Как стать провайдером, часть 2

Подробности

Создано 17.05.2013 13:07

Обновлено 15.04.2014 04:23

Просмотров: 13000

Настраиваем базовую станцию с изоляцией клиентского трафика при помощи vlan.

Данный информационный материал был создан, подготовлен специалистами ООО «ЛАНМАРТ» и является собственностью администрации проекта www.lanmart.ru. Любое использование и размещение данного материала на других ресурсах допускается только при наличии прямой ссылки на первоисточник.

В предыдущем обзоре мы настроили PPPoE сервер, подключение к провайдеру и создали клиентские учетные записи. Но сервер доступа сам по себе не может подключать клиентов - понадобятся внешние каналы, в данном случае базовая станция беспроводного доступа.

В качестве БС будем использовать плату Mikrotik RB433L с радиокартой R52n-M.

RouterBOARD RB433L имеет 3 сетевых порта для подключения к кабельной сети, а так же 3 mini-PCI разъема для установки радиокарт. В данном случае установлена R52n-M, ее используют для работы на частоте 2ГГц.

Благодаря 3-м сетевым портам, устройство можно использовать после повреждения грозовым разрядом. Если первый порт выходит из строя, можно использовать второй и третий, после выхода из строя второго - третий. Для подачи питания потребуется раздвоить линии питания и данных, т.к. PoE поддерживает только первый разъем.

Заходим на наш маршрутизатор, который настраивали в предыдущей статье. В разделе Bridge создаем новый бридж с названием bridge_main.

На вкладке Ports добавляем в него второй сетевой порт - ether2.

И по аналогии еще 4 порта - 3, 4 и 5. Можно добавить и все оставшиеся сетевые порты - все они объединяются между собой и устройство можно использовать как коммутатор.

Далее в меню IP->Addresses добавляем адрес 10.0.0.1/24 на интерфейс bridge_main. Теперь маршрутизатор может общаться с другими устройствами внутренней сети.

Для изоляции трафика клиентов каждой беспроводной точки доступа создаем влан. В меню Interfaces на вкладке VLAN нажимаем на + и в открывшемся окне вводим следующую информацию:

Name: vlan_10 - имя интерфейса в системе, желательно указывать понятные имена, обычно через подчеркивание указывают номер влана, что бы иметь возможность ориентироваться в интерфейсах.

VLANID: 10 - номер влана, должен быть одинаковый на всех устройствах, которые могут передавать данные через него.

Interface: bridge_main - интерфейс, на котором снимается влан. В нашем случае сетевые порты 2-5 объединены в бридж, следовательно влан с номером 10 будет доступен в каждом из них. Если вы укажете влан на интерфейсе, например ether2, то он работать не будет, потому что этот интерфейс объединен в бридж.

PPPoE сервер переводим с интерфейса ether2 на vlan_10, выбрав нужный интерфейс из списка в меню PPP на вкладке PPPoE Servers.

Переходим к настройке базовой станции. При первом включении следует отменить начальную конфигурацию, нажав на кнопку Remove Configuration.

Обновляем программное обеспечение - перетаскиваем мышкой файл с новой прошивкой и по окончании загрузки перезагружаем устройство через меню System->Reboot.

У Mikrotik RB433L 3 сетевых интерфейса, и дополнительно установлен беспроводной адаптер, он выделен серым потому что выключен. Любой новый беспроводной адаптер, установленный в любой борд микротика по умолчанию отключен.

В меню Bridge создаем новый бридж с именем bridge_ether для объединения сетевых портов.

А так же bridge_AP_2GHz для работы беспроводного адаптера.

На вкладке Ports в бридж bridge_ether добавляем интерфейс ether1.

По аналогии так же добавляем остальные сетевые порты, в бридж bridge_AP_2GHz добавляем интерфейс wlan1.

В разделе Interfaces на вкладке VLAN создаем новый влан - vlan_10 с номером 10 на интерфейсе bridge_ether.

И добавляем только что созданный интерфейс vlan_10 в бридж bridge_AP_2GHz.

В меню IP->Addresses добавляем адрес 10.0.0.10/24 на бридж bridge_ether.

Слева на заднем фоне видно, что влан установлен на этом же бридже - он вынесен вправо сразу под ним.

А так же в меню IP->Routes добавляем новый шлюз на сеть 0.0.0.0/0 (на все адреса) через маршрутизатор 10.0.0.1.

Для проверки работы сети запустим пинг через меню Tools->Ping. Указываем адрес сервера - 10.0.0.1 и нажимаем кнопку Start, если все в порядке то появляются ответы с указанного адреса, все работает правильно.

Теперь переходим к настройке беспроводного адаптера. Начнем с профиля шифрования, он используется для работы в режимах 802.11 и Nstreme. В меню Wireless на вкладке Security Profile редактируем профиль default. Указываем:

Mode: dynamic keys.

Authentication Types: WPA PSK и WPA2 PSK - типы шифрования.

Unicast и Group Ciphers: tkip и aes ccm - первое программное шифрование, второе аппаратное. В принципе tkipможно не устанавливать, однако некоторые старые устройства, или не правильно настроенные, могут не подключиться к такой БС, поэтому обычно устанавливают все галочки.

WPA и WPA2 Pre-Shared Key: test123456 - ключи шифрования, должны быть одинаковые на базовой станции и клиентских устройствах.

Переходим на вкладку Interfaces и заходим в свойства беспроводного адаптера. На вкладке General меняем имя наwlan_AP_2GHz. Далее нажимаем кнопку Advanced Mode что бы получить доступ ко всем разделам настроек.

Основные настройки производятся на вкладке Wireless:

Mode: ap bridge - режим работы базовая станция.

Band: 2GHz-B/G/N - поддерживаемые режимы, в данном случае 2ГГц B/G/N, можно выбрать и просто B/G, либоonly-G.

Channel Width: 20 - ширина рабочей полосы, можно выбрать 5, 10, 20, 20/40 HT Above или 20/40 HT Below.

Frequency: 2412 - рабочая частота. При установки нескольких базовых станций рядом их частоты должны отличаться как минимум на 20 и более МГц.

SSID: TEST - имя беспроводной сети.

Radio Name - имя устройства, отображается при сканировании сетей.

Scan List: 2300-2734 - сканлист, в котором производится сканирование беспроводных сетей.

Wireless Protocol: NV2 - протокол работы. NV2 - самый современный поллинговый протокол, его следует использовать для получения максимальной скорости, Nstreme - предыдущая версия поллингового протокола, используется в тех случаях, когда NV2 работает плохо в следствии помех. Поллинговые протоколы поддерживают базы и клиенты Mikrotik, другие устройства подключиться не смогут. 802.11 - работа в режиме стандартного вайфая, только в нем могут подключаться другие устройства, например ноутбуки.

Security Profiles: default - профиль шифрования.

Frequency Mode: superchannel - включает режим, при котором доступен весь диапазон частот.

Снимаем галочку Default Forward для блокировки трафика между клиентами при работе без WDS.

На вкладке Data Rates производится управление канальными скоростями.

Пункт Rate Selection всегда следует устанавливать в режим advanced, в этом случае скорость выбирается исходя из количества ошибок, помех и иных факторов, что увеличивает стабильность.

Supported Rates - канальные скорости, поддерживаемые беспроводным адаптером.

Basic Rates - канальные скорости, на которых передается служебный трафик.

Режим B следует всегда отключать, если отсутствуют проблемы совместимости с клиентскими устройствами. Если клиенты Mikrotik или Ubiquiti - то галочки со всех скоростей B режимов следует снять.

При выборе поллингового протокола NV2 на вкладке Advanced ничего изменять не нужно.

Если требуется работа в Nstreme или 802.11, то вкладка Advanced принимает совершенно другой вид. На ней следует произвести следующие настройки:

Periodic Calibration: enabled - включение автоматического переопределения уровня шума.

Calibration Interval: 00:00:10 - интервал времени, через который будет определен и установлен текущий уровень шума, измеренный для радиокарты.

Hw/Protection Mode: rts cts - включения механизма защиты от скрытого узла.

Adaptive Noise Immunity: ap and client mode - включение встроенной защиты от помех (на самом деле помогает не сильно).

На вкладке HT производится управление каналами на передачу. Если радиокарта имеет 2 не зависимых канала приема/передачи, можно включать и выключать каждый канал галочками:

HT Tx Chains - каналы передачи.

HT Rx Chains - каналы приема.

Chain0 - первый разъем радиокарты, Chain1 - второй.

HT Guard Interval всегда при работе на улице следует устанавливать в значение long.

На вкладке HT MCS производится управление канальными скоростями в режиме N.

Канальные скорости MCS0 - MCS7 работают без MIMO, если все галочки, что выше снять, то даже при использовании двухполяризационной антенны через каждый канал будут передаваться одни и те же данные, этот режим используется, когда в MIMO нормально не работает в следствии помех или перекосов уровней сигналов. Канальные скорости MCS8 - MCS15 работают только с MIMO антеннами.

На вкладке WDS включается автоматическое добавление клиентов в бридж. Для этого нужно выбрать WDS Mode -dynamic, и указать WDS Default Bridge - bridge_AP_2GHz.

Если этого не сделать, то база в WDS нормально работать не сможет, без ручного добавления статических WDS записей.

На вкладке Nstreme производится настойка поллингового протокола предыдущей версии, нужно поставить все галочки:

Enable Nstreme - включает поллинговый протокол.

Enable Polling - включает циклический опрос клиентов.

Disable CSMA - отключает проверку занятости среды перед передачей.

И установить:

Framer Policy: dynamic size - режим автоматического выбора максимального размера для упаковки пакетов.

Framer Limit: 3200 - максимальный размер большого пакета, в который упаковываются передаваемые по сети данные.

На вкладке NV2 производится настройка параметров поллингового протокола.

TDMA Period Size: 2 - время, отведенное на передачу данных. При уменьшении до 1 уменьшается задержка и падает максимальная скорость, при увеличении до 10 увеличивается задержка и увеличивается скорость. Оптимальное значение лежит в пределах 2-5. Минимальное 1, максимальное - 10.

Cell Radius: 30 - максимальная дальность работы клиентов. Минимальное значение 10.

Галочка Security - включает шифрование, у этого протокола настройки не берутся из профиля шифрования и задаются отдельно в поле ниже.

Preshared Key: test123456 - ключ для доступа к сети, должен быть одинаковый на базе и на клиентах.

На вкладке Tx Power задается уровень мощности передатчика. Не следует увеличивать мощность сверх меры, рекомендованное значение 18dBm.

Параметр Tx Power Mode может принимать следующие значения:

All Rates Fixed - одинаковая мощность на всех канальных скоростях.

Card Rates - одинаковая мощность на всех канальных скоростях, но не превышающая максимально допустимую мощность. На более высоких канальных скоростях будет автоматически уменьшена.

Manual - мощность для каждой канальной скорости задается отдельно.

Default - мощность установлена на максимально возможное значение - этот параметр никогда не следует использовать.

Нельзя включать оборудование без антенны. При тестировании на столе следует уменьшать мощность до 1-3dBm что бы не повредить оборудование.

На этом настройка беспроводного адаптера завершена.

Для блокировки трафика клиентов в пределах базы, что бы они не могли непосредственно обмениваться данными друг с другом, создадим правило фильтра в бридже, для этого нужно зайти в раздел Bridge на вкладку Filters.

Нажимаем на + и в открывшемся окне раскрываем пункт Interface, где указываем:

In. Interface: ! vlan_10 - входной интерфейс данных не влан с номером 10.

Out. Interface: ! vlan_10 - выходной интерфейс данных не влан с номером 10.

Для установки восклицательного знака нужно нажать мышкой в квадрат перед интерфейсом.

И на вкладке Action выбираем действие drop. Теперь все данные которые пришли не через влан, или отправлены не в сторону влана будут заблокированыи и клиенты не смогут общаться друг с другом в пределах одной базы.

Не забываем установить пароль на доступ к устройству в разделе System->Users заходим в пользователя admin и нажимаем на кнопку Password указываем новый пароль и подтверждение.

После этого можно подключать антенну и включать беспроводной адаптер нажатием на кнопку Enable в свойствах.

После этого на вкладке Current Tx Power будет показана мощность на передачу по каждому каналу, и суммарно по обоим.

На этом настройка базовой станции завершена. В одной сети можно установить большое количества таких БС, для управления каждой следует установить уникальный IP-адрес, а для передачи данных до центрального маршрутизатора уникальный номер влана. При этом в сети не будет мусорного широковещательного трафика, который занимает пропускную способность магистральных каналов и создает лишнюю нагрузку на оборудование.

В дальнейшем функционал базовой станции будет расширен, и к ней подключится клиентское устройство, только его предварительно нужно настроить. Как? Читайте в наших следующих обзорах.