Нужно настроить IP адресацию и организовать доступность точек доступа и контроллера по IP адресам.
Для начала подключим отдельную wifi точку. Подключаемся к ней через winbox и переходим в раздел Wireless . Там нажимаем на CAP и указываем настройки.
В моем случае я указал конкретный IP контроллера, так как ip адресация настроена. Если вы хотите по l2 подключать точки к контроллеру, то поле с адресом капсман оставляем пустым, а в Discovery Interfaces выбираете интерфейс, который подключен к контроллеру. Если они в одном физическом сегменте сети, то точка автоматически найдет мастер.
Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то на самой точке будет такая картина:
А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа:
Если у вас по точка доступа упорно не подключается к контроллеру и вы никак не можете понять, в чем проблема, то первым делом проверьте, что у вас активированы на всех устройствах пакеты wireless-cm2. У меня получилось так, что после обновления на одной из точек был включен пакет wireless-fp, вместо необходимого. Точка доступа ни в какую не хотела подключаться к контроллеру, что я только не пробовал. Я и ее контроллером делал, другая не хотела к ней подключаться. Я сбросил все настройки, но и это не помогло. Когда совсем отчаялся решить проблему, проверил версию пакета и обнаружил, что она не та.
Проделаем теперь то же самое на самом mikrotik контроллере — подключим его wifi интерфейс к capsman v2. Делается это абсолютно так же, как только что проделали на отдельной точке wifi. После подключения смотрим картинку на контроллере. Должно быть примерно так:
Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.
Проверка работы бесшовного wifi роуминга
Теперь можно взять телефон на андроиде, поставить на него программу Wifi Analyzer и походить по всей покрываемой wifi территории, протестировать мощность сигнала, переключение от точке к точке. Переключение происходит не сразу, как только сигнал новой точки будет сильнее предыдущей. Если разница не очень большая, то переключение к новой не произойдет. Но как только разница начинает быть существенной, клиент перескакивает. Эту информацию можно наблюдать на контроллере.
После анализа зоны покрытия можно подкорректировать мощность точек доступа. Иногда может быть полезно настроить разную мощность на разных точках, в зависимости от схемы помещений. Но в общем и целом даже в базовой настройке все работает вполне стабильно и качественно. К данным моделям микротик (RB951G-2HnD) могут подключаться и комфортно работать по 10-15 человек. Дальше могут быть нюансы в зависимости от нагрузки. Эти цифры я привел из своих примеров реальной работы.
2 сети в capsman на примере гостевой wifi
Рассмотрим для примера одну распространенную ситуацию, которую можно реализовать с помощью технологии capsman. У нас настроена бесшовная сеть wifi с авторизацией по паролю. Нам нужно на эти же точки доступа добавить еще одну гостевую сеть для открытого доступа. В одиночном mikrotik это делается с помощью Virtual AP . Сделаем то же самое в capsman.
Для этого нужно добавить новую настройку безопасности. Идем в Security Cfg. и создаем настройку для доступа без пароля. Называем ее open.
Создаем еще одну конфигурацию, в которой все остальные настройки оставляем те же самые, только меняем SSID и настройку безопасности.
Идем на вкладку Provisioning , открываем ранее созданную конфигурацию и добавляем туда в параметре Slave Configuration нашу вторую конфигурацию, которую мы только что сделали.
Сохраняем изменения. Тут я подождал несколько секунд, новая настройка не распространилась на точки. Я не стал ждать, зашел на каждую точку и переподключил ее к контроллеру. Возможно этого не нужно было делать, а надо было подождать. Не знаю, сделал как есть. Новая настройка распространилась и в каждой точке доступа появилась новая сеть типа Virtual AP с открытой wifi сетью.
Проверил на всякий случай работу — все в порядке. Подключает клиентов одновременно к обоим сетям и позволяет работать.
Я для примера работы Virtual AP в capsman рассмотрел текущую ситуацию. Здесь клиентов гостевой сети подключает в тот же бридж и адресное пространство, что и пользователей закрытой сети. По хорошему нужно сделать дополнительные настройки:
- Создать на контроллере для открытой сети отдельный bridge, назначить ему свою подсеть и адрес в ней, добавить в этот бридж второй wlan интерфейс, который появится после подключения к capsman с двумя конфигурациями.
- Настроить в этой подсети отдельный dhcp сервер с раздачей адресов только из этой подсети.
- В настройках capsman в datapath создать отдельную конфигурацию для открытой сети. В ней указать новый bridge и не выбирать параметр local forwarding.
- В конфигурации для открытой сети выбрать новый datapath.
После этого всех подключенных к открытой wifi сети будет отправлять в отдельный бридж, где будет свой dhcp сервер и адресное пространство, отличное от основной сети. Не забудьте в dhcp проверить настройки шлюза и dns сервера, которые вы будете передавать клиентам.
Видео настройки capsman
Заключение
Подведем итог проделанной работы. На примере двух точек доступа Mikrotik RB951G-2HnD мы настроили бесшовный wifi роуминг на покрываемой этими точками площади. Площадь эта легко расширяется дополнительными wifi точками любой модели микротик. Они не обязательно должны быть одинаковыми, как это, к примеру, реализовано в некоторых конфигурациях Zyxell, которые мне доводилось настраивать.
В этом примере я рассмотрел практически самую простую конфигурацию, но при этом расписал все настройки и принцип работы. На основе этих данных легко составить и более сложные конфигурации. Здесь нет какого-то принципиального усложнения. Если понять, как это работает, то дальше уже можно работать и делать свои конфигурации.
Трафиком с точек доступа можно управлять так же, как и с обычных интерфейсов. Работает весь базовый функционал системы — firewall, маршрутизация, nat и т. д. Можно делать бриджы, делить адресное пространство и многое другое. Но стоит учитывать, что при этом трафик будет весь идти через контроллер. Нужно это понимать и правильно рассчитывать производительность и пропускную способность сети.
Напоминаю, что данная статья является частью единого цикла статьей про .
Полезные отзывы о работе capsman
Немного полезной информации из отзывов к статье от реальных пользователей технологии capsman:
Владимир, хорошая статья! Много букв полезных!:) При настройке capsman на предприятии ссылался на твою статью — многое почерпнул, но немного изменил. Изменения коснулись вкладки «Channels» — убрал позицию Frequency т.к. использование одной частоты на всех точках не рекомендовал бы, потому что рядом стоящие точки начинают «захлёбываться» и соответственно возникают обрывы соединения… Мои пользователи жаловались на низкий уровень сигнала при нахождении рядом с точкой доступа (а на самом деле были подключены к точке с плохим уровнем сигнала)… для того чтобы пользователи «прыгали» с точки на точку, которая имеет лучше сигнал, решил сделать ограничение по порогу уровня сигнала, сделав запись в вкладке AccessList. Значения внёс в SignalRange => -71..120 Interface=> all Action => accept, этим добился того что при достижении сигнала ниже -71 абонент «покидает» точку:) Значение -71 взято не случайно (минимальный уровень сигнала при скорости 54Mbit) Также во вкладке Provisioning изменил значение NameFormat, вместо cap поставил identity (при подключении к контролеру показывает название точки которое прописано в system->identity устройства), у кого есть реализация в домашних устройствах, тому может и не надо это, а у кого точки разбросаны по большой территории и их много — будет полезно:) В общем спасибо большое и извени за много букв:)
И еще один отзыв:
Статья очень хорошая, но я бы ее дополнил/переделал в части гостевой wifi сети:
1) разделил 2 wifi сети по разным радиоканалам.
2) Для безопасности я бы отделил гостевую сеть от основной. Учитывая, что у вас гостевая сеть без пароля поломать вас захочет каждый студент со смартфоном. Создается бридж (bridge_open), назначается бриджу ip адрес из другой сети (192.168.200.1/24), создается dhcp-pool (192.168.200.10-192.168.200.100), поднимается на созданном бридже dhcp сервер, создаем еще один Datapaths (Datapaths_open) в котором указываем созданный бридж (bridge_open), для конфигурации гостевой сети cfg2 применяем Datapaths_open. Далее настраиваем NAT и firewall, чтобы из гостевой сети (192.168.200.0/24) в интернет доступ был, а в локальную рабочую блокировался (drop forward из 192.168.200.0/24 в локальную сеть).
Онлайн курсы по Mikrotik
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate . Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте. Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:- Знания, ориентированные на практику;
- Реальные ситуации и задачи;
- Лучшее из международных программ.
- Как с помощью Mikrotik.
- Простая и быстрая .
- Настройка и на отдельном сервере.
- для резервирования канала в интернет.