Sieci bezprzewodowe oparte na VLAN

Eksplorując różne media społecznościowe natrafiam często na temat, że Mikrotik nie potrafi w sieci bezprzewodowe i lepiej wykorzystać rozwiązania innych producentów. A tak naprawdę: „The truth is out there „. Czy moje doświadczenie pozwala na dobrą lub złą ocenę? Nie. Szkolenie w tym obszarze jeszcze przede mną ale wiem jak mniej więcej robi to konkurencja więc wszystko da się przystosować do urządzeń Mikrotik. Czy nie miałem problemów z konfiguracją? Miałem. Czy udało mi się dojść do celu? Udało. Zarówno na wbudowanym rozwiązaniu Mikrotik czyli CAPsMAN’ie jak i bez niego. W tym wpisie właśnie chciałbym zająć się tą drugą opcją. Wzbogacimy ją o rzecz jasna o VLAN’y.

Topologia

Korzystamy z wcześniej przygotowanego środowiska, którego opis znajdziecie w tym artykule <TUTAJ>

Konfiguracja S0

W naszym switch’u musimy przygotować połączenie trunk pod punkt dostępowy aby przepuścić odpowiednie sieci wirtualne. Zaczynamy od dołączenia „ether2” pod bridge. W tym celu przechodzimy do zakładki „Bridge->Ports” i dodajemy nowy port znakiem „+”.

W polu interfejsu wybieramy „ether2” i automatycznie dopisujemy go do bridge’a.

Pozostając w konfiguracji bridge’a przechodzimy na zakładkę „VLAN” i ustawiamy PVID = 9 aby zachować komunikację zarówno ze switch’em jak i router’em.

Następnie w konfiguracji bridge’a przechodzimy na zakładkę „VLANs” i dodajemy port „ether2” jako nietagowany w vlan’ie dziewiątym.

Co więcej, port „ether2” musimy przypisać jako tagowany do vlan’u jedenastego aby ominąć problem z nieotrzymaniem adresacji z serwera dhcp (instrukcja wideo od 15 m 10 s)

W tym momencie punkt dostępowy powinien otrzymać adres z serwera dhcp i używając tego adresu logujemy się do urządzenia w celu przywrócenia do ustawień fabrycznych bez domyślnej konfiguracji.

Konfiguracja AP1

Na samym początku zmienimy sobie nazwę urządzenia aby dostosować ją do konwencji jaką przyjęliśmy na początku. W tym celu przechodzimy na zakładkę „System -> Identity” i definiujemy nazwę.

Tworzymy bridge, który umożliwi nam operowanie sieciami wirtualnymi. W tym celu przechodzimy na zakładkę „Bridge” i tak samo jak w przypadku switch’a dodajemy nowy interfejs znakiem „+

Definiujemy nazwę interfejsu. Dla przejrzystości pozostawiamy nazwę „bridge”.

Teraz przypisujemy wszystkie dostępne porty do bridge’a. W tym celu przechodzimy na zakładkę „Ports” i dodajemy port znakiem „+”.

W polu interfejsu wybieramy port „ether1” i w kolejnym kroku analogicznie „wlan1”.

Czas dodać sieci wirtualne, które będą obsługiwane przez nasz accesspoint. W tym celu przechodzimy do zakładki „Interface->VLAN” i dodajemy niezbędne vlan’y znakiem „+”.

Definiujemy nazwę sieci wirtualnej i w pole „VLAN ID” wpisujemy odpowiedni tag. W naszym przypadku dla sieci manage’mentowej będzie to tag 9, a dla sieci klienckiej tag 11. W obu przypadkach musimy przypisać je do interfejsu „bridge”.

Przypisujemy jakie sieci wirtualne mają być obsługiwane przez nasz punkt dostępowy. Przechodzimy do zakładki „Bridge->VLANs” i dodajemy poszczególne sieci wirtualne znakiem „+”.

W polu „VLAN IDs” wpisujemy wcześniej stworzone tagi. Następnie przypisujemy wszystkie tagi do portu „ether1”, ponieważ jest to nasze połączenie trunkowe. Natomiast tag 11 przypisujemy dodatkowo do portu „wlan1”.

Teraz przypisujemy adresację do interfejsu (grupy portów) „bridge”. W tym celu przechodzimy do zakładki „IP->Addresses” i dodajemy nowy adres sieci znakiem „+”.

W polu adresu wpisujemy adres z odpowiednią maską w formacie x.x.x.x/y, w polu sieci adres w formacie x.x.x.0 . W polu interfejsu wybieramy bridge stworzony w poprzednim kroku.

Wracamy do zakładki „Bridge” i edytujemy interfejs. W ustawieniach interfejsu, na zakładce „VLAN” zaznaczamy opcję „VLAN Filtering” a w polu „PVID” wpisujemy 9 aby zapewnić komunikację z S0 i R0.

Powrót na S0

Przechodzimy do zakładki „Bridge->VLANs” i zmieniamy przypisanie portu „ether2” z nietagowanego na tagowany.

Następnie przechodzimy do zakładki „Bride->Ports” i przy porcie „ether2” zmieniamy „PVID” na domyślny czyli 1.

Powrót na AP1

Konfigurujemy profile zabezpieczeń dla sieci bezprzewodowych. W tym celu przechodzimy do zakładki „Wireless->Security Profiles” i dodajemy profil znakiem „+”.

Definiujemy nazwę profilu, tryb przypisywania kluczy na „dynamic keys”, sposób autentykacji na WPA2 PSK i wprowadzamy hasło dostępowe.

Przechodzimy do zakładki „WiFi Interfaces” i wchodzimy w interfejs „wlan1” i kolejno do zakładki „Wireless”, wybieramy:

  • tryb na “ap bridge”,
  • nazwę rozgłoszeniową sieci bezprzewodowej (SSID),
  • profil zabezpieczeń,
  • tryb vlan na “use tag” (advanced mode),
  • tag 11 (advanced mode).

Opcjonalnie możemy ustawić brak rozgłaszania nazwy sieci poprzez zaznaczenie opcji „Hide SSID”. W tym trybie niektóre urządzenia mogą mieć problem z podłączeniem się do sieci.

Pozostało jedynie włączenie interfejsu bezprzewodowego poprzez jego zaznaczenie i naciśnięcie przycisku „enable”.

Weryfikacja na kliencie

Teraz sprawdzamy czy komputer kliencki otrzyma konfigurację z serwera DHCP w odpowiedniej sieci wirtualnej. Uruchamiamy najprostsze narzędzie diagnostyczne czyli wiersz poleceń i wpisujemy komendę „ipconfig /all”.

Posumowanie

Zatem czy Mikrotik rzeczywiście słabo radzi sobie z sieciami bezprzeowdowymi? Wydaje mi się, że nie. Być może w większych środowiskach jest to bardziej widoczne. Natomiast w konfiguracjach typu SOHO gdzie mamy od kilku do kilkunastu punktów dostępowych powinno radzić sobie całkiem nieźle. Zarówno używając CAPsMAN’a jak i bez jego użycia. My przygotowaliśmy sobie infrastrukturę w ten sposób aby każdy z tych wariantów przy lekkim zmodyfikowaniu był przystosowany do wpięcia urządzenia wyjętego wprost z pudełka. W przypadku cAP, urządzenie znalazło się w CAPsMAN’ie bez konieczności dodatkowej konfiguracji, z cAP ac trzeba się było trochę nakombinować. Bez systemu zarządzającego poradzimy sobie używając niniejszego poradnika. A poza tym, gdyby wszystko szło zgodnie z planem to nie mielibyśmy okazji się spotkać, prawda???

Instrukcja wideo