Вступ
Як я вже сказав, я маю на тему налаштування capsman в mikrotik. У наш час у зв'язку із швидкістю розвитку інформаційних технологій інформація дуже швидко застаріває. І хоча стаття все ще актуальна, її регулярно читають та використовують, зараз є що до неї додати.
Вийшла нова версія технології Controlled Access Point System Manager (CAPsMAN) v2. Я розповім трохи про неї. У своїй роботі буду спиратися на досвід попередньої статті та на офіційний Manual:CAPsMAN із сайту виробника мікротиків.
У моєму розпорядженні будуть 2 роутери RB951G-2HnD, які відповідно до моїх рекомендацій на цю тему. Рекомендую про всяк випадок ознайомитися з ними, щоб було загальне уявлення про базові налаштування роутерів. На одному з цих роутерів я настрою контролер точок доступу, іншу підключу до цього контролера. Обидві точки утворюють єдину безшовну мережу wifi з автоматичним перемиканням клієнтів до найближчої точки.
Приклад із двох точок доступу буде достатньо для загального уявлення про роботу технології. Далі це налаштування лінійно масштабується на необхідну кількість точок доступу.
Що таке capsman v2
Спочатку розповім, що таке capsman v2 і чим він відрізняється від першої версії. Відразу варто сказати, що сумісності між двома версіями немає. Якщо у вас контролер v2, то до нього можуть підключатися лише точки доступу з такою самою версією. І навпаки, якщо у вас точки v2, підключитися до контролера першої версії не вийде.
CAPsMAN v2 має іншу назву пакета в системі wireless-cm2. Він з'явився в системі, починаючи з версії RouterOS v6.22rc7. У попередній версії назва wireless-fp, вона з'явилася у версії v6.11. Якщо у вас немає нового пакета, до останнього.
Список нововведень capsman v2:
- Можливість автоматично оновлювати керовані точки доступу.
- Удосконалено протокол обміну інформацією між контролером та точками доступу.
- Додані поля "Name Format" та "Name Prefix" у налаштуваннях Provision rules.
- Поліпшено логування процесу перемикання клієнта від точки до точки.
- Додано L2 Path MTU discovery.
Якщо у вас в мережі вже налаштований capsman, то розробники пропонують наступний шлях поновлення всієї вашої мережі до v2:
- Налаштовує у вихідній мережі тимчасовий контролер capsman v2.
- Починаєте поступово оновлювати керовані точки доступу для встановлення пакета wireless-cm2. Усі оновлені точки доступу підключатимуться до тимчасового контролера.
- Після того, як всі керовані точки доступу будуть оновлені до останньої версії, оновлюєте головний контролер capsman. Після того як це станеться, вимикаєте тимчасовий контролер.
Є більш простий шлях, якщо вам не критичний простий мережі на деякий час. Одночасно запускайте оновлення на всіх роутерах – і на контролері та на точках. Як тільки вони оновляться, все почне працювати на новій версії.
Відразу попереджаю, якщо виникнуть питання щодо цієї теми. Я особисто не перевіряв оновлення до версії v2, не було потреби.
Налаштування контролера wifi мережі
Переходимо від теорії до практики. Насамперед налаштуємо контролер capsman перед підключенням до нього точок доступу. Як я вже казав, оновлюємо перед цим систему. У нас має бути встановлений та активований пакет wireless-cm2.
Щоб активувати функцію контролера бездротової мережі, йдемо у розділ CAPsMAN, натискаємо на Manager та ставимо галочку Enabled.
Перш ніж продовжити налаштування, розповім трохи про принцип роботи системи. У мережі налаштовується контролер керування точками доступу. До нього підключаються окремі wifi точки та отримують з нього налаштування. Кожна підключена точка доступу створює віртуальний wifi інтерфейс на контролері. Це дозволяє стандартними засобами керувати трафіком на контролері.
Набори настройок на контролері можуть бути об'єднані в іменовані конфігурації. Це дозволяє гнучко керувати та призначати різні конфігурації різним точкам. Наприклад, можна створити групу з глобальними налаштуваннями для всіх точок доступу, але при цьому окремим точкам можна встановити додаткові налаштування, які будуть перезаписувати глобальні.
Після підключення керованої точки до майстра мережі, всі локальні бездротові налаштування на клієнті перестають діяти. Вони замінюються налаштуваннями capsman v2.
Продовжимо налаштування контролера. Створимо новий радіоканал та вкажемо його параметри. Ідемо на вкладку Channels, тиснемо на плюс і вказуємо параметри.
Випадаючого списку в налаштуваннях немає і це незручно. Ви можете налаштувати параметри у поточних параметрах Wifi, якщо він вже налаштований.
Продовжуємо налаштування на вкладці Datapaths. Тиснемо плюсик і задаємо параметри.
Трохи затримаюсь на параметрі local-forwarding. Якщо він активований, то всім трафіку клієнтів точки доступу управляє сама точка. І більшість параметрів datapath не використовуються, тому що контролер не керує трафіком. Якщо цей параметр не встановлений, весь трафік з клієнтів надходить на контролер мережі і там управляється в залежності від налаштувань. Якщо вам потрібний трафік між клієнтами, то вкажіть параметр Client To Client Forwarding.
Переходимо до налаштувань безпеки. Відкриваємо вкладку Security Cfg.і тиснемо плюсик.
Настав час об'єднати створені раніше налаштування в єдину конфігурацію. Таких конфігурацій може бути кілька з різними параметрами. Наприклад досить і однієї. Ідемо на вкладку Configurationsі тиснемо плюсик.
На першій вкладці Wireless вказуємо ім'я конфігурації, режим ap та ім'я SSID майбутньої безшовної wifi мережі. На решті вкладок просто вибираємо створені раніше налаштування.
Основні настройки mikrotik контролера capsman v2 закінчені. Тепер потрібно створити правила розповсюдження цих налаштувань. Як я вже раніше писав, різним точкам можна зраджувати різні конфігурації. Контролер може ідентифікувати точки доступу за такими параметрами:
- Якщо використовуються сертифікати, по полю Common name сертифіката.
- В інших випадках використовуються MAC адреси точок у форматі XX:XX:XX:XX:XX:XX
Так як у своєму випадку я не використовую сертифікати, створимо правило розповсюдження налаштувань на основі адреси MAC. Оскільки у мене єдина конфігурація для всіх точок, то й правило поширення буде найпростіше. Зробимо його. Переходимо на вкладку Provisioningі тиснемо плюсик.
| Radio Mac | MAC адреса точки доступу |
| Hw. Supported Modes | не зрозумів для чого це, у документації порожньо |
| Identity Regexp | у документації теж нічого немає |
| Commom Name Regexp | і про це ні |
| IP Address Ranges | і про це теж |
| Action | вибір дії з радіо інтерфейсом після підключення |
| Master Configuration | вибір основної конфгіурації, яка буде застосована до створюваного радіо інтерфейсу |
| Slave Configuration | другорядна конфігурація, можна підключити ще один конфіг клієнтам |
| Name Format | визначає синтаксис назв для створюваних CAP інтерфейсів |
| Name Prefix | префікс для імен створюваних CAP інтерфейсів |
На цьому налаштування контролера capsman v2 закінчено, можна підключати wifi точки доступу до нього.
Підключення точок доступу
У моїй розповіді беруть участь дві точки доступу з адресами 192.168.1.1 (Mikrotik)і 192.168.1.3 (CAP-1), з'єднані між собою по кабелю Ethernet. Перша їх контролер, друга проста точка. Обидві точки бачать одна одну у локальній мережі. Wifi інтерфейс контролера так само, як і звичайної точки підключається до capsman і бере в нього налаштування. Тобто контролер є одночасно контролером і рядовою точкою доступу. Навіть комбінація із двох точок організує повноцінну безшовну wifi мережу на всій площі, яку покривають їхні радіомодулі.
Підключення точок доступу CAP до контролера CAPsMAN можливе за двома різними протоколами - Layer 2 або Layer 3. У першому випадку точки доступу повинні бути розташовані фізично в одному сегменті мережі (фізичної або віртуальної, якщо це L2 тунель). Вони не обов'язково налаштовувати ip адресацію, вони знайдуть контролер за адресою MAC.
У другому випадку підключення буде за протоколом IP (UDP). Потрібно налаштувати IP адресацію та організувати доступність точок доступу та контролера за IP адресами.
Для початку підключимо окрему wifi точку. Підключаємося до неї через Winbox і переходимо в розділ Wireless. Там натискаємо на CAP і вказуємо налаштування.
У моєму випадку я вказав конкретний контролер IP, так як ip адресація налаштована. Якщо ви хочете підключати точки l2 до контролера, то поле з адресою капсман залишаємо порожнім, а в Discovery Interfacesвибираєте інтерфейс, який підключено до контролера. Якщо вони в одному фізичному сегменті мережі, точка автоматично знайде майстер.
Зберігаємо налаштування та перевіряємо. Якщо точка доступу коректно підключиться до контролера, то на самій точці буде така картина:
А на контролері у списку Interfacesз'явиться щойно створений радіо інтерфейс підключеної точки доступу:
Якщо у вас по точка доступу завзято не підключається до контролера і ви ніяк не можете зрозуміти, в чому проблема, то спочатку перевірте, що у вас активовані на всіх пристроях пакети wireless-cm2. У мене вийшло так, що після оновлення на одній з точок було включено пакет wireless-fp замість необхідного. Точка доступу ні в яку не хотіла підключатися до контролера, що я не пробував. Я та її контролером робив, інша не хотіла до неї підключатися. Я скинув усі налаштування, але це не допомогло. Коли зовсім зневірився вирішити проблему, перевірив версію пакета і виявив, що вона не та.
Проробимо тепер те саме на самому mikrotik контролері - підключимо його wifi інтерфейс до capsman v2. Робиться це абсолютно так, як щойно проробили на окремій точці wifi. Після підключення дивимось картинку на контролері. Має бути приблизно так:
Все, основні налаштування закінчено. Тепер цю конфігурацію можна розгортати далі на нові точки доступу та покривати велику площу єдиною безшовною wifi мережею. Всі підключені клієнти відображатимуться на вкладці Registration Tableіз зазначенням точки, до якої вони підключені.
Перевірка роботи безшовного роумінгу wifi
Тепер можна взяти телефон на андроїді, поставити на нього програму Wifi Analyzerі походити по всій території, що покривається wifi, протестувати потужність сигналу, перемикання від точки до точки. Перемикання відбувається не відразу, як тільки сигнал нової точки буде сильнішим за попередню. Якщо різниця невелика, то перемикання до нової не відбудеться. Але як тільки різниця починає бути суттєвою, клієнт перескакує. Цю інформацію можна спостерігати на контролері.
Після аналізу зони покриття можна скоригувати потужність точок доступу. Іноді корисно налаштувати різну потужність на різних точках, залежно від схеми приміщень. Але загалом навіть у базовому налаштуванні все працює цілком стабільно і якісно. До даних моделей мікротік (RB951G-2HnD) можуть підключатися і комфортно працювати по 10-15 осіб. Далі можуть бути аспекти залежно від навантаження. Ці цифри я навів із прикладів реальної роботи.
2 мережі в capsman на прикладі гостьової wifi
Розглянемо наприклад одну поширену ситуацію, яку можна реалізувати за допомогою технології capsman. У нас налаштована безшовна мережа wifi з авторизацією паролем. Нам потрібно на ці точки доступу додати ще одну гостьову мережу для відкритого доступу. В одиночному mikrotik це робиться за допомогою Virtual AP. Зробимо те саме в capsman.
Для цього потрібно додати нове налаштування безпеки. Ідемо в Security Cfg.та створюємо налаштування для доступу без пароля. Називаємо її open.
Створюємо ще одну конфігурацію, в якій всі інші налаштування залишаємо ті самі, тільки змінюємо SSID і налаштування безпеки.
Ідемо на вкладку Provisioning, відкриваємо раніше створену конфігурацію та додаємо туди у параметрі Slave Configurationнашу другу конфігурацію, яку ми щойно зробили.
Зберігаємо зміни. Тут я зачекав кілька секунд, нове налаштування не поширилося на точки. Я не став чекати, зайшов на кожну точку та перепідключив її до контролера. Можливо, цього не треба було робити, а треба було почекати. Не знаю, зробив як є. Нове налаштування поширилося і в кожній точці доступу з'явилася нова мережа типу Virtual APз відкритим Wi-Fi мережею.
Перевірив про всяк випадок роботу — все гаразд. Підключає клієнтів одночасно до обох мереж та дозволяє працювати.
Я приклад роботи Virtual AP в capsman розглянув поточну ситуацію. Тут клієнтів гостьової мережі підключає до того ж бридж та адресний простір, що і користувачів закритої мережі. По хорошому потрібно зробити додаткові опції:
- Створити на контролері для відкритої мережі окремий bridge, призначити йому свою підмережу та адресу в ній, додати до цього бриджу другий wlan інтерфейс, який з'явиться після підключення до capsman з двома конфігураціями.
- Налаштувати в цій підмережі окремий сервер DHCP з роздачею адрес тільки з цієї підмережі.
- У настройках capsman в datapath створити окрему конфігурацію для відкритої мережі. У ній вказати новий bridge і вибирати параметр local forwarding.
- У конфігурації для відкритої мережі виберіть новий datapath.
Після цього всіх підключених до відкритої wifi мережі відправлятиме в окремий бридж, де буде свій dhcp сервер та адресний простір, відмінний від основної мережі. Не забудьте в dhcp перевірити налаштування шлюзу та dns сервера, які ви передаватимете клієнтам.
Відео налаштування capsman
Висновок
Підіб'ємо підсумок виконаної роботи. На прикладі двох точок доступу Mikrotik RB951G-2HnD ми налаштували безшовний wifi роумінг на площі, що покривається цими точками. Площа ця легко розширюється додатковими точками wifi будь-якої моделі мікротик. Вони не обов'язково повинні бути однаковими, як це, наприклад, реалізовано в деяких конфігураціях Zyxell, які мені доводилося налаштовувати.
У цьому прикладі я розглянув практично найпростішу конфігурацію, але при цьому розписав усі налаштування та принцип роботи. На основі цих даних легко скласти і складніші конфігурації. Тут немає якогось принципового ускладнення. Якщо зрозуміти, як це працює, то далі вже можна працювати та робити свої конфігурації.
Трафіком з точок доступу можна керувати так само, як із звичайних інтерфейсів. Працює весь базовий функціонал системи - firewall, маршрутизація, nat і т. д. Можна робити бриджи, ділити адресний простір та багато іншого. Але варто враховувати, що при цьому трафік весь ітиме через контролер. Потрібно це розуміти та правильно розраховувати продуктивність та пропускну здатність мережі.
Нагадую, що ця стаття є частиною єдиного циклу статті про .
Корисні відгуки про роботу capsman
Небагато корисної інформації з відгуків до статті від реальних користувачів технології capsman:
Володимире, гарна стаття! Багато букв корисних!:) При налаштуванні capsman на підприємстві посилався на твою статтю — багато чого почерпнув, але трохи змінив. Зміни торкнулися вкладки "Channels" - прибрав позицію Frequency т.к. використання однієї частоти на всіх точках не рекомендував би, тому що поруч точки, що стоять, починають «захлинатися» і відповідно виникають обриви з'єднання… Мої користувачі скаржилися на низький рівень сигналу при знаходженні поряд з точкою доступу (а насправді були підключені до точки з поганим рівнем сигналу)… для того, щоб користувачі «стрибали» з точки на точку, яка має кращий сигнал, вирішив зробити обмеження на порозі рівня сигналу, зробивши запис у вкладці AccessList. Значення вніс SignalRange => -71..120 Interface=> all Action => accept, цим домігся того що при досягненні сигналу нижче -71 абонент «залишає» точку:) Значення -71 взято не випадково (мінімальний рівень сигналу при швидкості 54Mbit ) Також у вкладці Provisioning змінив значення NameFormat, замість cap поставив identity (при підключенні до контролера показує назву точки, яка прописана в system->identity пристрою), у кого є реалізація в домашніх пристроях, тому може і не треба це, а у кого точки розкидані по великій території і їх багато - буде корисно:) Загалом велике спасибі і вибач за багато букв:)
І ще один відгук:
Стаття дуже хороша, але я б її доповнив/переробив у гостьовій wifi мережі:
1) розділив 2 wifi мережі по різних радіоканалах.
2) Для безпеки я відокремив би гостьову мережу від основної. З огляду на те, що у вас гостьова мережа без пароля поламати вас захоче кожен студент зі смартфоном. Створюється бридж (bridge_open), призначається бриджу ip адрес з іншої мережі (192.168.200.1/24), створюється dhcp-pool (192.168.200.10-192.168.200.100), піднімається на створеному бриджі якому вказуємо створений бридж (bridge_open), для конфігурації гостьової мережі cfg2 використовуємо Datapaths_open. Далі налаштовуємо NAT і firewall, щоб з гостьової мережі (192.168.200.0/24) в інтернет доступ був, а локальну робочу блокувався (drop forward з 192.168.200.0/24 в локальну мережу).
Онлайн курси з Mikrotik
Якщо у вас є бажання навчитися працювати з роутерами мікротик та стати спеціалістом у цій галузі, рекомендую пройти курси за програмою, що базується на інформації з офіційного курсу MikroTik Certified Network Associate. Крім офіційної програми, у курсах будуть лабораторні роботи, в яких ви на практиці зможете перевірити та закріпити отримані знання. Усі подробиці на сайті. Вартість навчання дуже демократична, хороша можливість отримати нові знання в актуальній на сьогоднішній день предметній галузі. Особливості курсів:- знання, орієнтовані на практику;
- Реальні ситуації та завдання;
- Найкраще з міжнародних програм.
- Як за допомогою Mikrotik.
- Проста та швидка.
- Налаштування на окремому сервері.
- для резервування каналу в інтернет.
Сучасні принципи побудови інфокомунікаційних мереж орієнтовані як на надання високошвидкісного доступу, а й зручність користувачів. Роумінг у Wi-Fi-мережах є тією самою складовою, яка найбільше відноситься до зручності абонентів. У радіомережах роумінгом називають процес перемикання абонента бездротової мережі від однієї базової станції (точки доступу, із зони обслуговування якої йде абонент) до іншої (в зону обслуговування якої цей абонент входить).
Досить поширеною ситуацією в офісах великих компаній з Wi-Fi-мережею є відсутність роумінгу або його некоректне настроювання. Це призводить до того, що, незважаючи на наявність рівномірного радіопокриття у всьому приміщенні, при переміщенні абонента по ньому обриваються SSH-сесії, припиняється завантаження файлів, не кажучи вже про розриви сеансів зв'язку при використанні WatsApp, Skype та інших подібних додатків.
Найпростіший, найдешевший і найпоширеніший спосіб організації роумінгу полягає в конфігуруванні радіомережі з точок доступу з однаковим SSID. Коли потужність радіосигналу від абонента слабшає (зменшується SNR - відношення сигнал-шум), це призводить до зменшення швидкості з'єднання, і якщо SNR падає нижче критичної позначки, то з'єднання повністю розривається. У разі, якщо бездротовий абонентський пристрій "бачить" у мережі обладнання з однаковим SSID, воно здійснює підключення.
Багато виробників бездротового обладнання для організації роумінгу використовують пропрієтарні протоколи, але навіть у цьому випадку затримки при хендовері можуть досягати декількох секунд, наприклад, при використанні протоколу WPA2-Enterprise, коли потрібне підключення точок доступу до сервера RADIUS:
Каменем спотикання в організації Wi-Fi-роумінгу є те, що рішення про перемикання від однієї точки доступу до іншої приймає абонент (точніше, клієнтське обладнання). Більшість протоколів для перемикання абонента від одного Wi-Fi-пристрою до іншого використовують примусове відключення користувача від точки доступу при погіршенні якості сигналу. У налаштуваннях більшості точок доступу, що підтримують роумінг, можна встановити мінімальний рівень сигналу, коли абонент буде відключений від мережі. Це не найкращий варіант реалізації роумінгу, адже все також відбувається розрив TCP-сесії, а клієнтський пристрій може безуспішно намагатися продовжити спроби встановлення з'єднання з пристроєм, що викинув його з мережі.
802.11r та 802.11k- "Мобільний"Wi-Fi
Для вирішення описаних вище проблем у 2008 році вийшла специфікація 802.11r (а пізніше ще й поправка до неї - 802.11k), яка є доповненням до стандарту 802.11 і служить для забезпечення безшовного радіопокриття та перемикання абонентів від однієї точки доступу до іншої. Так що якщо ви збираєтеся вирішити подібну задачу організації безшовного Wi-Fi роумінгу, то потрібно вибирати обладнання, яке підтримує ці специфікації стандарту.
У 802.11r використовується технологія Fast Basic Service Set Transition, завдяки якій ключі шифрування від усіх точок доступу зберігаються в одному місці, що дозволяє абоненту скоротити процедуру автентифікації до чотирма короткими повідомленнями. Виправлення 11k дозволяє зменшити час виявлення точок доступу з кращими рівнями сигналів. Це реалізується за рахунок того, що по бездротовій мережі починають "літати" пакети з інформацією про сусідні точки доступу та їх стан.
Загальний принцип роботи стандарту 802.11r у тому, що абонентський термінал має список доступних точок доступу. Доступні точки належать до одного мобільного домену MDIE, інформація про належність до MDIE транслюється разом із SSID. Якщо абонент бачить доступну точку доступу з MDIE з кращим рівнем SNR, то абонент ще активного бездротового підключення проводить попередню авторизацію з іншою точкою доступу з MDIE.
Для прискорення підключення аутентифікація відбувається за спрощеною схемою, замість авторизації на RADIUS-сервері, абонентський термінал обмінюється з Wi-Fi контролером PMK-ключом. Ключ PKM передається тільки при першій автентифікації та зберігається у пам'яті Wi-Fi контролера.
Тільки після того, як інша точка доступу авторизувала абонента, відбувається хендовер. Далі швидкість перемикання вже не залежатиме від того, наскільки швидко по мережі літають пакети, а лише від того, як швидко абонентський пристрій зможе зробити перебудову частоти на новий канал. За такого алгоритму перемикання абонента відбувається непомітно для користувача.
Незважаючи на те, що переважна більшість сучасних Wi-Fi пристроїв підтримує 802.11r, завжди потрібно залишати запасний варіант, тому не зайвим буде налаштувати "агресивний роумінг", що працює за принципом відключення абонента при зниженні SNR нижче заданого граничного значення.
Готові рішення для безшовного роумінгу
Організувати роумінг у бездротовій мережі можна за допомогою звичайних точок доступу, що підтримують вищезазначені специфікації. І цей варіант підходить швидше для тих випадків, коли мережа складається з невеликої кількості точок доступу. Але якщо ваша мережа налічує десяток бездротових точок, то для такої мережі доцільніше розглядати спеціалізовані рішення від Cisco, Motorola, Juniper Aruba та ін.
Деякі рішення потребують настроювання окремого контролера, який керує всією мережею, але є й такі, яким контролер не потрібен. Наприклад, Aruba Networks має Instant точки, які не працюють без фізичного контролера, але є віртуальний, який піднімається на одній з точок. При цьому працює більшість сервісів, заради яких створюють такі мережі: безшовний роумінг, сканування радіоспектру та простору, розпізнавання пристроїв у мережі. Надалі при зростанні мережі ці точки можна перевести в режим роботи з фізичним контролером, відмовившись від віртуального.
Компанія Motorolla славиться своїм інтелектуальним рішенням Wing 5, яким "наділене" бездротове обладнання. Завдяки цьому рішенню все обладнання (як локальне, так і віддалене) об'єднується в єдину розподілену мережу, що дозволяє зменшити кількість комутаторів у мережі, а точки доступу можуть працювати більш синхронно та ефективно.
Завдяки рішенню Wing 5 обладнання Motorolla може проводити інтелектуальний контроль смуги пропускання та балансування навантаження між точками доступу, тим самим розподіляючи трафік у мережі рівномірно між усіма точками доступу. Крім того, обладнання може самостійно динамічно змінити конфігурацію у разі виявлення інтерференції (наприклад, якщо поруч мікрохвильова піч). Також обладнання має функцію адаптивного покриття, що дозволяє збільшувати потужність сигналу для пристроїв мережі з низьким ставленням сигнал-шум (SNR). І звичайно важлива функція - самовідновлення сусідніх точок доступу у разі їх зависання.
У компанії Cisco також є схоже рішення, і називається воно Cisco Mobility Express Solution. Політика Cisco у плані підходу до програмного забезпечення чимось нагадує Apple - простота розгортання та налаштування (налаштування займає менше 10 хвилин). Тому воно підходить для компаній з невеликим штатом IT-фахівців або без нього. Mobility Express Solution розгортається на базі точок доступу Cisco Aironet, які також мають віртуальний контролер і придбати окремий пристрій для цього не потрібно. Підключення та налаштування Aironet може здійснюватися навіть зі звичайного смартфона, достатньо лише підключитися до точки доступу за відомим SSID зі стандартним заводським паролем:
При підключенні до точки доступу за відомою IP-адресою користувачеві буде запропоновано пройти налаштування за допомогою майстра установки Cisco WLAN Express. Незалежно від того, скільки точок доступу є в мережі, її налаштування може здійснюватися через будь-яке обладнання Cisco Aironet, яке працює в мережі. До речі, при налаштуванні мережі зі смартфону, можна завантажити окрему програму Cisco Wireless, доступну як в Google Play, так і App Sore.
Висновок
Налаштування роумінгу в мережі без використання спеціалізованих рішень провідних виробників мережного обладнання можливе, але завжди корисно використовувати не лише "голий стандарт". Тому реалізація безшовного роумінгу з використанням рішень з віртуальним або фізичним контролером WLAN корпоративного класу від таких виробників, як Cisco, Motorola, Juniper та Aruba, дозволяє легко керувати іншими точками доступу без використання додаткового обладнання. А це означає, що з їхньою допомогою будь-яка компанія як малого так і середнього бізнесу може запропонувати своїм бездротовим клієнтам такий самий високий рівень обслуговування, як і великі підприємства, без будь-яких додаткових витрат і складного програмного забезпечення.
Ці питання часто ставлять замовники, які потребують складної організації корпоративних мереж на великій території підприємства.
На базі Wifi запропонована технологія забезпечення доступу до корпоративної обчислювальної мережі на складах, офісах та виробничих приміщеннях.
Як відомо, Wifi - це бездротовий стандарт зв'язку на частотах, що не ліцензуються. До недоліків цього стандарту можна віднести обмежений радіус дії окремих точок доступу, ця проблема вирішується за допомогою об'єднання окремих мереж одну мультимережу.
Безшовний роумінгреалізується підключення користувачів до локальних, зонових мультимереж безлічі постачальників. Такий підхід зараз реалізується і для гетерогенних мереж, наприклад з метою об'єднання послуг WiMAX, Wi-Fi, GSM, CDMA, GPRS, UMTS.
У випадку з WiFi безшовні роумінгє поєднання різних точок доступу та забезпечення переходу абонента між мережами Wi-Fi невідчутно для користувача.
Загалом безшовний wifi роумінг забезпечує безперебійне підключення абонентів при перетині кордонів мереж.
Технологію «безшовного» доступу вже запропоновано низкою компаній. Наприклад, для гетерогенних wifi мереж "безшовний роумінг" розробила компанія Cisco, безшовним Wi-Fi роумінгом корпоративного формату активно займається Motorola, Microtik та Aruba. Це, мабуть, найяскравіші пропозиції на ринку на сьогоднішній день, тому намагатимемося їх порівняти на двох прикладних задачах, розгортаючи безшовний wifi на склад та wifi для готелів.
Основні елементи технології безшовного wifi
Розвиток «безшовних» технологій та мереж є основним трендом сучасного технологічного розвитку.
У сучасних мережах виробники намагаються об'єднати обчислювальні потужності мережі як у гомогенні (одного типу), так і гетерогенні (різних типів) інфраструктури. Такий підхід продиктований широким розмаїттям стандартів мереж, включаючи з комутацією пакетів, і каналів.
Для зонових мереж такі рішення прийнято називати мультисервісними мережами. Для локальних корпоративних мереж існує ціла низка мережних додатків, між якими потрібно забезпечити узгодження та безумовний доступ непомітно для користувача.
Технологія реалізується за допомогою спеціального програмного забезпечення, яке зберігає IP-адресу клієнта в локальній або зоновій мережі, що дозволяє одночасно забезпечити гарантовану доставку даних і безперебійний трафік при переході між мережами.
Таким чином, мається на увазі і безперебійна робота програм.
На даний момент розвивається парадигма "безшовного WiFi доступу", що реалізується в рамках віртуальних локальних мереж VLAN – Virtual LAN.
Безкоштовний роумінг wifi Motorola, Microtik, Aruba
Якщо говорити і про запропоновані технологічні рішення, то має сенс звернути увагу на три компанії, що працюють у цьому сегменті - це Motorola, Microtik, Unifi, ці компанії між собою активно конкурують. Особливості технології та ідея запозичена в мобільних мережах, в яких подібна функція безшовного роумінгу відома як функція хендовер.
Внаслідок реалізації безшовного роумінгу забезпечується доступ до мережі без жодного розриву при переході між мережами. Технологія реалізується за допомогою спеціального мережного обладнання.
Безшовний роумінг wifi Motorola, Microtik, Aruba пропонує схожі базові функції: за промовчанням роботу в режимах Bridge/Router, відновлення DHCP і наявність DHCP Relay Option 82.
Якщо необхідно розвернути wifi для готелів, все ж таки має сенс вибрати wifi Motorola, в якому реалізований:
- доступ по HTTP/HTTPS, SSHv2, Telnet, SNMP (v2c, v3)
- функція Captive Portal, що управляє обліковими записами користувачів та шифрує трафік.
Якщо використовувати безшовний роумінг wifi Microtik також є досить широкі можливості, особливо це стосується доступного на ринку мережного обладнання, аутентифікація користувачів реалізується на базі програмного забезпечення сторонніх виробників.
Безшовний роумінг wifi Unifi є багато в чому дешевою та нестабільною реплікою, що активно пропонує своє обладнання для розгортання складних Wi-Fi мереж. Ми не рекомендуємо це обладнання.
При цьому все-таки хочеться виділити функції безшовного wifi Motorola, який за допомогою «рідного» програмного забезпечення та радіус-сервера маршрутизує трафік у бездротових мультимережах, підтримується вбудований абонентський білінг із якісною аутентифікацією та шифруванням пакетів (WEP, WPA, WPA2).
Цей варіант особливо рекомендується для корпоративних мереж за необхідності забезпечення мережевого доступу на всій території компанії, у тому числі, коли потрібно встановити wifi на склад, виробництво або офіс в захищеному режимі зі зниженими ризиками перехоплення трафіку.
Для повнофункціональних мультисервісних wifi мереж Моторола за допомогою SMART RF реалізує можливість вибору каналів та рівнів потужності на порті у WiFi роутерах Motorola, що дозволяє налаштувати та оптимізувати трафік.
Таким чином, VLAN (віртуальна локальна мережа) дозволяє вирішити максимум корпоративних завдань та реалізувати на базі бездротової мережі.
Безшовний роумінг wifi mikrotik дозволяє організувати недорогі бездротові мережі, але все-таки значно поступається Motorola, незважаючи на технологічно близькі пропозиції.
Всі компанії пропонують закінчений набір апаратного обладнання, що дозволяє розгорнути "великі" wifi-мережі, поєднуючи окремі точки доступу в одну мережу та забезпечуючи ефективну маршрутизацію.
При цьому оптимальний обсяг функцій, необхідних у сучасних корпоративних мережах, реалізований лише у wifi Motorola, звичайно ж, це багато в чому стосується безпеки мереж та блокування доступу.
При цьому, наприклад, безшовний роумінг wifi motorola може бути рекомендований як недороге рішення з повним набором функцій для організації wifi для готелів. Знову ж таки це актуально як для готельних комплектів, так і для невеликих готелів, що особливо не дбають про безпеку перехоплення трафіку клієнтів у внутрішній мережі.
Про запропоновані технології наведених компаніях можна сказати, що вони продовжують розвиватися, кожні півроку виходять оновлення, нова прошивка апаратного обладнання. Причому всі рішення пропонуються так, щоб користувачі могли постійно оновлювати свої мережі, у тому числі, використовуючи обладнання, що успадковується, яке не заважає реалізувати нові функції.
Якщо все ж таки розглядати бездротову локальну мережу на базі обладнання запропонованих компаній, то все ж таки Motorola запропонувала значно більш розвинену версію - wifi Motorola рекомендується нашою компанією за замовчуванням.
802.11R. Швидкеперемикання між точками (хендовер)
Багато виробників Wi-Fi обіцяють безшовне перемикання між точками доступу з використанням свого «геніального» проріетарного протоколу.
Незважаючи на красиві обіцянки, на практиці, затримки при перемиканні (хендовері) можуть виявитися значно більшими за заявлені 50-100 мс (перемикання може займати до 10 секунд при використанні протоколу WPA2-Enterprise). Справа в тому, що рішення про перехід на іншу точку доступу завжди ухвалюється клієнтським обладнанням. Тобто. Ваш смартфон, ноутбук або планшет сам вирішує, коли йому перемикатися і як це зробити.
Часто пропріетарні протоколи відомих виробників Wi-Fi засновані на примусовій деаунтифікації пристрою при погіршенні якості сигналу. Іноді в установках Wi-Fi точки можна задавати «агресивність роумінгу» - мінімальне значення сигналу, коли пристрій буде «викинуто» з мережі. Часто клієнтське обладнання некоректно реагує на такий «стусан під зад». Обривається TCP сесія, закачування файлів зупиняється. Обривається з'єднання з поштовим сервером, віртуальною машиною. Підключення до SIP-сервера вимагає повторної аутентифікації.
Досить часто клієнтський пристрій замість того, щоб підключитися до сусідньої точки з кращим сигналом ( до цього рішення його підштовхуєWi-Fiконтролер) безрезультатно намагається відновити з'єднання з колишньою точкою. Ще гірше, якщо пристрій спробує зачепитися за іншу мережу зі списку збережених (наприклад, гостьову мережу).
Але навіть якщо процес перемикання відбувається за планом, істотний час забирає повторний обмін ключами (EAP) та авторизація на Radius-сервері (WPA-2 Enterprise).
Для вирішення цих проблем асоціацією Wi-Fi розроблено протокол 802.11R. В даний час більшість мобільних пристроїв його підтримують (Apple, починаючи з iPhone 4S, Samsung Galaxy S4, Sony Xperia Z5 Compact, BlackBerry Passport Silver Edition,...)
Суть 802.11R в тому, що мобільний пристрій знає свої та чужі точки сигналу приналежності до мобільного домену (MDIE). Цей сигнал додається до сигналу радіомаяка (SSID beacon).
Якщо Ваш iPhone побачив точку зі свого мобільного домену з кращим рівнем сигнал/шум, він перш ніж розпочати процедуру перемикання по існуючій нитці проводить попередню авторизацію з іншою точкою мобільного домену.
По-друге, авторизація відбувається за спрощеним сценарієм - замість довгої авторизації на Radius-сервері, клієнтський пристрій обмінюється з контролером Wi-Fi ключем PMK-R1. (Вихідний ключ PMK-R0 передається тільки при первинній автентифікації та зберігається у пам'яті Wi-Fi-контролера).
У момент, коли інша точка «заднім числом» авторизувала пристрій, відбувається власне хендовер. Переналаштування частоти та каналу у смартфоні займає не більше 50 мілісекунд. Найчастіше проходить абсолютно незамтено для користувача.
При виборі рішення для офісної Wi-Fi мережі — звертайте увагу на те, чи підтримує обране обладнання роумінговий протокол 802.11R, зрозумілий для клієнтських пристроїв. Наприклад, обладнання Edimax Pro повністю підтримує цей протокол, тому проблем із роумінгом у більшості випадків не виникає. Однак, якщо ваш пристрій старий і не розуміє протокол 802.11R, існує можливість налаштування агресивності роумінгу на підставі зниження сигналу нижче за порогове значення — як це роблять інші виробники Wi-Fi, подаючи як «інноваційне рішення».
802.11 K.Балансування навантаження у бездротовій мережі
Крім проблем із роумінгом, часто корпоративним користувачам доводиться стикатися з перевантаженістю однієї точки доступу. У класичній реалізації Wi-Fi всі пристрої прагнуть підключитися до точки доступу з найкращим сигналом. Іноді в результаті неправильного розташування точки (помилка радіопланування) на одній точці реєструються всі мешканці офісу, а інші відпочивають.
Через нерівномірне навантаження сильно падає швидкість локальної мережі, тому що радіоефір являє собою один великий «хаб», де пристрої «розмовляють по черзі».
Для згладжування нерівномірності та оптимального розподілу користувачів між точками, що працюють на різних радіоканалах, було розроблено протокол 802.11K.
802.11K працює у зв'язці з 802.11R (як правило, пристрої, що підтримують “R”-стандарт, також підтримують “K”-стандарт).
Якщо мобільний пристрій «бачить» сигнал маяків від інших точок, що перебувають у цьому мобільному домені, пристрій надсилає широкомовний запит «Radio Measurement Request frame», в якому запитує інформацію про поточний стан інших точок доступу в межах зони видимості:
кількості зареєстрованих користувачів
середня швидкість каналу (кількість переданих пакетів)
скільки байт було передано у певний інтервал часу
У розширеній специфікації стандарту смартфон клієнта може запитувати про стан каналу інших мобільних пристроїв, підключених до потенційно цікавої точки доступу, які підтримують стандарт 802.11K. Пристрої відповідають не тільки про реальну статистику, а й про стан сигналу/шуму.
Таким чином, якщо Ваш смартфон бачить 2 і більше точок в межах одного мобільного домену, він вибере точку не з найкращим сигналом, а точку, яка забезпечить більшу швидкість підключення до локальної мережі (менш завантажену).
Умови прийому, кількість користувачів та навантаження на точці може змінюватися динамічно, але використовуючи протокол 802.11K та 802.11R пристрої будуть непомітно перемикатися і навантаження на мережу завжди буде розподілено рівномірно.
Багато виробників, що використовують проіпріетарні протоколи, реалізують подібність 802.11K, коли «перевантажена» точка насильно відключає клієнтів з найгіршими умовами прийому або обмежує максимальну кількість одночасно зареєстрованих пристроїв та відключає реєстрацію, якщо кількість клієнтів перевищила допустимі межі. Дані пропріетарні протоколи не такі ефективні, але все ж таки не дають Wi-Fi мережі обрушитися зовсім.
Як заощадити на радіоплануванні завдяки802.11K
Використання обладнання з підтримкою протоколів 802.11R та 802.11K частково виправляє помилки, допущені під час радіопланування. Динамічні протоколи з підтримкою роумінгу дозволяють уникнути перевантажень окремих точок і розподілити навантаження між точками рівномірно по мережі.
Команда WiFi-solutions рекомендує завжди робити радіопланування, але іноді в невеликих мережах можна розставити точки хаотично. Динамічні протоколи покращать якість Wi-Fi та розподіл навантаження між каналами сусідніх точок.
Застосування динамічних протоколів для безшовного роумінгу дає змогу знизити зони перекриття. Таким чином, забезпечити якісне покриття можна меншою кількістю точок. Економія на обладнанні – до 25%.
Мені потрібна консультація. Зв'яжіться зі мною.
Зараз набирають популярності різні бездротові пристрої, для яких швидкісний доступ до мережі можливий лише за допомогою WiFi. Це Ipad/Iphone та інші мобільні гаджети. Коли ви хочете організувати WiFi доступ на площі 30 кв. м., то установка звичайного Dlink за 1200 рублів, вирішать усі ваші проблеми, але, якщо у вас площа >500 кв. м. і це лише по одному поверсі це рішення не підійде. Якщо використовувати звичайні точки доступу або роутери, то у кожного роутера буде своя назва мережі (унікальний SSID) або роутери треба буде розносити далеко, щоб зони покриття не перекривалися, а це призведе до появи зон з дуже поганою якістю прийому, або взагалі відсутнім сигналом. Десь півроку тому, зіткнувся з такою самою проблемою, рішення знайшлося досить швидко це UniFi.
Приклад Установки WiFi в автосервісі-автомийці з декількома будівлями.
UniFi забезпечує покриттям бездротової мережі шкільний округ Аркадія у Каліфорнії (переклад).
UniFi забезпечує бездротовий доступ до високоякісних готелів у Перу (переклад).
Можливості WiFi точок UniFi:
Одна мережа для всіх точок WiFi.
Привабливі дизайн.
Простота монтажу, PoE.
Відображення зони покриття та розташування точок доступу на дисплеї адміністратора.
Централізоване керування бездротовою мережею.
Гостьові мережі без доступу до локальної мережі.
Створення тимчасових паролів для відвідувачів.
Автоматичне оновлення програмного забезпечення на точках доступу.
Висока масштабованість: до 100 і більше точок.
Бездротові мережі з розмежуванням прав доступу.
Поділ трафіку користувачів мережі через VLAN.
Швидкий внутрішньомережевий роумінг при перемиканні між точками доступу.
Відстеження трафіку користувачів, визначення джерел підвищеного навантаження на мережу.
Велика зона покриття.
Можливість генерації одноразових тимчасових паролів (актуально для місць загального користування: готелів, кафе тощо)
Підключення точок у режимі репітера.
Огляд можливостей контролера UniFi Controller тут.
Впровадження WiFi від Ubiquity в готелях Перу тут.
Апаратний контролер для Ubiquiti UniFi. UniFi Cloud Key.
Як це виглядає практично:
На комп'ютері мережі встановлюється програмний контролер, на якому виконуються всі налаштування бездротової мережі.
Через цей контролер згодом виконуються всі установки точок і параметрів мережі. Нижче пара скріншотів налаштувань та зовнішнього вигляду.
Це план будівлі із зазначенням місць встановлення точок.
Налаштування гостьової мережі без доступу до ресурсів корпоративної.
Моніторинг активних клієнтів
Моніторинг точок доступу.
Вид зверху.
Процес встановлення та налаштування гранично простий:
1. Розставляєте точки та підключаєте їх до локальної мережі, UniFi підтримують PoE так, що для їхнього підключення потрібна тільки ethernet розетка.
2. Встановлюєте програмний контролер на будь-який комп'ютер мережі, налаштовуєте параметри WiFi мереж, ініціалізуєте точки, після ініціалізації на точці застосовуються налаштування з контролера, і точка буде готова до роботи. Навіть при вимкненому контролері налаштування на точках зберігаються.
