Настройка CAPsMAN в роутерах Mikrotik

CAPsMAN - это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.

CAPsMAN - это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.

Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это означает, что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.

Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:

Процесс подключения точки WiFi к CAPsMAN.

Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.

Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.

Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:

  • Списка ip-адресов
  • списка CAPsMAN полученного от DHCP сервера
  • широковещательных запросов на уровне Layer 2 и Layer 3;

После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:

  • список имен разрешенных в CAPsMAN Names;
  • контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.

После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:

  • На CAPsMAN и CAP нет сертификатов - подключение без аутентификации;
  • Сертификат только у CAPsMAN - аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
  • CAPsMAN и CAP имеют доверенные сертификаты - взаимная аутентификация.

В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст, то CAP не будет проверять это поле CommonName.

В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.

Настройка CAPsMAN

Чтобы настроить CAPsMAN Mikrotik нужно выбрать роутер, который будет использоваться в качестве контроллера, создать на нем конфигурацию для управляемых точек доступа WiFi, задать правила обнаружения точек и активировать CAPsMAN. Затем необходимо выполнить настройку управляемых точек доступа для получения конфигурации WiFi от контроллера.

Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной широковещательной сети (Layer 2) с контроллером и для подключения точек не используется сертификат.

Настройка CAPsMAN в роутерах Mikrotik осуществляется через соответствующую настройку в Winbox путем создания конфигурации, которая будет отправляться на подключаемые в сеть точки доступа WiFi.

На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.

В конфигурации, которая будет отправляться на подключенные точки доступа WiFi, необходимо настроить следующие обязательные параметры:

  • Channels
  • Datapaths
  • Security Cfg.

1. CAPs Configuration - создание конфигурации.

Открываем вкладку Configurations и создаем новую конфигурацию.

Wireless.

  • Выбираем Mode - доступен только AP.
  • Вводим название вашей WiFi сети SSID.
настройка Wireless в конфигурации CAPsMAN

Channel.

Указываем обязательные параметры:

  • Frequency - частота вещания беспроводной сети. Здесь нет возможности выбора частот из списка, поэтому частоту нужно вписывать вручную. Для России 13 каналов с шагом в 5MHz: 2412, 2417, 2422, 2427, 2432 ... 2472;
  • Control Channel Width - ширина вещания канала. Выбираем оптимальную для офиса 20MHz (оптимальное соотношение дальности сигнала и пропускной способности);
  • WiFi Band - группа стандартов WiFi. Предпочтительно использовать более современные и быстрые стандарты 2ghz-onlyn (802.11n), но если в сети есть довольно старые устройства работающие по стандартам 802.11b или 802.11g тогда лучше выбрать совместимый режим 2ghz-b/g/n.
Настройка Channel в конфигурации CAPsMAN

Datapath.

Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.

Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.

настройка Datapath в конфигурации CAPsMAN

Security Cfg.

  • Authentication Type - тип аутентификации, выбираем WPA2PSK;
  • Encryption - шифрование одноадресной рассылки aes ccm;
  • Passphrase - пароль для подключения к WiFi.
настройка Security в конфигурации CAPsMAN

Настройка конфигурации завершена, но стоит упомянуть способ использования шаблонов для конфигураций CAPsMAN.

Использование шаблонов настроек Channels, Datapaths, Security Cfg.

Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.

шаблоны Channel, Datapath, Security в конфигурации CAPsMAN

В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например, для Channel это будет выглядеть так:

подключение шаблона Channel  в конфигурации CAPsMAN

2. Добавляем правила обнаружения Provisioning.

В разделе CAPs Provisioning задаются правила для поиска точек доступа.

Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.

Добавление правила обнаружения CAP

Radio MAC: 00:00:00:00:00:00;
Action: create dynamic enabled;
Master configuration: cfg1 - имя ранее созданной конфигурации;

настройки правила обнаружения CAP

3. Включаем CAPsMAN

Чтобы включить CAPsMAN нажимаем на кнопку Manager и отмечаем пункт Enabled.

Включение CAPsMAN

Для безопасности необходимо настроить интерфейсы, на которых CAPsMAN будет слушать точки доступа WiFi. Для этого нажимаем на кнопку Interfaces.

настройка интерфейсов прослушиваемых CAPsMAN

В стандартной конфигурации создано правило для всех интерфейсов all - его необходимо запретить. Выбираем это правило и отмечаем Forbid.

запрещаем CAPsMAN слушать все интерфейсы

Добавляем новое правило, которое указывает CAPsMAN слушать только локальные интерфейсы в bridge.

добавление интерфейса, который можно слушать CAPsMAN

Настройка контролируемой точки доступа WiFi (CAP).

Подключаемся через Winbox к точке доступа WiFi, открываем таблицу беспроводных интерфейсов Wireless и нажимаем кнопку CAP на панели инструментов.

подключение WiFi точки к CAPsMAN

Для успешной работы точки доступа WiFi совместно с CAPsMAN необходимо указать следующие настройки:

  • отмечаем пункт Enabled;
  • Interface - беспроводной интерфейс, который будет контролироваться CAPsMAN, например wlan1;
  • Discovery interface - интерфейс на котором CAP, будет искать контроллер CAPsMAN (интерфейс ether1);
  • Bridge - мост, через который будет идти трафик (bridge).
настройки для подключения точки доступа WiFi к CAPsMAN

На этом настройка подключения точки доступа WiFi к CAPsMAN завершена.

Проверим смогла ли подключиться CAP к контроллеру.

Открываем CAPsMAN и смотрим таблицу CAP Interface. Здесь должны появиться все подключенные WiFi точки. На моем скриншоте видно 5 подключенных CAP c двумя интерфейсами на каждую - для основного WiFi интерфейса (Master) и виртуального WiFi (Slave).

список подключенных к CAPsMAN WiFi точек

Во вкладке Registration Table можно посмотреть подключенных к точкам WiFi клиентов.

список подключенных к CAPsMAN клиентов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *