CAPsMAN контроллер 2.4/5GHz Multi SSID на vlan

Настройка Wi-Fi контроллера CAPsMAN на 2 диапазона и несколько SSID сетей наиболее правильным вариантом на vlan

Данный вариант я считаю правильными, хоть и более сложным в реализации (пока к нему не привыкнешь). Он нужен только корпоративной среде или если нужно управление одним контроллером несколькими офисами, а также если трафик не нужно гонять через контроллер и у вас есть понимание, что такое vlan и как его настраивать.

Более простой вариант так же работает, каждый выбирает свой путь решения:

Легенда

Пришла необходимость правильно управлять доступом к Wi-Fi:

  1. Сделать индивидуальную авторизацию устройств по группам (офис/склад/руководство)
  2. Сделать гостевую сеть (возможно с авторизацией по смс)
  3. Управлять всем этим с единого контроллера

Планирование

Группы доступа к сети:

  1. Обычные устройства (с доступом в Интернет)
  2. Складские устройства (с ограниченным доступом)
  3. Руководство (получают доступ в Интернет с любой сети)

Wi-Fi сети и vlan:

  1. Сеть офиса: OFFICE — vlan255
  2. Сеть склада: SKLAD — vlan252
  3. Гостевая сеть: GUEST — vlan251

Распределение по VLAN

Организовано через группу безопасности в Active Directory с небольшими доработками для назначения vlan id в нестандартных ситуациях, вся настройка описана в статье:

  1. Участники группы gr_WiFi_OFFICE могут подключиться к сети SSID OFFICE и попадут в vlan255
  2. Участники группы gr_WiFi_SKLAD могут подключиться к сети SSID SKLAD и попадут в vlan252
  3. Руководство, участники группы gr_WiFi_SKLAD-Internet подключиться к сети SSID SKLAD и попадут в vlan255, который предназначен для офиса и получат выход в интернет.
  4. Гости подключающиеся по обычному паролю или без такового к SSID GUEST и попадают в vlan251 с ограниченным доступом куда-либо.

Стандарты и частоты

B/G/N/AC — стандарты, которые можно использовать на точках доступа.
Если у вас используется современное клиентское оборудование, то лучше оставить только N стандарт, если есть с поддержкой G, то нужно включить поддержку gn. Избегайте использования B стандарта, он дает значительную просадку всей сети. Если у вас современное оборудование с поддержкой AC 5ГГц, то для 5ГГц включайте только AC.

Разделение на каналы, DFS и ширина

Частоты для 2,4ГГц и 5ГГц сильно различаются, в 2,4ГГц только 3 непересекающихся канала при условии использования ширины канала 20Мгц, на 5ГГц каналов намного больше, но часть из них с поддержкой DFS, и этих каналов лучше избегать.

Нижеприведенный список для Russia3

Для 2,4ГГц непересекающиеся каналы: 2412, 2437, 2462 при ширине 20МГц
Для 5ГГц непересекающиеся каналы без DFS: 5180, 5200, 5220, 5240, 5745, 5765, 5785, 5805, 5825 при ширине 20МГц
DFS 5ГГц непересекающиеся каналы: 5260, 5280, 5300, 5240, 5320, 5500, 5520, 5540, 5560, 5580, 5600, 5620, 5640, 5660, 5680, 5700, 5720 при ширине 20МГц

DFS каналы лучше не использовать во избежание проблем с работой Wi-Fi, т.к. при включении точки доступа на 5ГГц на DFS каналах, она начинает проверять, не вещает ли кто на этих каналах. И если кто-то есть, даже шум, то точка не будет работать.

Если не выставлять руками не DFS каналы, то можно поставить опцию Skip DFS Channel, но нам все равно нужны контроль и понимание, поэтому рекомендую все каналы завести вручную.

Ширину канала всегда рекомендую использовать на 2,4ГГц — 20МГц, на 5ГГц в крайних случаях 40 и более МГц, чтобы не мешать ни себе, ни соседям, и не ловить лишний шум и помехи.

Померьте скорость при 20МГц — если для работы хватает, значит такой ширины достаточно. Если скорости мало, то увеличиваем ширину канала на 5ГГц до 40МГц, разносим каналы точек на ширину увеличенного канала и тестируем.

Мощность точек доступа, EIRP

В России (и не только) есть закон, ограничивающий EIRP до 100мВт(20дБм) для 2,4ГГц и до 200мВт(23дБм) для 5ГГц

Но этот закон касается выходной мощности, то есть мощность передатчика может быть 30дБм, но потери в кабельной сборке 20дБм, при этом усиление антенны 10дБи. При таких условиях мы вписываемся в ограничение закона.

Помимо закона который нужно соблюдать, подумайте о своих соседних точках, соседях и слабых клиентов вашей сети.
Если точка вещает в полную мощность, а телефон ее слышит, это еще не значит, что он может ей ответить — разница мощностей, например вам кричат в мегафон и вы слышите, вы кричите в ответ, но у вас нет усилителя в виде мегафона и второй участник вас не слышит.

Расстановка точек, каналы и их мощность

Не пытайтесь покрыть одной точкой несколько помещений!
Идеальный вариант — точка в каждое помещение с регулировкой мощности, чтобы клиент, находящийся в дальнем углу от точки, имел сигнал в районе -60..-66
Распределите каналы так, чтобы они чередовались и точки на одном канале не видели друг друга.

Если в одном помещении используется более 1 точки, то также нужно отрегулировать мощность и разнести по разным каналам.

Для балансировки подключения клиентов по точкам можно использовать Loading Balancing Group который работает по принципу скрыть SSID, чтобы клиент выбрал другую ТД

Если все-таки нужно покрыть одной ТД несколько помещений, то столкнетесь с проблемой скрытого узла, которая лечится опцией Hw. Protection Mode: rts cts, эта опция снизит пропускную способность сети, но гарантирует, что она не сильно просядет из-за одного плохого клиента. Сама ТД будет объявлять всем участникам, кто из клиентов начинает и заканчивает общаться с ней.

Настройка CAPsMAN контроллера

Контроллером может выступать абсолютно любое устройство MikroTik или виртуальная машина CHR. В моем случае используется CHR для контроллера обычных офисов, а локальный CAPsMAN с офисами при складах.
Для работы на CHR хватит даже триальной версии с ограничением 1Мбит так же должен быть установлен пакет Wireless.

В данной статье будет показана рабочая конфигурация с измененными названиями

Настройка визуально происходит справа налево

Rates

Отключаем низшие модуляции для повышения общей скорости сети
/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

Access List

«Сброс» клиентов с слабым сигналом, регулируется по фактической обстановке
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""

Security Cfg.

Создаем всего 2 профиля — для EAP доменной авторизации и гостевая сеть с обычным паролем
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough name=securityEAP
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGUEST passphrase=12345678

Datapath

Указываем, что трафик ходит локально через ТД, но при этом использует VLAN ID
/caps-man datapath
add local-forwarding=yes name=datapathOFFICE vlan-id=255 vlan-mode=use-tag
add local-forwarding=yes name=datapathGUEST vlan-id=251 vlan-mode=use-tag
add local-forwarding=yes name=datapathSKLAD vlan-id=252 vlan-mode=use-tag

Channels

Заранее создаем все доступные каналы с учетом DFS
Мощность для 5ГГц увеличена в 4 раза для приоритета подключения при выборе 2,4 или 5ГГц
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=5G tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5260,5280,5300,5240,5320,5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700,5720 name=5G_DFS tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180 name=5G_ch36_5180 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5200 name=5G_ch40_5200 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5220 name=5G_ch44_5220 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5240 name=5G_ch48_5240 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5745 name=5G_ch159_5745 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5765 name=5G_ch153_5765 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5785 name=5G_ch157_5785 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5805 name=5G_ch161_5805 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5825 name=5G_ch165_5825 tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17

Configuration

Собираем конфигурацию для сети SKLAD, OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети

Указываем SSID, защиту от скрытого узла и страну, сеть GUEST будет наследовать эти настройки
Указываем используемые каналы, сеть GUEST будет наследовать выбор канала
Указываем профиль модуляции сети, сеть GUEST будет наследовать эти настройки
Указываем профиль конфигурации, где указан Local Forwarding и VLAN
Указываем настройки профиля безопасности
/caps-man configuration
add channel=2G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-2G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-5G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=2G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-2G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-5G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add datapath=datapathGUEST mode=ap name=cfg-5G_GUEST security=securityGUEST ssid=GUEST
add datapath=datapathGUEST mode=ap name=cfg-2G_GUEST security=securityGUEST ssid=GUEST

Provisioning

Собираем все настройки с учетом кому какую конфигурацию выдать

В данном примере будет выдана настройка с сетью склада для cAP устройств с именем имеющий префикс cAP_Sklad, а для всех остальных будет выдана настройка сети офиса и гостевой.

Рекомендую указывать Name Prefix для идентификации кто на какой частоте сидит, а так же Action: create enabled для автоматического создания статичных интерфейсов для последующей донастройки.

/caps-man provisioning
add action=create-disabled hw-supported-modes=gn identity-regexp=cAP_Sklad master-configuration=cfg-2G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-disabled hw-supported-modes=ac identity-regexp=cAP_Sklad master-configuration=cfg-5G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-enabled hw-supported-modes=gn master-configuration=cfg-2G_OFFICE name-format=prefix-identity name-prefix=2G_ slave-configurations=cfg-2G_GUEST
add action=create-enabled hw-supported-modes=ac master-configuration=cfg-5G_OFFICE name-format=prefix-identity name-prefix=5G_ slave-configurations=cfg-5G_GUEST

CAP Interface

Нужно включить наш контроллер:

Я не рекомендую использовать сертификаты, не стоит усложнять себе жизнь!
/caps-man manager
set enabled=yes

Подключаем точки доступа cAP к контроллеру. Обязательно выводим все беспроводные интерфейсы из bridge и подключаем либо по L2 либо по L3, я рекомендую всегда подключать по L3, так будет видно с какого IP подключились и можно указать контроллер за пределами L2 сети. Либо если в сети 2 контроллера, лучше подключаться по L3, хотя при подключении по L2/L3 можно указать имя контроллера.

Отключаем Discovery Interface, если подключаемся по IP

После подключения cAP к контроллеру, появятся интерфейсы, которыми мы можем управлять. Нас интересует только канал и мощность.

Вкладка Status показывает на каком канале и мощности работает точка доступа
Канал рекомендую выставлять вручную с учетом соседства с другими ТД
Например для небольшой комнаты выставим мощность передатчика 10дБм и 6 канал 2,4ГГц
Применение настроек видно в вкладке Status

Контроллер настроен, что дальше?

Нужно настроить vlan на маршрутизаторе (причем не важно каком, вдруг у вас шлюзом выступает Cisco), дать IP шлюза, настроить DHCP сервер, NAT, Firewall, возможно HotSpot. Все зависит от поставленной задачи.