23T25 CapsMAN w sieci firmowej w 8 min. [Konfiguracja Mikrotik]

Link do artykułu.

0:00 Wprowadzenie

1:15 Stworzenie Bridge’a

1:31 Stworzenie VLAN’ów i Adresacji

2:25 Tworzenie Konfiguracji Capsman’a

3:46 Profil Security dla Gości

5:14 Stworzenie Konfiguracji dla Pracowników

6:22 Ustawienia Firewalla

7:33 Podsumowanie

TranskrypcjA

Jak skonfigurować sieć w oparciu o centralny serwer konfiguracji i zarządzania wszystkimi punktami dostępowymi Mikrotika dość prosto. Wystarczy skonfigurować w kilku krokach odpowiednie profile, które następnie zostaną wysłane do wszystkich punktów dostępowych, które będą zarządzane przez jeden konkretny router Mikrotika. Dzisiaj pokażę jak to zrobić i jak ułatwić sobie życie i które profile są potrzebne do tego żeby skonfigurować działające dwie sieci. Jedna sieć dla pracowników druga sieć dla gości i przypisanie do odpowiednich tagowanych VLAN’ów dla każdego z tych typów pracownika.

Mamy tutaj router. To nie jest punkt dostępowy to jest tylko router i tu będziemy konfigurować konfigurację taką centralną dla wszystkich punktów dostępowych a stąd będziemy ją propagować na pozostałe punkty 
dostępowe. Co tutaj mamy mamy trzy interfejsy: dwa lokalne ether 2,3 i internet, wejście do internetu, adres dynamiczny tak jak widzisz.

No i teraz zaczynamy konfigurację od stworzenia Bridge’a czyli najpierw konfiguracja interfejsów jako Bridge, dodanie do tego Bridge interfejsów 2 do Bridge Caps i interfejsu 3 też do tego samego Bridge. Kolejny krok jaki powinniśmy zrobić to stworzenie VLAN’ów. Potrzebujemy potworzyć konkretne dodatkowe VLAN’y, logiczne interfejsy, które będą kierowały poszczególnych użytkowników do odpowiedniego VLAN’u. Przypisujemy  Interfejs Bridge drugi VLAN dla gości. Tu VLAN 100, interfejs caps tak samo jak wcześniej.

Mamy dwa VLAN’y potworzone. Teraz adresacje dla tych VLAN’ów, czyli trzeba przypisać adresy IP. Jeden interfejs będzie miał 9.9.9.1 a drugi
interfejs będzie miał adresację 10.10.10.10.1. Mamy więc już te rzeczy porobione. Kolejnym krokiem w tej konfiguracji będzie tworzenie konfiguracji Capsman’a. No to najpierw dodajemy Datapath czyli dla połączeń gości. Użytkowników, którzy będą w LAN’ie 100. Będzie to VLAN tagowany czyli cały ruch, każdy pakiet będzie szedł do tagowanego VLAN’u. Jeżeli uda się odpowiednio podłączyć danemu użytkownikowi.

Local Forwarding jest zaznaczony. Czyli lokalnie na tym punkcie dostępowym, który będzie terminował tą sieć bezprzewodową będzie przepuszczany ruch czyli te ramki będą przekazywane bezpośrednio do ethernetu czyli do połączenia kablowego w VLAN’ie 100 z oznaczeniem tagu. To mamy Datapath dla gości, to samo robimy dla pracowników. Oczywiście inny VLAN przypisujemy ale local forward jest włączony. Tutaj dodatkowo włączamy Client to Client Forwarding czyli klienci między sobą będą mogli
się komunikować. W przeciwieństwie do gości wcześniej było to wyłączone czyli w przypadku gości nie będzie możliwości komunikowania się różnych użytkowników sieci gościnnej pomiędzy sobą. Tutaj w przypadku pracowników dajemy taką możliwość. VLAN 50 tagowany i zatwierdzamy.

Mamy konfigurację datapath. Będziemy jej później używać, teraz profil Security dla gości. Najpierw uwierzytelnienie, typ szyfrowania, hasło współdzielone i drugi profil dla pracowników, profil bezpieczeństwa. Tak samo WPA2 i również hasło współdzielone. Mamy już te profile podtworzone, teraz tworzymy konfigurację i będziemy tutaj w tej konfigurację te profile wcześniej stworzone wykorzystywać. Czyli konfiguracja, goście, tryb punkt dostępowy, nazwa SSID wifi dla gości.

Tutaj konfigurujemy HW Protection Mode. To jest mechanizm, który chroni nas przed kolizjami ramek czyli Request to Send i confination to Send. Czyli te dwie ramki są wysyłane przez punkt dostępowy po to, żeby uniknąć kolizji ramek w sieci bezprzewodowej. Wybieramy oczywiście właściwy kraj, to jest ważne bo tutaj w związku z tym są związane czy powiązane parametry jakie są dopuszczone dla pewnego kraju i na końcu HT Tx Chans i Rx Chans to jest zaznaczenie ile strumieni przestrzennych będziemy wykorzystywać. To jest część standardu n i ac wybieramy security i datapath, to co tworzyliśmy wcześniej dla gości i zatwierdzamy tą konfigurację i tworzymy podobną konfigurację dla pracowników Czyli SSID, tryb pracy Hw. Protection Mode, możemy nie musimy typ prac dla kraju. Polska, ilość przestrzennych strumieni.

No i przechodzimy do wybrania datapath profile, który już wcześniej  stworzyliśmy i Security profile – tym razem dla pracowników. OK no i teraz to co chcemy włączyć to Provisioning czyli Master configuration uruchamiamy i ustawiamy master Configuration jaki mam być. Slave Configuration czyli dla pracowników i dla gości wysyłamy dwie konfiguracje i format jaki używamy.
Identity – stosujemy no i teraz w interfejsie CAP dodajemy ustawienia upgrade policy, że ma być sugerowany w tej samej wersji ta polityka ale nie wymuszana.

Teraz jeszcze na koniec ustawienia Firewalla, który jest powiązany z adresacją naszych dwóch interfejsów vlan_pracownicy vlan_goście
czyli te sieci 9.9.9.1 i 10.10.10.1 czyli ten ruch akceptujemy. Action Accept. Teraz przełączamy się na CAP’a czyli na punkt dostępowy i tutaj widzimy, że mamy interfejs WiFi, klikamy CAP enabled i od tego momentu jak włączyliśmy tryb pracy CAP. No to automatycznie jest ściągana konfiguracja
dla tego interfejsu bezprzewodowego i widzimy, że jest tutaj konfiguracja wifi dla pracowników, local Forwarding czy to jest tryb pracy dla tej sieci i druga sieć jest SSID dla gości lokal forwarding.

Dzisiaj widzimy, że dwie sieci zostały skonfigurowane na tym punkcie dostępowym w oparciu o nasz router na którym skonfigurowaliśmy Capsmana czyli cała nasza koncepcja zdalnej konfiguracji działa i rozgłaszamy obie sieci.

I dziękuję za uwagę. Jeżeli masz jakieś pytanie co do konfiguracji Capsmana i Mikrotika to oczywiście pisz w komentarzu i widzimy się, słyszymy już za tydzień.