CAPsMAN контроллер 2.4/5GHz Multi SSID на Vlan

Настройка Wi-Fi контроллера CAPsMAN на 2 диапазона и несколько SSID сетей наиболее правильным вариантом на vlan

Данный вариант я считаю правильными, хоть и более сложным в реализации (пока к нему не привыкнешь). Он нужен только корпоративной среде или если нужно управление одним контроллером несколькими офисами, а также если трафик не нужно гонять через контроллер и у вас есть понимание, что такое vlan и как его настраивать.

Профессиональная настройка MikroTik
Без предоплаты

Telegram: @Engineer_MikroTik

Один контроллер CAPsMAN WiFi на несколько зданий
Один контроллер CAPsMAN WiFi на несколько зданий
Точки подключенные к CAPsMAN контроллеру в офисе
Точки подключенные к CAPsMAN контроллеру в офисе

Информация по настройке есть на официальном сайте https://help.mikrotik.com/docs/display/ROS/CAPsMAN

Более простой вариант без Vlan на Bridge так же работает, каждый выбирает свой путь решения:

Если у вас AX устройства — MikroTik AX WifiWave2 CAPsMAN 802.11r/k/v

Легенда

Пришла необходимость правильно управлять доступом к Wi-Fi:

  1. Сделать индивидуальную авторизацию устройств по группам (офис/склад/руководство)
  2. Сделать гостевую сеть (возможно с авторизацией по смс)
  3. Управлять всем этим с единого контроллера

Планирование

Группы доступа к сети:

  1. Обычные устройства (с доступом в Интернет)
  2. Складские устройства (с ограниченным доступом)
  3. Руководство (получают доступ в Интернет с любой сети)

Wi-Fi сети и vlan:

  1. Сеть офиса: OFFICE — vlan255
  2. Сеть склада: SKLAD — vlan252
  3. Гостевая сеть: GUEST — vlan251

Распределение по VLAN

Организовано через группу безопасности в Active Directory с небольшими доработками для назначения vlan id в нестандартных ситуациях, вся настройка описана в статье:

  1. Участники группы gr_WiFi_OFFICE могут подключиться к сети SSID OFFICE и попадут в vlan255
  2. Участники группы gr_WiFi_SKLAD могут подключиться к сети SSID SKLAD и попадут в vlan252
  3. Руководство, участники группы gr_WiFi_SKLAD-Internet подключиться к сети SSID SKLAD и попадут в vlan255, который предназначен для офиса и получат выход в интернет.
  4. Гости подключающиеся по обычному паролю или без такового к SSID GUEST и попадают в vlan251 с ограниченным доступом куда-либо.

Стандарты и частоты

B/G/N/AC — стандарты, которые можно использовать на точках доступа.
Если у вас используется современное клиентское оборудование, то лучше оставить только N стандарт, если есть с поддержкой G, то нужно включить поддержку gn. Избегайте использования B стандарта, он дает значительную просадку всей сети. Если у вас современное оборудование с поддержкой AC 5ГГц, то для 5ГГц включайте только AC.

Разделение на каналы, DFS и ширина

Частоты для 2,4ГГц и 5ГГц сильно различаются, в 2,4ГГц только 3 непересекающихся канала при условии использования ширины канала 20Мгц, на 5ГГц каналов намного больше, но часть из них с поддержкой DFS, и этих каналов лучше избегать.

Нижеприведенный список для Russia3

Для 2,4ГГц непересекающиеся каналы: 2412, 2437, 2462 при ширине 20МГц
Для 5ГГц непересекающиеся каналы без DFS: 5180, 5200, 5220, 5240, 5745, 5765, 5785, 5805, 5825 при ширине 20МГц
DFS 5ГГц непересекающиеся каналы: 5260, 5280, 5300, 5240, 5320, 5500, 5520, 5540, 5560, 5580, 5600, 5620, 5640, 5660, 5680, 5700, 5720 при ширине 20МГц

DFS каналы лучше не использовать во избежание проблем с работой Wi-Fi, т.к. при включении точки доступа на 5ГГц на DFS каналах, она начинает проверять, не вещает ли кто на этих каналах. И если кто-то есть, даже шум, то точка не будет работать.

Если не выставлять руками не DFS каналы, то можно поставить опцию Skip DFS Channel, но нам все равно нужны контроль и понимание, поэтому рекомендую все каналы завести вручную.

Ширину канала всегда рекомендую использовать на 2,4ГГц — 20МГц, на 5ГГц в крайних случаях 40 и более МГц, чтобы не мешать ни себе, ни соседям, и не ловить лишний шум и помехи.

Померьте скорость при 20МГц — если для работы хватает, значит такой ширины достаточно. Если скорости мало, то увеличиваем ширину канала на 5ГГц до 40МГц, разносим каналы точек на ширину увеличенного канала и тестируем.

Мощность точек доступа, EIRP

В России (и не только) есть закон, ограничивающий EIRP до 100мВт(20дБм) для 2,4ГГц и до 200мВт(23дБм) для 5ГГц

Но этот закон касается выходной мощности, то есть мощность передатчика может быть 30дБм, но потери в кабельной сборке 20дБм, при этом усиление антенны 10дБи. При таких условиях мы вписываемся в ограничение закона.

Помимо закона который нужно соблюдать, подумайте о своих соседних точках, соседях и слабых клиентов вашей сети.
Если точка вещает в полную мощность, а телефон ее слышит, это еще не значит, что он может ей ответить — разница мощностей, например вам кричат в мегафон и вы слышите, вы кричите в ответ, но у вас нет усилителя в виде мегафона и второй участник вас не слышит.

Расстановка точек, каналы и их мощность

Не пытайтесь покрыть одной точкой несколько помещений!
Идеальный вариант — точка в каждое помещение с регулировкой мощности, чтобы клиент, находящийся в дальнем углу от точки, имел сигнал в районе -60..-66
Распределите каналы так, чтобы они чередовались и точки на одном канале не видели друг друга.

Если в одном помещении используется более 1 точки, то также нужно отрегулировать мощность и разнести по разным каналам.

Для балансировки подключения клиентов по точкам можно использовать Loading Balancing Group который работает по принципу скрыть SSID, чтобы клиент выбрал другую ТД

Если все-таки нужно покрыть одной ТД несколько помещений, то столкнетесь с проблемой скрытого узла, которая лечится опцией Hw. Protection Mode: rts cts, эта опция снизит пропускную способность сети, но гарантирует, что она не сильно просядет из-за одного плохого клиента. Сама ТД будет объявлять всем участникам, кто из клиентов начинает и заканчивает общаться с ней.

Настройка CAPsMAN контроллера

Контроллером может выступать абсолютно любое устройство MikroTik или виртуальная машина CHR. В моем случае используется CHR для контроллера обычных офисов, а локальный CAPsMAN с офисами при складах.
Для работы на CHR хватит даже триальной версии с ограничением 1Мбит так же должен быть установлен пакет Wireless.

В данной статье будет показана рабочая конфигурация с измененными названиями

Колонки настройки CAPsMAN
Настройка визуально происходит справа налево

Rates

Настройка Rate для Wi-Fi
Отключаем низшие модуляции для повышения общей скорости сети
/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

Access List

Настройка адрес-листа для сброса по уровню сигнала
«Сброс» клиентов с слабым сигналом, регулируется по фактической обстановке
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""

Security Cfg.

Настройка профиля безопасности EAP и PSK
Создаем всего 2 профиля — для EAP доменной авторизации и гостевая сеть с обычным паролем
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough name=securityEAP
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGUEST passphrase=12345678

Datapath

Настройка Datapath для указания Vlan и хождения трафика
Указываем, что трафик ходит локально через ТД, но при этом использует VLAN ID
/caps-man datapath
add local-forwarding=yes name=datapathOFFICE vlan-id=255 vlan-mode=use-tag
add local-forwarding=yes name=datapathGUEST vlan-id=251 vlan-mode=use-tag
add local-forwarding=yes name=datapathSKLAD vlan-id=252 vlan-mode=use-tag

Channels

Указание всех каналов Wi-Fi
Заранее создаем все доступные каналы с учетом DFS
Мощность для 5ГГц увеличена в 4 раза для приоритета подключения при выборе 2,4 или 5ГГц
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=5G tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5260,5280,5300,5240,5320,5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700,5720 name=5G_DFS tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180 name=5G_ch36_5180 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5200 name=5G_ch40_5200 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5220 name=5G_ch44_5220 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5240 name=5G_ch48_5240 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5745 name=5G_ch159_5745 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5765 name=5G_ch153_5765 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5785 name=5G_ch157_5785 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5805 name=5G_ch161_5805 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5825 name=5G_ch165_5825 tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17

Configuration

Собираем конфигурацию для сети SKLAD, OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети

Сборка конфигурации в единое целое
Указываем SSID, защиту от скрытого узла и страну, сеть GUEST будет наследовать эти настройки
Указание каналов Wi-Fi
Указываем используемые каналы, сеть GUEST будет наследовать выбор канала
Указание профиля Rate
Указываем профиль модуляции сети, сеть GUEST будет наследовать эти настройки
Указание Datapath с Vlan и типом хождения трафика
Указываем профиль конфигурации, где указан Local Forwarding и VLAN
Указание профиля безопасности Wi-Fi
Указываем настройки профиля безопасности
/caps-man configuration
add channel=2G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-2G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-5G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=2G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-2G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-5G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add datapath=datapathGUEST mode=ap name=cfg-5G_GUEST security=securityGUEST ssid=GUEST
add datapath=datapathGUEST mode=ap name=cfg-2G_GUEST security=securityGUEST ssid=GUEST

Provisioning

Настройка Provisioning для распространения конфигурации
Собираем все настройки с учетом кому какую конфигурацию выдать

В данном примере будет выдана настройка с сетью склада для cAP устройств с именем имеющий префикс cAP_Sklad, а для всех остальных будет выдана настройка сети офиса и гостевой.

Рекомендую указывать Name Prefix для идентификации кто на какой частоте сидит, а так же Action: create enabled для автоматического создания статичных интерфейсов для последующей донастройки.

/caps-man provisioning
add action=create-disabled hw-supported-modes=gn identity-regexp=cAP_Sklad master-configuration=cfg-2G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-disabled hw-supported-modes=ac identity-regexp=cAP_Sklad master-configuration=cfg-5G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-enabled hw-supported-modes=gn master-configuration=cfg-2G_OFFICE name-format=prefix-identity name-prefix=2G_ slave-configurations=cfg-2G_GUEST
add action=create-enabled hw-supported-modes=ac master-configuration=cfg-5G_OFFICE name-format=prefix-identity name-prefix=5G_ slave-configurations=cfg-5G_GUEST

CAP Interface

Нужно включить наш контроллер:

Включение CAPs контроллера
Я не рекомендую использовать сертификаты, не стоит усложнять себе жизнь!
/caps-man manager
set enabled=yes

Подключаем точки доступа cAP к контроллеру. Обязательно выводим все беспроводные интерфейсы из bridge и подключаем либо по L2 либо по L3, я рекомендую всегда подключать по L3, так будет видно с какого IP подключились и можно указать контроллер за пределами L2 сети. Либо если в сети 2 контроллера, лучше подключаться по L3, хотя при подключении по L2/L3 можно указать имя контроллера.

Подключение интерфейса к контроллера
Отключаем Discovery Interface, если подключаемся по IP

После подключения cAP к контроллеру, появятся интерфейсы, которыми мы можем управлять. Нас интересует только канал и мощность.

Статистика Wi-Fi на интерфейсе
Вкладка Status показывает на каком канале и мощности работает точка доступа
Ручное указание частоты
Канал рекомендую выставлять вручную с учетом соседства с другими ТД
Ручной выбор канала
Например для небольшой комнаты выставим мощность передатчика 10дБм и 6 канал 2,4ГГц
Информация о частоте канала
Применение настроек видно в вкладке Status

Контроллер настроен, что дальше?

Нужно настроить vlan на маршрутизаторе (причем не важно каком, вдруг у вас шлюзом выступает Cisco), дать IP шлюза, настроить DHCP сервер, NAT, Firewall, возможно HotSpot. Все зависит от поставленной задачи.

Top