CAPsMAN - это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.
Содержание
CAPsMAN - это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.
Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это означает, что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.
Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:
- Как происходит процесс подключения точки к CAPsMAN;
- Как настроить CAPsMAN на основном роутере;
- Как подключить к CAPsMAN точку доступа WiFi.
Процесс подключения точки WiFi к CAPsMAN.
Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.
Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.
Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:
- Списка ip-адресов
- списка CAPsMAN полученного от DHCP сервера
- широковещательных запросов на уровне Layer 2 и Layer 3;
После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:
- список имен разрешенных в CAPsMAN Names;
- контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.
После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:
- На CAPsMAN и CAP нет сертификатов - подключение без аутентификации;
- Сертификат только у CAPsMAN - аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
- CAPsMAN и CAP имеют доверенные сертификаты - взаимная аутентификация.
В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст, то CAP не будет проверять это поле CommonName.
В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.
Настройка CAPsMAN
Чтобы настроить CAPsMAN Mikrotik нужно выбрать роутер, который будет использоваться в качестве контроллера, создать на нем конфигурацию для управляемых точек доступа WiFi, задать правила обнаружения точек и активировать CAPsMAN. Затем необходимо выполнить настройку управляемых точек доступа для получения конфигурации WiFi от контроллера.
Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной широковещательной сети (Layer 2) с контроллером и для подключения точек не используется сертификат.
Настройка CAPsMAN в роутерах Mikrotik осуществляется через соответствующую настройку в Winbox путем создания конфигурации, которая будет отправляться на подключаемые в сеть точки доступа WiFi.
На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.
В конфигурации, которая будет отправляться на подключенные точки доступа WiFi, необходимо настроить следующие обязательные параметры:
- Channels
- Datapaths
- Security Cfg.
1. CAPs Configuration - создание конфигурации.
Открываем вкладку Configurations и создаем новую конфигурацию.
Wireless.
- Выбираем Mode - доступен только AP.
- Вводим название вашей WiFi сети SSID.
Channel.
Указываем обязательные параметры:
- Frequency - частота вещания беспроводной сети. Здесь нет возможности выбора частот из списка, поэтому частоту нужно вписывать вручную. Для России 13 каналов с шагом в 5MHz: 2412, 2417, 2422, 2427, 2432 ... 2472;
- Control Channel Width - ширина вещания канала. Выбираем оптимальную для офиса 20MHz (оптимальное соотношение дальности сигнала и пропускной способности);
- WiFi Band - группа стандартов WiFi. Предпочтительно использовать более современные и быстрые стандарты 2ghz-onlyn (802.11n), но если в сети есть довольно старые устройства работающие по стандартам 802.11b или 802.11g тогда лучше выбрать совместимый режим 2ghz-b/g/n.
Datapath.
Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.
Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.
Security Cfg.
- Authentication Type - тип аутентификации, выбираем WPA2PSK;
- Encryption - шифрование одноадресной рассылки aes ccm;
- Passphrase - пароль для подключения к WiFi.
Настройка конфигурации завершена, но стоит упомянуть способ использования шаблонов для конфигураций CAPsMAN.
Использование шаблонов настроек Channels, Datapaths, Security Cfg.
Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.
В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например, для Channel это будет выглядеть так:
2. Добавляем правила обнаружения Provisioning.
В разделе CAPs Provisioning задаются правила для поиска точек доступа.
Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.
Radio MAC: 00:00:00:00:00:00;
Action: create dynamic enabled;
Master configuration: cfg1 - имя ранее созданной конфигурации;
3. Включаем CAPsMAN
Чтобы включить CAPsMAN нажимаем на кнопку Manager и отмечаем пункт Enabled.
Для безопасности необходимо настроить интерфейсы, на которых CAPsMAN будет слушать точки доступа WiFi. Для этого нажимаем на кнопку Interfaces.
В стандартной конфигурации создано правило для всех интерфейсов all - его необходимо запретить. Выбираем это правило и отмечаем Forbid.
Добавляем новое правило, которое указывает CAPsMAN слушать только локальные интерфейсы в bridge.
Настройка контролируемой точки доступа WiFi (CAP).
Подключаемся через Winbox к точке доступа WiFi, открываем таблицу беспроводных интерфейсов Wireless и нажимаем кнопку CAP на панели инструментов.
Для успешной работы точки доступа WiFi совместно с CAPsMAN необходимо указать следующие настройки:
- отмечаем пункт Enabled;
- Interface - беспроводной интерфейс, который будет контролироваться CAPsMAN, например wlan1;
- Discovery interface - интерфейс на котором CAP, будет искать контроллер CAPsMAN (интерфейс ether1);
- Bridge - мост, через который будет идти трафик (bridge).
На этом настройка подключения точки доступа WiFi к CAPsMAN завершена.
Проверим смогла ли подключиться CAP к контроллеру.
Открываем CAPsMAN и смотрим таблицу CAP Interface. Здесь должны появиться все подключенные WiFi точки. На моем скриншоте видно 5 подключенных CAP c двумя интерфейсами на каждую - для основного WiFi интерфейса (Master) и виртуального WiFi (Slave).
Во вкладке Registration Table можно посмотреть подключенных к точкам WiFi клиентов.