У нас у конторі нещодавно назріло завдання зробити безшовне Wi-Fi-покриття, що довго терпіли і перетоптувалися, але в результаті його зробили. Поділюсь досвідом, як це було. Почалося з того, що два роки тому ми повністю перейшли на IP-АТС і майже вивели аналогові телефони включаючи, в результаті і DECT. Однак, переносні трубки потрібні і окрім настільних SIP-телефонів купили кілька Wi-Fi телефонів Tecom. Я і сам, як відповідальний за технічну частину в компанії постійно ходжу по офісу з різними Wi-Fi девайсами, та й манагери теж. У багатьох на руках згадані Wi-Fi SIP-телефони, + у складських пари Wi-Fi терміналів, є просто Андроїди та Яблука зі встановленими SIP-клієнтами від АТС. Раніше все вирішувалося декількома Wi-Fi роутерами, в принципі, теж було прийнятно (офіс невеликий), але рівно поки ти сидиш на місці - пішла, все закінчилася розмова, а Skype-з'єднання ще швидше злітає. Це стало неабияк дратувати керівництво та менеджерів і пішли наїзди що вай-фай не вай-фай. Спроби просто збільшити кількість роутерів ясна річ завдання не вирішило.
Став читати і таки вичитав, що все давно придумано до нас. Існують Wi-Fi точки, які можуть робити перехід клієнта між собою без розриву або майже без розриву з'єднання. Причому такого обладнання досить багато на ринку, залишилося тільки вибрати за бюджетом і адекватністю. Виявилося, що на цю тему дуже багато публікацій у зарубіжному інтернеті, у нас поменше. Величезним мінусом цих систем, що всі вони хочуть контролера, який стоїть як чавунний міст і деякі особливо жадібні ще й ліцензії потрібні на підключення кожної точки. Я приніс кошторис на наш офіс на одному такому шанованому обладнанні, у генерального ока округлилися і відповідь була видна на його обличчі ще до того, як він дочитав цю калькуляцію.
Загалом, у міру вивчення завдання прокинувся вже спортивний інтерес – чи можна зробити гладке WiFi-покриття (прямо як на форумах) у нормальні гроші і так, щоб без цих контролерів? Виявилось, можна.
Щоправда, вибір варіанта зайняв час, але після загугливання з'ясувалося, що потрібні точки доступу, що підтримують протоколи 802.11r і 802.11k. Ці протоколи відповідають за швидке практично миттєве перемикання абонентів від однієї точки до іншої. Маркет видає безліч варіантів з підтримкою цих протоколів, але або повз ціну, або знову на контролері. У результаті натрапив на потрібний варіант зовсім випадково. Був влітку в готелі Ібіс у Казані на вихідних з дружиною і в усіх коридорах на стелі стояли млинці з написом EDIMAX. Коли довго і пильно шукаєш починаєш вже звертати увагу на те, як зроблено «у дорослих». Загуглив що це, знайшов – це виявилася не велика проблема. І о диво! Цей Едімакс може працювати і без контролера. Все, що потрібно – це призначити одну з точок контролером.
На сайті виробника була ось така розумна картинка, де вони хваляться, як у них все «перетікає» від однієї точки до іншої.
За неї, чесно кажучи, зачепився. Також два поверхи намальовані, як у нас, сходи, прямий постріл у голову.
Подивилися ближче специфікації – начебто підходить, ціна не шокуюча.
Спочатку купили дві: 1 стельову та одну настінну (чесно бентежило що раніше я з цією маркою не стикався, але благо ОЗПП нам дає 14 днів на повернення).
І, як не дивно, воно запрацювало.
Тепер по порядку.
Спочатку трохи теорії. Коротко про згадані протоколи 802.11r/k (витяги з Інтернету):
802.11k– зменшує час пошуку точок доступу з найкращими параметрамисигналу. За цим протоколом клієнту передається інформація про сусідні точки доступу та стан їх каналів.
Тобто, як я розумію, навіть не почавши переміщення, абонентський пристрій вже заздалегідь знає, де роумінг можливий, і яка точка доступу його обслужить краще. А це власне, те, чого нам і треба.
802.11r– використовує технологію Fast Basic Service Set Transition, яка дозволяє зберігати ключі шифрування всіх точок доступу мережі. У результаті клієнта звільнено від процесу повної автентифікації з сервером – достатньо всього 4-х коротких повідомлень для переходу на нову точку доступу. Ця властивість дозволяє витрачати на перехід трохи більше 50 мілісекунд.
Взагалі, ці протоколи виявилися дуже поширеними, але далеко не всі абонентські/клієнтські пристрої і навіть точки доступу на ринку ці протоколи підтримують. Хоча, ось, наприклад, яблучні девайси (хоч би хто до них ставився) підтримують ці стандарти чи не з 2011 року. Тому побудова зв'язку, скажімо, на базі побутових точок доступу зведе спробу організації безшовного роумінгу нанівець – без підтримки 802.11k/r перемикання може зайняти до 3 секунд. Про безшовність при таких лагах у перемиканні не йдеться! На що я і натикався у своїх експериментах із роутерами.
Тепер переходжу до безпосередньої побудови WiFi-мережі. Як я казав, ми спочатку взяли 2 точки цього Едімаксу і після успішного тесту трохи розширили парк в рамках бюджету. Я спеціально взяв кілька різних точок доступу (природно цього ж виробника), що працюють як у стандарті 802.11ac, так і тільки в 802.11n, для роботи мережі загалом це не є принциповим. Важливо, щоб вони підтримували протоколи 802.11k/r. Чому взяв різні? - У них різна діаграма спрямованості і деякі з них дешевше. Наприклад, там, де абонентів мало я поставив відносно прості точки доступу, а в переговорній, у керівництва, а також інших місцях з де народу більше монтував топові моделі. Ну і знову ж таки Wi-Fi AC, модно, швидко і вільний діапазон 5 ГГц. А складським їм байдуже і N300 піде.
Що стосується конкретики, то я вибрав з EDIMAX PRO моделі: CAP300, CAP1750, WAP1200 та WAP1750. Причому WAP1750 у разі виступає у ролі контролера. Взагалі у Едімакса цього досить багато мережевого обладнанняіменного побутового типу, але з ним плутати не треба, я зараз говорю про їхню бізнес-серію і це справді непогане обладнання за моїми відчуттями.
Про монтаж:
Розставив точки доступу до офісу.
Отримав мовлення згідно з планом, який ви бачите на скріншоті Едимаксівської системи управління точками. Вона є в кожній точці і в принципі будь-яка могла бути контролером. У цій системі передбачено функцію e-map. Тобто можна втягнути в web-інтерфейс схему будівлі або там території і на ній вказати масштаб і місця, де стоять точки. У результаті система покаже зразкові зони покриття. Загалом не прорив, але зручно.
У моєму офісі два поверхи і для проведення тесту я розмістив одну точку доступу в переговорній на першому поверсі (на плані праворуч), а три інші точки доступу були розташовані на другому уздовж коридору. Підкреслю, рівень сигналу скрізь має бути досить хорошим – все ж таки я роблю безшовні роумінгі тут неприпустимо ходити з ноутбуком і шукати місце найкращого прийому. На скріншоті зображено стадію приблизно половини робіт, змонтовано всього 4 точки, зараз їх уже 7. Усі точки РоЕ-шні, тому довелося завести в господарстві ще один РоЕ свіч. Існуючі порти вже були зайняті під телефони. У результаті, покритий кожен кут і ті ж телефони Текомовські працюють в мережі краще ДЕКТів.
Ось до речі, фото реальних точок доступу, що брали участь у розв'язанні задачі:
- EDIMAX CAP300
- EDIMAX WAP1200
- EDIMAX CAP1750
Ось це у Едімаксів наймодніша точка. Вбудована MIMO 3x3 антена, 2 діапазони та всі пироги. На картинці вона не велика, але в реалі вона трохи більше побратимів САР300/САР1200 – розміром з невелику сковорідку з млинцями з низькими бортами.
- EDIMAX WAP1750
У стельових точок діаграма спрямованості приблизно 190 градусів у настінних 360 і зовнішні антени, тому потужніші і висвітлюють сферично. Але заради правди, хотілося б щоб антени були б трохи потужнішими. Я ставив WAPи в «одиноких» зонах та складних місцях із товстими перекриттями. В принципі, цегляну стіну і стелю пробиває, але були б роги потужнішими було б ще краще. Можливо в подальшому заміню на інші антени стороннього виробництва благо роз'єм у WAP-точок стандартний RP-SMA. Принагідно спливла проблема, що на ринку майже немає комбінованих антен 2,4+5 ГГц. Чому незрозуміло. Плюсом WAP є наявність 2-х РоЕ портів, РоЕ at на вхід (точка сама живиться) і РоЕ af на вихід, можна підключити до неї щось ще. В умовах мого дефіциту РоЕ портів може надалі дуже згодитися.
Отже, після монтажу точок переходимо до налаштування роумінгу. Звертаємося до планованої бути контролером точки WAP1750 і кажемо їй що вона тепер ватажок у зграї. Перевіряємо зв'язок з рештою точок, відкриваємо панель керування Edimax Pro NMS (Network Management Suite) і бачимо, що всі точки доступу знаходяться в мережі.
Все живе, тупа перевірка доступу до інтернету різних місцяхофісу каже, що начебто все ОК. Зв'язок не рветься, але треба якось переконатися, що воно так на чомусь суттєвішому.
Ну і переходимо до найголовнішого - тестуємо мережу в навантаженні (Настає момент істини. Зараз перевіримо хто чого бреше насправді). Для цього проводимо натурні випробування – навантажуємо WiFi потоковим відео, завантаженим з YouTube та транслюємо його в мережу. Можна було б підключитись безпосередньо до YouTube, але тоді ми залежали б від зовнішнього інтернет-каналу, де теоретично можливі збої, які б впливали на чистоту експерименту.
Тепер найголовніше – беру планшет, підхоплюю відео, транслюю його по Wi-Fi-мережі та ходжу офісом. Переміщаюся з однієї кімнати в іншу, йду коридором, спускаюся сходами на поверх нижче, проходжу там, піднімаюся нагору і приходжу у вихідну точку. Весь процес зайняв кілька хвилин, зареєстрований зовнішньою екшн камерою і знаходиться за посиланням .
За наступним посиланням можна побачити це відео, але з показом процесу підготовки трансляції.
Прошу не судити суворо за якість зйомки і таки подивитися обидва матеріали, тут же наводжу лише кілька стоп-кадрів.
Власне, це відео є головною метою експерименту. Я спеціально встановив зовнішню камерутак, щоб одночасно було видно і планшет, і офіс, щоб підтвердити чистоту випробувань. Зверніть увагу, що відео з мотоциклістом ллється плавно, ні на секунду не переривається і не підгальмовує. Причому слово секунда в даному випадку виглядає надто великим масштабом – немає збоїв навіть на десяті частки секунди. Звичайно, якщо такий важкий трафік, як потокове відео транслюється без збоїв, то значно легший VoIP-трафік передається просто на УРА.
Так що цю функцію можна використовувати для організації голосового зв'язку всередині офісів за допомогою SIP-телефонів або комунікаторів, як це власне і зроблено у нас. Тобто DECT за такої нормально побудованої мережі взагалі не потрібен.
В даному випадку я не заглиблювався в деталі і не показував налаштування WiFiта мережної частини. Метою експерименту була демонстрація можливості організації бездротового доступу з безшовним покриттям та реальним роумінгом, який справді працює. Зробити це виявилося можна і без контролера і більшу частину часу зайняв монтаж та протяжка кабелів. Налаштування елементарне.
Сподіваюся ви повторите експеримент, переконайтеся, що я не брешу. Ну і поширіть передовий досвід далі. А я піду розкручувати директора на премію. Жарт.
Теги:
Додати тегиУ корпоративному середовищі WiFi виконує все більш помітну функцію і відіграє все більшу роль.До WiFi можна підключити смартфон або планшет, але, що набагато важливіше, корпоративний телефон, мобільний термінал збору даних або онлайн-касу для прийому платежів та друку чеків Добре, якщо необхідна вашому підприємству область дії WiFi мережі невелика, і можна обійтися звичайною недорогою точкою доступу, але як бути, якщо бездротовим зв'язкомнеобхідно покрити тисячі квадратних метрів на кількох поверхах?Варіанти, безперечно, є.
По-перше, можна "наплодити" безліч мереж WiFi на безлічі автономних точок доступу. Варіант поганий тим, що таким господарством складно та незручно керувати, при переміщенні територією підприємства деякі мобільні пристроїдоведеться перемикати між цими мережами вручну, і, найголовніше, все це доведеться пояснити користувачам, які не завжди добре розуміють на ІТ, і просто нездатні ввібрати ці премудрості. Плюс у такого рішення лише один: це дешево.
По-друге, можна мовити одну мережу WiFi за допомогою однотипних автономних точок доступу за допомогою технології WDS.Головний мінус такого рішення в тому, що переважна, абсолютна і беззаперечна більшість більш-менш доступних за ціною (до 300 USD) точок доступу популярних вендорів потворно працюють у режимі WDS. Мовлення може зникати і відновлюватися, коннективіті між основними та залежними точками доступу порушуватиметься, а мобільні пристрої втрачатимуть зв'язок і, разом з нею, свої функціональні характеристики. Тож краще залишити цей варіант для справжніх самураїв.
Ідеологічно та технологічно вірним варіантом вважається використання контролера та залежних точок доступу. Саме такий варіант і називається безшовний WiFi. Суть його в тому, що точок доступу може бути багато, а управлінням ними та їх мовленням займається один централізований пристрій-контролер. Контролер:
- відстежує стан підлеглих точок доступу, навантаження на них;
- регулює потужність сигналу та пропускну здатність залежно від кількості клієнтів та характеру їх роботи;
- самостійно відновлює необслуговувані через відмову обладнання області за рахунок збільшення зони покриття від ближніх точок доступу;
- забезпечує веб-аутентифікацію та динамічні облікові записидля реалізації т.зв. "гостового доступу" (для деяких контролерів доступні опції на кшталт принтерів для генерації та друку тимчасових облікових даних користувачів);
- забезпечує швидкий роумінг, за допомогою якого можна вільно переміщатися, наприклад, з WiFi-телефоном між зонами покриття різних точок доступу, не перериваючи розмову і не спостерігаючи при цьому жодних перебоїв зі зв'язком. Контролер при цьому своєчасно "нацьковує" на ваш пристрій сигнал з близько розташованої точки доступу.
Сучасні контролери дозволяють підключати точки доступу по WiFi в режимі репітера (т.зв. технологія Mesh) без кабельного підключення до мережі, а також забезпечують інтеграцію із суміжними ІТ-системами (наприклад, Active Directory, сервіси геолокації тощо).
На чому будувати безшовний Wi-Fi
У нашому каталозі рішень вже скрупульозно підібрано та описано варіанти побутових, корпоративних та галузевих WiFi-рішень: . А якщо йти "по верхах", то найбільш вдалі варіанти безшовного Wi-Fi на ринку представлені такими вендорами:
2. У сегменті middle-end панує інший американський виробник – .Відносно недорогий, Cambium також відрізняється надійністю та високою продуктивністю.
Подібно до Ruckus Unleashed, Cambium також може працювати в режимі управління мережею без контролера. Cambium ця екосистема називається autoPilot, вона підтримує до 32 точок доступу в мережі і до 1000 бездротових клієнтів. Функціонально вона майже не поступається версією з контролером, до того ж не вимагає жодних інвестицій, крім купівлі самих точок доступу - не потрібно купувати ліцензії, сервісні контракти та їх оновлення.
Чи треба швидше, вище, сильніше? Будь ласка! Безкоштовний хмарний контролер cnMaestro підтримує вже до 4000 точок доступу та до 25000 бездротових клієнтів.Софт можна безкоштовно встановити на власний сервер, якщо переконання не дозволяють використовувати хмарні рішення. З функціоналом у Cambium теж все гаразд: тут вам і централізоване управління екосистемою, і послуги геолокації, аналітики, аналізу радіоефіру, інтеграції із суміжними системами... загалом усе, чого душа хоче.
Недоліком Cambium вважатимуться відносно бідну лінійку точок доступа: . Хоча все необхідне в ній є: є точки доступу із секторними антенами, з підтримкою 802.11ac Wave 2, MU-MIMO 4x4:4, вуличні та для приміщень.Загалом, повний джентльменський набір до ваших послуг!
3. У бюджетному сегменті конкуренція значно вища, але ми виділяємо серед інших зухвалих китайців TP-LINK.Це головний і найцікавіший конкурент Ubiquiti (про який буде нижче), хоча таке порівняння у 2019 році для TP-LINK вже зовсім не приємне.
Для початку давайте розберемося з самим лейблом TP-LINK: взагалі їх два.Є TP-LINK, який робить дешеві домашні роутери та пластмасові свитчі, а є TP-LINK, який робить продукти лінійки Enterprise – системи WiFi, комутатори серії Smart, аксесуари до них. Це, власне, 2 різні підприємства, т.к. між цими двома напрямками немає точок перетинуні у галузі наукових розробок, ні у виробничих лініях. І, заради об'єктивності, Enterprise TP-LINK значно вища якістю, ніж його молодший побратим, що спеціалізується на продукції для SOHO.
Тепер до WiFi. TP-LINK має лінійку Auranet CAP- зараз перебуває у певному забутті (але це тимчасово). Стеля рішення – 500 точок доступу, 10000 бездротових клієнтів.Контролери – лише апаратні, на 50 або 500 точок доступу. Точки доступу - у досить старому, "незграбному" дизайні, але за допомогою чесного безшовного роумінгу відповідно до стандартів 802.11k/v, Beamforming, Band Steering, Airtime Fairness - загалом, набір абсолютно повний. High Density на TP-LINK, звичайно, не забезпечити, але заходи щодо 200-300 користувачів в одному залі ми вже обслуговували, і нарікань у замовників це не викликало.
Друга екосистема у TP-LINK називається Omadaв ній представлені точки доступу серії EAP. Контролер - Omada Controller - випускається в апаратному виконанні (з лімітом 50 точок доступу в 1-й мережі), але є і в програмному, який можна встановити на сервер під керуванням Windowsабо Linux. Точки доступу EAP виглядають сучасно, і, само собою, вміють все, що потрібно вміти в 2019 році точці доступу, що поважає себе.
4. Наш наступний пацієнт – Ubiquiti серії UniFi.Це коли хочеться красиво та дешево. Причому "красиво" з Ubiquiti буде постійно. вони все підпорядковано дизайну: від упаковки до дизайну інтерфейсів управління. І дизайн справді чи не найкращий у галузі. В цілому ж продукція Ubiquiti характеризується вкрай невисокою ціною за досить високої якості продукту загалом.
Головний мінус Ubiquiti полягає в тому, що справді безшовний роумінг WiFi відповідно до стандартів IEEE він все ж таки не підтримує, пропонуючи натомість його пропрієтарну реалізацію. Яка працює, ну, скажімо, так собі. Тому якщо вам потрібно організувати бездоганну роботу роумінгу клієнтів WiFi з голосовими або відео-додатками, то Ubiquiti, як це не сумно, вам вже не підійде. Те саме стосується High Density – це не про Ubiquiti. Взагалі в радіочастині Ubiquiti далекий від ідеалу, але завдяки потужній компонентній базі, дуже широкій лінійці обладнання та правильної маркетингової політики, вони досі є одним із найпопулярніших виробників WiFi-рішень. У Росії в Ubiquiti оголюються ще 2 істотні недоліки: відсутність офіційного сервісу та представництва. Перше означає, що гарантія на території РФ працює трохи краще, ніж ніяк, а друге - що у вас не буде ні техпідтримки, ні сертифікатів на обладнання (що закриває дорогу на державні підприємства і до операторів зв'язку).
Перевага Ubiquiti - в їхній екосистемі UniFi, що включає тепер уже не тільки WiFi-обладнання, але також комутатори, маршрутизатори, відеоспостереження, телефонію, а з недавніх пір навіть деякі компоненти "розумного будинку". Причому управління всім цим господарством доступне через дуже гарні та зручні програми(в т.ч. мобільні), що інтегруються з "хмарою" Ubiquiti, тобто. "порулити" екосистемою UniFi ви зможете з будь-якої точки планети, і це без усяких танців з прокиданням портів, статичними IP-адресами та іншою чехардою. Загалом це дійсно зручно.
5. Mikrotik, Edimax, Wisnetworks, TG-NET тощо. 5-й пункт у цьому списку ми дописуємо тільки тому, що число 5 – красивіше, ніж 4. Ну чи репутація у нього краща. Об'єктивно перераховані тут вендори поки не дотягують навіть до рівня Ubiquiti (вони може бути і не гірше, але за сукупністю факторів їх сприйняття ринком все ж таки не такі значні), проте все одно займають на ринку якусь нішу і користуються якоюсь популярністю.
Зухвало похвалимося: у нас накопичився великий досвід розгортання великих мереж Wi-Fi, ми встигли наживо "помацати" найрізноманітніші рішення більшості профільних вендорів, і знаємо їх сильні сторонита підводні камені. Ми готові застосувати свій досвід для проектування та встановлення бездротових мереж на вашому підприємстві. - заощадите свої час та гроші!
Вже не раз я стосувався теми цікавих та багатофункціональних роутерів, які підходять для дому, малого та середнього бізнесу. Сьогодні розглянемо налаштування у mikrotik функціоналу capsman для створення єдиної безшовної wifi мережі, що складається з багатьох точок доступу. Я вже писав про це, але минуло більше року і щось змінилося, корисно буде ще раз подивитися та перевірити на реальному прикладі.
Як я вже сказав, я маю на тему налаштування capsman в mikrotik. В наш час у зв'язку зі швидкістю розвитку інформаційних технологійінформація дуже швидко старіє. І хоча стаття все ще актуальна, її регулярно читають та використовують, зараз є що до неї додати.
Вийшла нова версіятехнології Controlled Access Point System Manager (CAPsMAN) v2. Я розповім трохи про неї. У своїй роботі спиратимуся на досвід попередньої статті та на офіційний Manual:CAPsMAN із сайту виробника мікротиків.
У моєму розпорядженні будуть 2 роутери RB951G-2HnD, які відповідно до моїх рекомендацій на цю тему. Рекомендую про всяк випадок ознайомитися з ними, щоб було загальне уявлення про базові налаштування роутерів. На одному з цих роутерів я настрою контролер точок доступу, іншу підключу до цього контролера. Обидві точки утворюють єдину безшовну мережу wifi з автоматичним перемиканням клієнтів до найближчої точки.
Прикладу з двох точок доступу буде достатньо загального уявлення про роботу технології. Далі це налаштування лінійно масштабується на необхідну кількість точок доступу.
Що таке capsman v2
Спочатку розповім, що таке capsman v2 і чим він відрізняється від першої версії. Відразу варто сказати, що сумісності між двома версіями немає. Якщо у вас контролер v2, то до нього можуть підключатися лише точки доступу з такою самою версією. І навпаки, якщо у вас точки v2, підключитися до контролера першої версії не вийде.
CAPsMAN v2 має іншу назву пакета в системі wireless-cm2. Він з'явився в системі, починаючи з версії RouterOS v6.22rc7. У попередньої версіїНазва – wireless-fp, він з'явився у версії v6.11. Якщо у вас немає нового пакета, до останнього.
Список нововведень capsman v2:
- Можливість автоматично оновлювати керовані точки доступу.
- Удосконалено протокол обміну інформацією між контролером та точками доступу.
- Додані поля «Name Format» та «Name Prefix» у налаштуваннях Provision rules.
- Поліпшено логування процесу перемикання клієнта від точки до точки.
- Додано L2 Path MTU discovery.
Якщо у вас в мережі вже налаштований capsman, то розробники пропонують наступний шлях поновлення всієї вашої мережі до v2:
- Налаштовує у вихідній мережі тимчасовий контролер capsman v2.
- Починаєте поступово оновлювати керовані точки доступу для встановлення пакета wireless-cm2. Усі оновлені точки доступу підключатимуться до тимчасового контролера.
- Після того, як всі керовані точки доступу будуть оновлені до останньої версіїоновлюєте основний контролер capsman. Після того, як це станеться, вимикаєте часовий контролер.
Є більш простий шлях, якщо вам не критичний простий мережі на деякий час. Одночасно запускайте оновлення на всіх роутерах – і на контролері та на точках. Як тільки вони оновляться, все почне працювати на новій версії.
Відразу попереджаю, якщо виникнуть запитання на цю тему. Я особисто не перевіряв оновлення до версії v2, не було потреби.
Налаштування контролера wifi мережі
Переходимо від теорії до практики. Насамперед налаштуємо контролер capsman перед підключенням до нього точок доступу. Як я вже казав, оновлюємо перед цим систему. У нас має бути встановлений та активований пакет wireless-cm2.
Щоб активувати функцію контролера бездротової мережі, йдемо в розділ CAPsMAN, натискаємо на Manager та ставимо галочку Enabled.
Перш ніж продовжити налаштування, розповім трохи про принцип роботи системи. У мережі налаштовується контролер керування точками доступу. До нього підключаються окремі wifi точки та отримують з нього налаштування. Кожна підключена точка доступу створює віртуальний wifi інтерфейс на контролері. Це дозволяє стандартними засобами керувати трафіком на контролері.
Набори налаштувань на контролері можуть бути об'єднані в іменовані конфігурації. Це дозволяє гнучко керувати та призначати різні конфігурації різним точкам. Наприклад, можна створити групу з глобальними налаштуваннями для всіх точок доступу, але при цьому окремим точкам можна задати додаткові налаштування, які перезаписуватимуть глобальні.
Після підключення керованої точки до майстра мережі, всі локальні бездротові налаштування на клієнті перестають діяти. Вони замінюються налаштуваннями capsman v2.
Продовжимо налаштування контролера. Створимо новий радіоканал та вкажемо його параметри. Ідемо на вкладку Channels, тиснемо на плюс і вказуємо параметри.
Випадаючого списку в налаштуваннях немає і це незручно. Можна переглянути налаштування у поточних параметрах Wifi, якщо він вже налаштований.
Продовжуємо налаштування на вкладці Datapaths. Тиснемо плюсик і задаємо параметри.
Трохи затримаюсь на параметрі local-forwarding. Якщо його активовано, то всім трафіком клієнтів точки доступу управляє сама точка. І більшість параметрів datapath не використовуються, оскільки контролер не керує трафіком. Якщо цей параметр не встановлений, весь трафік з клієнтів надходить на контролер мережі і там управляється залежно від налаштувань. Якщо вам потрібний трафік між клієнтами, то вкажіть параметр Client To Client Forwarding.
Переходимо до налаштувань безпеки. Відкриваємо вкладку Security Cfg.і тиснемо плюсик.
Настав час об'єднати створені раніше налаштування в єдину конфігурацію. Таких конфігурацій може бути декілька з різними налаштуваннями. Наприклад досить і однієї. Ідемо на вкладку Configurationsі тиснемо плюсик.
На першій вкладці Wireless вказуємо ім'я конфігурації, режим ap і SSID майбутньої безшовної wifi мережі. На решті вкладок просто вибираємо створені раніше налаштування.
Основні настройки mikrotik контролера capsman v2 закінчені. Тепер потрібно створити правила розповсюдження цих налаштувань. Як я вже раніше писав, різним точкам можна зраджувати різні конфігурації. Контролер може ідентифікувати точки доступу за такими параметрами:
- Якщо використовуються сертифікати, то поле Common name сертифіката.
- В інших випадках використовуються MAC адреси точок у форматі XX:XX:XX:XX:XX:XX
Так як у своєму випадку я не використовую сертифікати, створимо правило розповсюдження налаштувань на основі адреси MAC. Оскільки у мене єдина конфігурація всім точок, то й правило поширення буде найпростіше. Зробимо його. Переходимо на вкладку Provisioningі тиснемо плюсик.
| Radio Mac | MAC адресу точки доступу |
| Hw. Supported Modes | не зрозумів навіщо це, у документації порожньо |
| Identity Regexp | у документації теж нічого немає |
| Commom Name Regexp | і про це немає |
| IP Address Ranges | і про це теж |
| Action | вибір дії з радіо інтерфейсом після підключення |
| Master Configuration | вибір основної конфгіурації, яка буде застосована до створюваного радіо інтерфейсу |
| Slave Configuration | другорядна конфігурація, можна підключити ще один конфіг клієнтам |
| Name Format | визначає синтаксис назв для створюваних CAP інтерфейсів |
| Name Prefix | префікс для імен створюваних CAP інтерфейсів |
На цьому налаштування контролера capsman v2 закінчено, можна підключати wifi точки доступу до нього.
Підключення точок доступу
У моїй розповіді беруть участь дві точки доступу з адресами 192.168.1.1 (Mikrotik)і 192.168.1.3 (CAP-1), з'єднані між собою по кабелю Ethernet. Перша з них – контролер, друга проста точка. Обидві точки бачать один одного в локальної мережі. Wifi інтерфейс контролера так само, як і звичайної точки підключається до capsman і бере в нього налаштування. Тобто контролер є одночасно контролером і рядовою точкою доступу. Навіть комбінація з двох точок організує повноцінну безшовну мережу wifi на всій площі, яку покривають їх радіо модулі.
Підключення точок доступу CAP до контролера CAPsMAN можливе за двома різними протоколами - Layer 2 або Layer 3. У першому випадку точки доступу повинні бути розташовані фізично в одному сегменті мережі (фізичної або віртуальної, якщо це тунель L2). У них не обов'язково налаштовувати IP адресацію, вони знайдуть контролер за MAC адресою.
У другому випадку підключення буде за протоколом IP (UDP). Потрібно налаштувати IP адресацію та організувати доступність точок доступу та контролера за IP адресами.
Для початку підключимо окрему wifi точку. Підключаємося до неї через Winbox і переходимо в розділ Wireless. Там натискаємо на CAP і вказуємо налаштування.
У моєму випадку я вказав на конкретний IP контролера, так як ip адресація налаштована. Якщо ви хочете підключати точки l2 до контролера, то поле з адресою капсман залишаємо порожнім, а в Discovery Interfacesвибираєте інтерфейс, який підключено до контролера. Якщо вони в одному фізичному сегменті мережі, то точка автоматично знайде майстер.
Зберігаємо налаштування та перевіряємо. Якщо точка доступу коректно підключиться до контролера, то на самій точці буде така картина:
А на контролері у списку Interfacesз'явиться щойно створений радіо інтерфейс підключеної точки доступу:
Якщо у вас по точка доступу вперто не підключається до контролера і ви ніяк не можете зрозуміти, в чому проблема, то перевірте, що у вас активовані на всіх пристроях пакети wireless-cm2. У мене вийшло так, що після оновлення на одній із точок було включено пакет wireless-fp замість необхідного. Точка доступу в жодну не хотіла підключатися до контролера, що я тільки не пробував. Я та її контролером робив, інша не хотіла до неї підключатися. Я скинув усі налаштування, але це не допомогло. Коли зовсім зневірився вирішити проблему, перевірив версію пакета і виявив, що вона не та.
Зробимо тепер те саме на самому mikrotik контролері - підключимо його wifi інтерфейс до capsman v2. Робиться це абсолютно так само, як щойно виконали на окремій точці wifi. Після підключення дивимось картинку на контролері. Має бути приблизно так:
Все, основні налаштування закінчено. Тепер цю конфігурацію можна розгортати далі на нові точки доступу та покривати велику площу єдиною безшовною wifi мережею. Усі підключені клієнти відображатимуться на вкладці Registration Tableіз зазначенням точки, до якої вони підключені.
Перевірка роботи безшовного роумінгу wifi
Тепер можна взяти телефон на андроїді, поставити на нього програму Wifi Analyzerі прогулятися по всій wifi території, протестувати потужність сигналу, перемикання від точки до точки. Перемикання відбувається не відразу, як тільки сигнал нової точки буде сильнішим за попередню. Якщо різниця невелика, то перемикання до нової не відбудеться. Але як тільки різниця починає бути суттєвою, клієнт перескакує. Цю інформацію можна спостерігати на контролері.
Після аналізу зони покриття можна підкоригувати потужність точок доступу. Іноді корисно налаштувати різну потужність на різних точках, залежно від схеми приміщень. Але загалом і в цілому навіть у базовому налаштуваннівсе працює цілком стабільно та якісно. До даних моделей мікротик (RB951G-2HnD) можуть підключатися та комфортно працювати по 10-15 осіб. Далі можуть бути аспекти залежно від навантаження. Ці цифри я навів із прикладів реальної роботи.
2 мережі в capsman на прикладі гостьової wifi
Розглянемо наприклад одну поширену ситуацію, яку можна реалізувати за допомогою технології capsman. У нас налаштована безшовна мережа wifi з авторизацією пароля. Нам потрібно на ці точки доступу додати ще одну гостьову мережу для відкритого доступу. У одиночному mikrotik це робиться за допомогою Virtual AP. Зробимо те саме в capsman.
Для цього потрібно додати нове налаштування безпеки. Ідемо в Security Cfg.та створюємо налаштування для доступу без пароля. Називаємо її open.
Створюємо ще одну конфігурацію, в якій всі інші налаштування залишаємо ті самі, тільки змінюємо SSID і налаштування безпеки.
Ідемо на вкладку Provisioning, відкриваємо раніше створену конфігурацію та додаємо туди у параметрі Slave Configurationнашу другу конфігурацію, яку ми щойно зробили.
Зберігаємо зміни. Тут я зачекав кілька секунд, нове налаштування не поширилося на крапки. Я не став чекати, зайшов на кожну точку та перепідключив її до контролера. Можливо, цього не треба було робити, а треба було почекати. Не знаю, зробив як є. Нове налаштуванняпоширилася і в кожній точці доступу з'явилася нова мережатипу Virtual APз відкритою мережею wifi.
Я для роботи Virtual AP в capsman розглянув поточну ситуацію. Тут клієнтів гостьової мережі підключає той самий бридж і адресний простір, що і користувачів закритої мережі. По хорошому потрібно зробити додаткові опції:
- Створити на контролері для відкритої мережіокремий bridge, призначити йому свою мережу та адресу в ній, додати в цей бридж другий wlan інтерфейс, який з'явиться після підключення до capsman з двома конфігураціями.
- Налаштувати в цій підмережі окремий сервер DHCP з роздачею адрес тільки з цієї підмережі.
- У настройках capsman в datapath створити окрему конфігурацію для відкритої мережі. У ній вказати новий bridge і вибирати параметр local forwarding.
- У конфігурації відкритої мережі вибрати новий datapath.
Після цього всіх підключених до відкритої wifi мережі відправлятиме в окремий бридж, де буде свій dhcp сервер та адресний простір, відмінний від основної мережі. Не забудьте в dhcp перевірити налаштування шлюзу та dns сервера, які ви передаватимете клієнтам.
Висновок
Підіб'ємо підсумок виконаної роботи. На прикладі двох точок доступу Mikrotik RB951G-2HnD ми налаштували безшовний wifi роумінг на площі, що покривається цими точками. Площа ця легко розширюється додатковими wifi точкамибудь-якої моделі мікротік. Вони не обов'язково повинні бути однаковими, як це, наприклад, реалізовано в деяких конфігураціях Zyxell, які мені доводилося налаштовувати.
У цьому прикладі я розглянув практично найпростішу конфігурацію, але при цьому розписав усі налаштування та принцип роботи. На основі цих даних легко скласти і складніші конфігурації. Тут немає якогось принципового ускладнення. Якщо зрозуміти, як це працює, то далі вже можна працювати та робити свої конфігурації.
Трафіком з точок доступу можна керувати так само, як із звичайних інтерфейсів. Працює весь базовий функціонал системи - firewall, маршрутизація, nat і т. д. Можна робити бриджі, ділити адресний простір та багато іншого. Але варто враховувати, що при цьому трафік весь ітиме через контролер. Потрібно це розуміти та правильно розраховувати продуктивність та пропускну здатність мережі.
Корисні відгуки про роботу capsman
Небагато корисної інформаціїіз відгуків до статті від реальних користувачів технології capsman:
Володимире, гарна стаття! Багато букв корисних!:) При налаштуванні capsman на підприємстві посилався на твою статтю — багато чого почерпнув, але трохи змінив. Зміни торкнулися вкладки "Channels" - прибрав позицію Frequency т.к. використання однієї частоти на всіх точках не рекомендував би, тому що поруч точки, що стоять, починають «захлинатися» і відповідно виникають обриви з'єднання… Мої користувачі скаржилися на низький рівень сигналу при знаходженні поряд з точкою доступу (а насправді були підключені до точки з поганим рівнем сигналу)… для того, щоб користувачі «стрибали» з точки на точку, яка має краще сигнал, вирішив зробити обмеження на порозі рівня сигналу, зробивши запис у вкладці AccessList. Значення вніс у SignalRange => -71..120 Interface=> all Action => accept, цим домігся того що при досягненні сигналу нижче -71 абонент «залишає» точку:) Значення -71 взято не випадково (мінімальний рівень сигналу при швидкості 54Mbit ) Також у вкладці Provisioning змінив значення NameFormat, замість cap поставив identity (при підключенні до контролера показує назву точки, яка прописана в system->identity пристрою), у кого є реалізація в домашніх пристроях, тому може і не треба це, а у кого точки розкидані по великій території і їх багато - буде корисно:) Загалом дякую велике і вибач за багато букв:)
І ще один відгук:
Стаття дуже хороша, але я б її доповнив/переробив у частині гостьової мережі wifi:
1) розділив 2 wifi мережі по різних радіоканалах.
2) Для безпеки я б відокремив гостьову мережу від основної. Зважаючи на те, що у вас гостьова мережа без пароля поламати вас захоче кожен студент зі смартфоном. Створюється бридж (bridge_open), призначається бриджу ip адресу з іншої мережі (192.168.200.1/24), створюється dhcp-pool (192.168.200.10-192.168.200.100), піднімається на створеному DataPass якому вказуємо створений бридж (bridge_open), для конфігурації гостьової мережі cfg2 використовуємо Datapaths_open. Далі налаштовуємо NAT і firewall, щоб з гостьової мережі (192.168.200.0/24) в інтернет доступ був, а локальну робочу блокувався (drop forward з 192.168.200.0/24 в локальну мережу).
Онлайн курси з Mikrotik
Якщо у вас є бажання навчитися працювати з роутерами мікротик і стати фахівцем у цій галузі, рекомендую пройти курси за програмою, яка базується на інформації з офіційного курсу MikroTik Certified Network Associate. Крім офіційної програми, у курсах будуть лабораторні роботи, в яких ви на практиці зможете перевірити та закріпити отримані знання. Всі подробиці на сайті Курси ІТ
У цій статті ми навчимося створювати єдину безшовну WiFi-мережана роутерах MikroTik / Мікротік. Де це може стати в нагоді? Наприклад, у різного роду кафе чи готелях, де одного wi-fi роутеранедостатньо для покриття всіх приміщень і доступу в інтернет, а з великою кількістю точок доступу постійно виникають різні проблеми: на ноутбуках постійно зникає з'єднання, а мобільні пристрої не перемикаються самостійно на найближчу точку доступу.
Вирішення цієї ситуації – безшовний роумінг WiFi мережі або handover, який ми можемо отримати завдяки функціоналу CapsMan з кількох роутерів Мікротик, один із яких буде контролером WiFi, а решта – точками доступу, керованими цим контролером.
Перше, що потрібно зробити – це оновитись до останньої версії ПЗ. Прошивку можна завантажити на офіційному сайті. Далі, зайшовши до інтерфейсу MikroTik, перетягуємо її в розділ Files і перевантажуємо роутер. Разом з прошивкою також потрібно завантажити пакет Wireless CAPs MAN, перетягнути в те саме місце і перевантажитися. Після виконання дій можна переходити до налаштування.
Почнемо з контролера. Відкриваємо розділ CAPsMAN, натиснувши відповідну кнопку у головному меню. У вкладці Interfaces тиснемо кнопку Manager (включаємо режим контролера) і в вікні ставимо галочку Enable, зберігаємося OK. Після цього переходимо у вкладку Configurations.
Установки конфігурації будуть розповсюджуватися на всі точки доступу, підключені до контролера. Тиснемо синій хрест і у вкладці Wireless вказуємо ім'я конфігурації (3), режим бездротової мережі (4), ім'я мережі (5), а також включаємо всі бездротові антени на прийом і передаю (6), зберігаємось (7) і переходимо у вкладку Channel .
Тут вказуємо частоту (2), формат мовлення бездротової мережі (3) та канал (4). Зберігаємось (5) і переходимо у вкладку Datapath.
Тут нам потрібно тільки поставити галочку в Local Forwarding - це передасть керування трафіком точках доступу. Залишилося заповнити останню вкладку Security.
У розділі безпеки вибираємо тип автентифікації, метод шифрування та пароль до бездротової мережі, тиснемо OK.
Після того як створили конфігурацію, переходимо до наступного пункту – розгортання. У тому ж розділі CAPsMAN вибираємо вкладку Provisioning (1) і тиснемо синій хрест. Поле Radio MAC (2) дозволяє вибрати певну точку доступу, до якої належатиме наше розгортання. Залишаємо його за умовчанням, щоб розгортання належало до всіх точок доступу. У наступному полі Action (3) вибираємо створенийдинамічний, оскільки у нас динамічний інтерфейс. У Master Configuration (4) вказуємо ім'я створеної конфігурації.
З розділом CAPsMAN закінчили, переходимо до розділу Wireless (1). У вкладці Interfaces тиснемо кнопку CAP (3), ставимо галочку Enabled (4), вибираємо інтерфейс wlan1 і вказуємо ip-адресу нашого основного роутера, який за сумісництвом є контролером.
Якщо ми зробили все правильно, то у вкладці Interfaces з'являться два червоні рядки, які свідчать, що wi-fi адаптер підключився до контролера і перейняв всі необхідні налаштування.
На цьому налаштування головного роутера-контролера закінчено, і цю мережу можна використовувати для створення телефонної мережі та підключення до офісної АТС
Налаштування точок доступу, які будуть підключатися до контролера Ethernet-кабелю, досить проста. Їх теж потрібно прошити до останньої версії та встановити CAPs MAN. Далі об'єднуємо всі порти та wi-fi інтерфейсодин Bridge в однойменному розділі.
Наступним кроком у розділі Wireless проробляємо те саме, що і на контролері, за винятком того, що замість IP-адреси в CAPs MAN Addresses, вказуємо створений на точці доступу Bridge у полі Discovery Interfaces. Після виконаних маніпуляцій точка доступу отримає налаштування з контролера і роздаватиме wi-fi (мають з'явитися такі ж два червоні рядки у вкладці Interfaces).
