CAPsMAN v2 – централизиран мениджмънт на безжични точки за достъп от MikroTik

С развитието на безжичните технологии е твърде вероятно точките за безжичен достъп (Wireless  Access Points) до Интернет в организацията да бъдат повече от останалия мрежови хардуер, който изисква конфигурация. Ако разгледате мрежовите си диаграми може бързо да установите, че AP-тата са 2 или 3 пъти повече от вашите суичове и рутери. Едва ли има мрежови администратор, който да предпочита ръчно да конфигурира голям брой устройства с еднотипни настройки.

Решение на този проблем, както и много други възможности, предлагат WLAN контролерите. Популярните производители на безжичен мрежови хардуер разполагат със собствено решение за управление и контрол на произведените от тях безжични точки за достъп.

WLAN контролерите представляват комплекс от хардуер със собствен фърмуер или самостоятелни софтуерни приложения, които осигуряват автоматизация и контрол на локалната безжична мрежа чрез единен интерфейс за управление.

Пример за 7 такива  WLAN контролера:

  1. UniFi®Controller от UBIQUITI
  2. Wireless Controller от D-link
  3. Wireless LAN Controller от Cisco
  4. Wireless LAN Controller от ZyXEL
  5. Wireless Management Controller от EnGenius
  6. WLC Series от Juniper
  7. ZoneDirector от Ruckus

Controlled Access Point System Manager (CAPsMAN)

Развивайки RouterOS, MikroTik добави пакет, чиито функции разполагат операционната система в категорията на WLAN контролерите. Търговското наименование на услугата е Controlled Access Point system Manager (CAPsMAN).

Текущата версия на CAPsMAN е v2 и за използването й се налага да разполагате минимум с RouterOS v6.22rc7 и пакета wireless-cm2.npk, както и лиценз поне Level 4.

Основни понятия при WLAN контролера на MikroTik са CAPsMAN – рутерът, който изпълнява ролята на контролер (мениджър) и Controlled Access Points (CAP) – устройствата, чиито безжични конфигурации са под контрола на CAPsMAN.

CAPsMAN няма ограничение по отношение на броя управлявани CAP.

Връзка между CAP и CAPsMAN

Комуникацията между безжичните точки за достъп и контролера може да бъде установена на Layer 2 и/или на Layer3 и се извършва чрез комуникационния протокол Datagram Transport Layer Security (DTLS), като предлага няколко метода на удостоверяване: без удостоверяване (без сертификати); чрез сертификат само на CAPsMAN и най-сигурния метод – чрез сертификати, конфигурирани за всички участници.

Познавайки принципите на работа на RouterOS базовата конфигурация на Layer 2 e опростена и бърза, но логично се изисква всички устройства да бъдат в един Layer 2 броудкаст домейн. Layer3 осигурява възможност за комуникация между CAP и CAPsMAN чрез IP адреси, когато това се налага – устройствата са в различни броудкаст домейни.

CAP могат да обработват трафика от безжичните си клиенти самостоятелно (за всеки CAP) или да го препращат към CAPsMAN (Local Forwarding Mode), в който да се налагат общи политики за обработка. Важно е да се отбележи, че комуникацията между безжичните точки за достъп и контролера по отношение на управлението е криптирана, но трафикът от безжичните клиенти – не. При необходимост това може да бъде постигнато чрез използване на IPSec или криптирани тунели.

4 важни въпроса относно CAPsMAN

Какво да направя, ако нямам връзка на L2 между CAPsMAN и CAP?

Обновете до последната версия на RoS и проверете дали wireless-cm2 пакетът е активен (/system package print). Използвайте системата за логове по предназначение (/system logging add prefix=CAPS_ topics=caps) и проверете лога (/log print). Изпълнете това на CAPsMAN и на CAP. Изследвайки съобщенията в лога на двете устройства ще получите отговор на това, къде е проблемът.

Възможно ли е различните CAP да бъдат с различни настройки като: честотни канали, SSID, Virtual AP?

Да, за целта е необходимо да добавите CAP статично в CAPsMAN и след това да укажете параметри за всеки статичен CAP. Най-лесно това е възможно, когато разполагате с динамично добавените CAP интерфейси и използвате бутона COPY. По този начин може да имате различни конфигурационни параметри за всеки CAP.

Как да оптимизираме ap roaming услугата чрез CAPsMAN?

Чрез дефиниране на конкретни стойности за силата на сигнала (signal-range в dBm) в Access list на CAPsMAN бихте могли да оптимизирате ap roaming-а.

/caps-man access-list
add action=accept interface=all signal-range=-80..120
add action=reject interface=all signal-range=-120..-81

Посочените параметри са ориентировъчни. Определяне на точните стойности зависи от конкретната инфраструктура. Тествайте! Не забравяйте, че правилата се изпълняват последователно и влиза в сила първото, на което е открито съответствие.

Възможно ли е едно устройства да бъде едновременно CAPsMAN и CAP?

Отговорът е да, въпреки че освен за тестови цели подобна конфигурация няма предимства.

Научете повече за CAPsMAN

Ако искате да научите повече технически детайли относно CAPsMAN, препоръчвам да използвате следните URL адреси:

CAPsMAN тестова конфигурация (+видео)

За тестване на CAPsMANv2 сa поставени следните задачи:

  1. Да се използват 3 различни RB устройства, едното да изпълнява ролите на CAPsMAN и CAP, a останалите 2 да са CAP;
  2. Да се изгради L2 свързаност, като се използват сертификати за удостоверяване и заключване (Lock to CAPsMAN) на CAP към CAPsMAN;
  3. Да се реализира AP roaming, но 3-те CAP да са на 1, 6 и 11 канали;
  4. Да се добави втора безжична мрежа за гости (с различно SSID) и безжичните клиенти да не могат да си комуникират. Тази мрежа да бъде отворена;
  5. Да се тества AP roaming услугата на безжичната мрежа.




Добри Бояджиев

Д-р Добри Бояджиев - сертифициран MikroTik инструктор. Прочетете повече ›

Публикувано в Статии