Настройка Wi-Fi контроллера CAPsMAN на 2 диапазона и несколько SSID сетей наиболее правильным вариантом на vlan
Данный вариант я считаю правильными, хоть и более сложным в реализации (пока к нему не привыкнешь). Он нужен только корпоративной среде или если нужно управление одним контроллером несколькими офисами, а также если трафик не нужно гонять через контроллер и у вас есть понимание, что такое vlan и как его настраивать.
Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik
Информация по настройке есть на официальном сайте https://help.mikrotik.com/docs/display/ROS/CAPsMAN
Более простой вариант без Vlan на Bridge так же работает, каждый выбирает свой путь решения:
Если у вас AX устройства — MikroTik AX WifiWave2 CAPsMAN 802.11r/k/v
Легенда
Пришла необходимость правильно управлять доступом к Wi-Fi:
- Сделать индивидуальную авторизацию устройств по группам (офис/склад/руководство)
- Сделать гостевую сеть (возможно с авторизацией по смс)
- Управлять всем этим с единого контроллера
Планирование
Группы доступа к сети:
- Обычные устройства (с доступом в Интернет)
- Складские устройства (с ограниченным доступом)
- Руководство (получают доступ в Интернет с любой сети)
Wi-Fi сети и vlan:
- Сеть офиса: OFFICE — vlan255
- Сеть склада: SKLAD — vlan252
- Гостевая сеть: GUEST — vlan251
Распределение по VLAN
Организовано через группу безопасности в Active Directory с небольшими доработками для назначения vlan id в нестандартных ситуациях, вся настройка описана в статье:
- Участники группы gr_WiFi_OFFICE могут подключиться к сети SSID OFFICE и попадут в vlan255
- Участники группы gr_WiFi_SKLAD могут подключиться к сети SSID SKLAD и попадут в vlan252
- Руководство, участники группы gr_WiFi_SKLAD-Internet подключиться к сети SSID SKLAD и попадут в vlan255, который предназначен для офиса и получат выход в интернет.
- Гости подключающиеся по обычному паролю или без такового к SSID GUEST и попадают в vlan251 с ограниченным доступом куда-либо.
Стандарты и частоты
B/G/N/AC — стандарты, которые можно использовать на точках доступа.
Если у вас используется современное клиентское оборудование, то лучше оставить только N стандарт, если есть с поддержкой G, то нужно включить поддержку gn. Избегайте использования B стандарта, он дает значительную просадку всей сети. Если у вас современное оборудование с поддержкой AC 5ГГц, то для 5ГГц включайте только AC.
Разделение на каналы, DFS и ширина
Частоты для 2,4ГГц и 5ГГц сильно различаются, в 2,4ГГц только 3 непересекающихся канала при условии использования ширины канала 20Мгц, на 5ГГц каналов намного больше, но часть из них с поддержкой DFS, и этих каналов лучше избегать.
Нижеприведенный список для Russia3
Для 2,4ГГц непересекающиеся каналы: 2412, 2437, 2462 при ширине 20МГц
Для 5ГГц непересекающиеся каналы без DFS: 5180, 5200, 5220, 5240, 5745, 5765, 5785, 5805, 5825 при ширине 20МГц
DFS 5ГГц непересекающиеся каналы: 5260, 5280, 5300, 5240, 5320, 5500, 5520, 5540, 5560, 5580, 5600, 5620, 5640, 5660, 5680, 5700, 5720 при ширине 20МГц
DFS каналы лучше не использовать во избежание проблем с работой Wi-Fi, т.к. при включении точки доступа на 5ГГц на DFS каналах, она начинает проверять, не вещает ли кто на этих каналах. И если кто-то есть, даже шум, то точка не будет работать.
Если не выставлять руками не DFS каналы, то можно поставить опцию Skip DFS Channel, но нам все равно нужны контроль и понимание, поэтому рекомендую все каналы завести вручную.
Ширину канала всегда рекомендую использовать на 2,4ГГц — 20МГц, на 5ГГц в крайних случаях 40 и более МГц, чтобы не мешать ни себе, ни соседям, и не ловить лишний шум и помехи.
Померьте скорость при 20МГц — если для работы хватает, значит такой ширины достаточно. Если скорости мало, то увеличиваем ширину канала на 5ГГц до 40МГц, разносим каналы точек на ширину увеличенного канала и тестируем.
Мощность точек доступа, EIRP
В России (и не только) есть закон, ограничивающий EIRP до 100мВт(20дБм) для 2,4ГГц и до 200мВт(23дБм) для 5ГГц
Но этот закон касается выходной мощности, то есть мощность передатчика может быть 30дБм, но потери в кабельной сборке 20дБм, при этом усиление антенны 10дБи. При таких условиях мы вписываемся в ограничение закона.
Помимо закона который нужно соблюдать, подумайте о своих соседних точках, соседях и слабых клиентов вашей сети.
Если точка вещает в полную мощность, а телефон ее слышит, это еще не значит, что он может ей ответить — разница мощностей, например вам кричат в мегафон и вы слышите, вы кричите в ответ, но у вас нет усилителя в виде мегафона и второй участник вас не слышит.
Расстановка точек, каналы и их мощность
Не пытайтесь покрыть одной точкой несколько помещений!
Идеальный вариант — точка в каждое помещение с регулировкой мощности, чтобы клиент, находящийся в дальнем углу от точки, имел сигнал в районе -60..-66
Распределите каналы так, чтобы они чередовались и точки на одном канале не видели друг друга.
Если в одном помещении используется более 1 точки, то также нужно отрегулировать мощность и разнести по разным каналам.
Для балансировки подключения клиентов по точкам можно использовать Loading Balancing Group который работает по принципу скрыть SSID, чтобы клиент выбрал другую ТД
Если все-таки нужно покрыть одной ТД несколько помещений, то столкнетесь с проблемой скрытого узла, которая лечится опцией Hw. Protection Mode: rts cts, эта опция снизит пропускную способность сети, но гарантирует, что она не сильно просядет из-за одного плохого клиента. Сама ТД будет объявлять всем участникам, кто из клиентов начинает и заканчивает общаться с ней.
Настройка CAPsMAN контроллера
Контроллером может выступать абсолютно любое устройство MikroTik или виртуальная машина CHR. В моем случае используется CHR для контроллера обычных офисов, а локальный CAPsMAN с офисами при складах.
Для работы на CHR хватит даже триальной версии с ограничением 1Мбит так же должен быть установлен пакет Wireless.
В данной статье будет показана рабочая конфигурация с измененными названиями
Rates
/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
Access List
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""
Security Cfg.
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough name=securityEAP
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGUEST passphrase=12345678
Datapath
/caps-man datapath
add local-forwarding=yes name=datapathOFFICE vlan-id=255 vlan-mode=use-tag
add local-forwarding=yes name=datapathGUEST vlan-id=251 vlan-mode=use-tag
add local-forwarding=yes name=datapathSKLAD vlan-id=252 vlan-mode=use-tag
Channels
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180,5200,5220,5240,5745,5765,5785,5805,5825 name=5G tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5260,5280,5300,5240,5320,5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700,5720 name=5G_DFS tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5180 name=5G_ch36_5180 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5200 name=5G_ch40_5200 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5220 name=5G_ch44_5220 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5240 name=5G_ch48_5240 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5745 name=5G_ch159_5745 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5765 name=5G_ch153_5765 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5785 name=5G_ch157_5785 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5805 name=5G_ch161_5805 tx-power=22
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=disabled frequency=5825 name=5G_ch165_5825 tx-power=22
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17
Configuration
Собираем конфигурацию для сети SKLAD, OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети
/caps-man configuration
add channel=2G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-2G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathOFFICE hw-protection-mode=rts-cts mode=ap name=cfg-5G_OFFICE rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=OFFICE tx-chains=0,1,2,3
add channel=2G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-2G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add channel=5G country=russia3 datapath=datapathSKLAD hw-protection-mode=rts-cts mode=ap name=cfg-5G_SKLAD rates=rate1 rx-chains=0,1,2,3 security=securityEAP ssid=SKLAD tx-chains=0,1,2,3
add datapath=datapathGUEST mode=ap name=cfg-5G_GUEST security=securityGUEST ssid=GUEST
add datapath=datapathGUEST mode=ap name=cfg-2G_GUEST security=securityGUEST ssid=GUEST
Provisioning
В данном примере будет выдана настройка с сетью склада для cAP устройств с именем имеющий префикс cAP_Sklad, а для всех остальных будет выдана настройка сети офиса и гостевой.
Рекомендую указывать Name Prefix для идентификации кто на какой частоте сидит, а так же Action: create enabled для автоматического создания статичных интерфейсов для последующей донастройки.
/caps-man provisioning
add action=create-disabled hw-supported-modes=gn identity-regexp=cAP_Sklad master-configuration=cfg-2G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-disabled hw-supported-modes=ac identity-regexp=cAP_Sklad master-configuration=cfg-5G_SKLAD name-format=prefix-identity name-prefix=2G_
add action=create-enabled hw-supported-modes=gn master-configuration=cfg-2G_OFFICE name-format=prefix-identity name-prefix=2G_ slave-configurations=cfg-2G_GUEST
add action=create-enabled hw-supported-modes=ac master-configuration=cfg-5G_OFFICE name-format=prefix-identity name-prefix=5G_ slave-configurations=cfg-5G_GUEST
CAP Interface
Нужно включить наш контроллер:
/caps-man manager
set enabled=yes
Подключаем точки доступа cAP к контроллеру. Обязательно выводим все беспроводные интерфейсы из bridge и подключаем либо по L2 либо по L3, я рекомендую всегда подключать по L3, так будет видно с какого IP подключились и можно указать контроллер за пределами L2 сети. Либо если в сети 2 контроллера, лучше подключаться по L3, хотя при подключении по L2/L3 можно указать имя контроллера.
После подключения cAP к контроллеру, появятся интерфейсы, которыми мы можем управлять. Нас интересует только канал и мощность.
Контроллер настроен, что дальше?
Нужно настроить vlan на маршрутизаторе (причем не важно каком, вдруг у вас шлюзом выступает Cisco), дать IP шлюза, настроить DHCP сервер, NAT, Firewall, возможно HotSpot. Все зависит от поставленной задачи.