Бесшовный wifi роуминг с помощью capsman в микротик

2 сети в Сapsman на примере гостевой Wi-Fi

Возникают различные ситуации при использовании Wi-Fi, наиболее распространенная, когда при наличии бесшовной сети требуется открыть второй Capsman v2 Mikrotik для гостевого открытого доступа. Для начала потребуется добавить настройки в безопасность сети и создать возможность доступа без пароля.

Далее, добавляем конфигурацию, с измененными настройками безопасности. В разделе «Provisioning» понадобится добавить в имеющуюся конфигурацию новый параметр.

Далее настройки должны автоматически передаться и распространиться на все точки доступа. В том случае, если этого не происходит, требуется войти в каждую из них и переподключить.

Настройка CAP

Здесь всё не просто, а очень просто ))

Включаем CAP

Всё, больше никаких настроек. То есть вообще никаких. Ни bridge, ни IP-адреса. Здесь мы выбираем wlan интерфейсы которые будут управляться CAPsMAN и выбираем Discovery Interfaces, то есть в моём случае это ether1 – интерфейс по которому связаны CAP и CAPsMAN на уровне L2.

Но… Всегда есть но.

Если CAP находится в другом сегменте сети то точке нужно присвоить IP-адрес, настроить маршрутизацию и всё остальное. В общем всё по взрослому ))

В таком случае в поле CAPsMAN Addresses нужно добавить адрес контроллера, или несколько если их в сети несколько, например основной и резервные.

Если на CAP настроен bridge, то управляемые wlan необходимо из него исключить, иначе образуется петля и интерфейсы работать не будут.

Если включен Local Forwarding то нужно выбрать Bridge на который будут автоматически маппится интерфейсы. Руками добавлять в бридж порты wlan ни в коем случае не нужно, они добавятся сами.

Собственно всё, работающий CAP выглядит следующим образом:

MikroTik CAP

Полный конфиг точки выглядит следующим образом ))

Кстати, у MikroTik CAPsMAN есть ещё фишка – если зажать кнопку Reset, включить точку и подержать так в течении 10 секунд, то точка автоматом загрузится в режиме CAP.

Подключение точек доступа

В моем повествовании участвуют две точки доступа с адресами 10.1.3.110 (xs-wl-office) и 10.1.3.111 (xs-wl-meeting), соединенные между собой по ethernet кабелю. Первая из них контроллер, вторая простая точка. Обе точки видят друг друга в локальной сети. Wifi интерфейс контроллера так же как и обычной точки подключается к capsman и берет у него настройки. То есть контроллер является одновременно и контроллером и рядовой точкой доступа. Даже комбинация из двух точек организует полноценную бесшовную wifi сеть на всей площади, которую покрывают их радио модули.

Подключение точек доступа CAP к контроллеру CAPsMAN возможно по двум разным уровням — Layer 2 или Layer 3. В первом случае точки доступа должны быть расположены физически в одном сегменте сети (физической или виртуальной, если это L2 туннель). То есть, если по-простому, подключены к одному свитчу. В них не обязательно настраивать ip адресацию, они найдут контроллер по MAC адресу.

Во втором случае подключение будет по протоколу IP (UDP). Нужно настроить IP адресацию и организовать доступность точек доступа и контроллера по IP адресам.

Для начала подключим отдельную wifi точку. Подключаемся к ней через winbox и переходим в раздел Wireless. Там нажимаем на CAP и указываем настройки.

Описание настроек CAP

Interfaces	интерфейс, которым будет управлять контроллер
Certificate	сертификат для авторизации, если используется
Discovery Interfaces	интерфейс, по которому CAP будет искать контроллер
Lock to CAPsMAN	привязать точку к конкретному мастеру
CAPsMAN Addresses	IP адрес по которому CAP будет искать контроллер
CAPsMAN Names	имя контроллера, который будет искать CAP, если не указано ничего, то поиск по имени не осуществляется
CAPsMAN Certificate Common Names	список CommonNames сертификатов на контроллере, которые будет проверять CAP при подключении
Bridge	bridge, к которому будет подключаться интерфейс, когда включена опция local forwarding
Static Virtual	CAP создаст статические виртуальные интерфейсы вместо динамических и попытается повторно использовать тот же интерфейс при повторном подключении к CAPsMAN, если MAC-адрес будет тем же.

В моем случае я не стал указывать ip адрес контроллера, а просто указал бридж, на котором его стоит искать. Тут это бридж, в который объединены все интерфейсы точки. В частности, в этот бридж входит ethernet порт, через который точка доступа подключается к свитчу, в который подключен и контроллер. Если у вас не в одном широковещательном домене точка и контроллер, то Discovery Interfaces оставьте пустым, а в CAPsMAN Addresses введите ip адрес мастера.

Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то на самой точке будет такая картина:

А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа:

Интерфейс назван в соответствии с настроенным ранее префиксом.

Если у вас по точка доступа упорно не подключается к контроллеру и вы никак не можете понять, в чем проблема, то первым делом проверьте, удалили ли вы дефолтную конфигурацию при первоначальной настройке точки. Она часто является причиной того, что точка доступа не подключается к capsman контроллеру.

Проделаем теперь то же самое на самом mikrotik контроллере — подключим его wifi интерфейс к capsman v2. Делается это абсолютно так же, как только что проделали на отдельной точке wifi.

Для примера, я подключил точку к контроллеру по ip адресу. После подключения смотрим картинку на контроллере. Должно быть примерно так:

Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.

Для удобного и наглядного анализа сети рекомендуется придумать осмысленную схему назначения имен точкам доступа и радио интерфейсам.

Добавление правила Firewall в точке доступа

Как уже говорилось ранее, в последних обновлениях в конфигурации по умолчанию Firewall блокирует трафик. Чтобы этого не происходило, нужно открыть в точке доступа раздел New Terminal, после чего выполнить следующие команды:

1. /ip firewall filter add action=accept chain=input dst-address-type=local src-address-type=local comment=»UnblockCapsman» disabled=no — добавить в фаервол правило разблокировки трафика.
2. /ip firewall filter move 1 — переместить в фаервол правило UnblockCapsman выше остальных правил вверх.

Следующий этап — настройка WiFi интерфейсов:

1. Открыть вкладку Wireless и в разделе Interfaces выбрать кнопку САР.
2. Во всплывающем окне поставить галочку Enable.
3. В графе Interfaces выделить «wlan1» на 2,4 ГГц.
4. В выпадающем списке Discovery Interfaces выбрать бридж интерфейс.

Для сохранения изменений нужно нажать «ОК».

Что такое Сapsman V2

Важным фактом является то, что Capsman V2 несовместим с предыдущей версией, а потому потребует обновления, при отсутствии нового пакета. Главными его достоинствами стали:

• точки доступа теперь обновляются автоматически;
• обмен информацией происходит по улучшенному протоколу;
• настройки теперь содержат поля «Name Format», «Name Prefix» в Provision rules;
• переключение теперь обеспечено улучшенным логированием;
• появился L2 Path MTU discovery.

При существующей настройке Capsman Mikrotik предшествующей версии, обновить до версии v2 не сложно, достаточно:

1. Указать Capsman v2 в качестве контроллера исходной сети.
2. Поочередно производится обновление точек доступа, в них требуется установить пакет wireless-cm2. Они подключаются к указанному временному контроллеру.
3. Завершив процедуру обновления всех точек, надо обновить основной контроллер, после полного обновления всей сети отключается временный Capsman v2.

В том случае, если полное отключение всей сети не катастрофично, то гораздо проще обновить все точки одновременно с центральным контроллером, после полного обновления все заработает в улучшенном режиме.

Настройка CAPsMAN и VLAN на коммутаторе CRS210-8G-2S+IN

Настройка VLAN

Все проделанные настройки в виде кода:

/ip address
set  address=192.168.88.2/24 network=192.168.88.0
/interface ethernet switch egress-vlan-tag
add tagged-ports="ether1-master-local,ether2-slave-local,ether3-slave-local,ethe\
  r5-slave-local,ether6-slave-local,ether7-slave-local,ether8-slave-local" \
  vlan-id=47
add tagged-ports="ether1-master-local,ether2-slave-local,ether3-slave-local,ethe\
  r5-slave-local,ether6-slave-local,ether7-slave-local,ether8-slave-local" \
  vlan-id=101
/interface ethernet switch vlan
add ports="switch1-cpu,ether1-master-local,ether2-slave-local,ether3-slave-local\
  ,ether4-slave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local\
  ,ether8-slave-local" vlan-id=101
add ports="switch1-cpu,ether1-master-local,ether2-slave-local,ether3-slave-local\
  ,ether4-slave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local\
  ,ether8-slave-local" vlan-id=47

Настройка CAPsMAN

Создадим профили безопасности беспроводной сети для VLAN 101 и VLAN 47

Создадим Datapath для VLAN 101 и VLAN 47

Создадим конфигурации для VLAN 101 и VLAN 47, указываем название конфигурации, имя сети (SSiD) и режим AP

На закладке Channel указываем частоту, ширину канала, протоколы и направление расширения частоты

На закладке Datapath — выбираем свой ранее созданный datapath для каждого из VLAN

На закладке Security — выбираем свой ранее созданный профиль безопасности для каждого из VLAN

На закладке Provision создаем профиль и затем включаем менеджер CAPsMAN

Все проделанные настройки в виде кода:

/caps-man datapath
add local-forwarding=yes name=datapath_vlan101 vlan-id=101 vlan-mode=use-tag
add local-forwarding=yes name=datapath_vlan47 vlan-id=47 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security_vlan101 \
  passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm name=security_vlan47 \
  passphrase=1234567890
/caps-man configuration
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
  channel.width=20 datapath=datapath_vlan101 mode=ap name=cfg_vlan101 \
  security=security_vlan101 ssid=Office
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
  channel.width=20 datapath=datapath_vlan47 mode=ap name=cfg_vlan47 \
  security=security_vlan47 ssid=Guest
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_vlan101 \
  slave-configurations=cfg_vlan47
/caps-man manager
set enabled=yes

Настраиваем гостевую сеть на MikroTik CAPsMAN

Пришла пора настроить нашу гостевую сеть

Добавляем гостевой bridge и IP-адрес

Обратите внимание на ARP reply-only, нужно для того что бы особо умные гости не смогли себе присвоить статический IP, работает в связке с настройками DHCP для гостевой сети. IP для гостевого моста

IP для гостевого моста

Добавляем гостевой DHCP Server

Запрещаем маршрутизацию между гостевой и домашней сетью

В принципе так как сети находятся на разных bridge, достучаться они и так друг до друга не могут, но мы ещё и принудительно им это запретим на всякий случай ))

route rule unreachable

Настройка MikroTik CAPsMAN для гостевой сети

Дальше пойдёт без картинок, т.к. картинки такие уже были, только надписи другие )

Добавляем Security Cfg. для гостевой сети

Datapath для гостевой сети, здесь в отличии от домашней сети запрещён форвардинг между клиентами

Добавляем конфигурацию для гостевой сети. В отличии от домашней не указаны chanels, т.к. интерфейс будет виртуальным на одном радио с основным, то указывать какой либо канал отличный от канала мастера бессмысленно

Для гостевой сети я решил выделить диапазон 2.4GHz, поэтому Provisioning покажу полностью, даже с картинкой )

Guest Provisioning

Здесь присутствует Slave Configuration – это и есть наша гостевая точка доступа

Всё )) Точнее ещё не всё, но уже всё работает )) Вот как выглядит настроенный CAPsMAN

CAPsMAN all interfaces

Настройка гостевой WiFi сети

У Mikrotik CAP Lite настройка точки доступа проводится согласно алгоритму:

1. В настройках маршрутизатора открыть Bridge.
2. Перейти в раздел мост и нажать на синий «+».
3. В соответствующую графу ввести имя bridge-free.
4. Сохранить изменения, нажав ОК.

Теперь нужно настроить IP-адрес новой сети

Важное условие — она должна быть отлична от адреса основной сети

1. Открыть раздел IP — Address.
2. Нажать на «+» синего цвета.
3. В графе Address указать адрес бридж интерфейса и обязательно адрес — 192.168.1.1/24.
4. В окне Network указать адрес сети 192.168.1.0.
5. В соответствующую графу ввести имя bridge-free.

Сохранить изменения.

Настройка бесшовного роуминга Wi-Fi на MikroTik. CAPsMAN

В последнее время подешевело оборудование для создания беспроводных сетей Wi-Fi с бесшовным роумингом. Среди них самые интересные ценовые предложения у MikroTik и Ubiquiti. В случае с MikroTik используется программный контроллер доступа CAPsMAN который может быть установлен на любой из роутеров производителя.

Для работы бесшовного роуминга обязательна поддержка протоколов 802.11r/k и желательно 802.11v как на стороне клиентов так и точек доступа. Доля клиентов с поддержкой 802.11r/k постоянно растёт что делает построение сети с бесшовным роумингом на текущий момент имеющей смысл. Компания Apple поддерживает эти стандарты начиная с iOS 6. Подробнее про роуминг в iOS 

• 802.11k. Этот стандарт фактически направлен на реализацию балансировки нагрузки в радиоподсистеме сети Wi-Fi. Обычно в беспроводной локальной сети абонентское устройство обычно соединяется с той точкой доступа, которая обеспечивает наиболее сильный сигнал.

Нередко это приводит к перегрузке сети в одной точке, когда к одной Точке Доступа подключется сразу много пользователей. Для контроля подобных ситуаций в стандарте 802.

В этом случае аггрегированная пропускная способность сети увеличивается благодаря более эффективному использованию ресурсов.

• 802.11r. Определяет быстрый автоматический роуминг Wi-Fi-устройств при переходе из зоны покрытия одной Точки Доступа Wi-Fi к зоне покрытия другой.

Этот стандарт ориентирован на реализацию Мобильности и, прежде всего, важен именно для мобильных/носимых устройств с Wi-Fi, например, смартфонов, планшетных компьютеров, Wi-Fi IP-телефонов и т.п..

До появления этого стандарта при движении пользователь часто терял связь с одной точкой доступа, был вынужден искать другую и заново выполнять процедуру подключения. Это занимало много времени. Существовали частные решения проблемы роуминга (хендоверов) между устройствами, например от CCKM от Cisco.

Что касается MikroTik если я правильно понял этот форум стандарт 802.11r пока не поддерживается. Роуминг в MikroTik видимо “бесшовный” с оговорками, как и у почти всего современного оборудавания Wi-Fi. Для этого не нужна даже система централизованного управления. Тестирование того как это работает смотрите здесь

Статья в разработке….

Как настроить систему централизованного управления точками доступа CAPsMAN можно почитать здесь пока:

Прочитано 11851 раз Последнее изменение Понедельник, 17 Июль 2017 02:53

The End

На этом всё, надеюсь данный мой опыт кому нибудь оказался полезен.

Рассмотрим случай, когда на микротике нужно настроить CAPsMAN с двумя сетями: рабочей и гостевой. Для начала нужно настроить два бриджа на микротике с гостевой и рабочей сетью. За основу возьмём инструкцию по настройке хотспота на микротике

Для будущего удобства рекомендуем заменить часть стандартного конфига:

на следующие строки:

Это нужно для того, чтобы рабочая сеть была настроена на отдельный inet-bridge, а не просто на отдельный порт в микротике.

После настройки у Вас получится полноценный хотспот с гостевой и рабочей сетью в разных бриджах (hs-bridge и inet-bridge).

Теперь настроим CAPsMAN.

Краткая инструкция

В терминал главного микротика вставляем следующий конфиг, не забыв заменить пароль рабочей сети с 12345678 на Ваш пароль.

В дополнительные роутеры и точки вставьте следующий конфиг:

Подробная инструкция

Если вы хотите настроить вручную каждый пункт, то воспользуйтесь инструкцией ниже.

Настройка главного микротика:

в меню Bridge создадим новый бридж bridgeCAP name=bridgeCAP

1) Включим CAPsMan.

В меню выбираем CAPsMan-CAP Interface-Manager Ставим галочку enabled=yes и нажимаем ОК

2) Добавим channel.

band=2ghz-b/g/n frequency=2457 name=hs-channel1 tx-power=20 control-channel-w >

3) Добавим datapath для hs-bridge.

br > name=hs-datapath1 client-to-client-forwarding=yes

4) Добавим datapath для inet-bridge.

br > name=inet-datapath1 client-to-client-forwarding=yes

5) Добавим security профиль для рабочей сети.

authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=inet-security passphrase=12345678

6)Добавим конфигурацию для гостевой сети.

channel=hs-channel1 datapath=hs-datapath1 mode=ap name=hs-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ss >

7)Добавим конфигурацию для рабочей сети.

channel=hs-channel1 datapath=inet-datapath1 mode=ap name=inet-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ss > security=inet-security

Настроим provisioning.

action=create-dynamic-enabled master-configuration=inet-cfg1 slave-configuration=hs-cfg1

9) Активируем CAPsMAN на Wlan интерфейсах. enabled=yes interfaces=wlan1 discovery-interface=bridgeCAP br >

Настройка дополнительных точек и роутеров:

1) Создадим бридж.

name=hs-bridge

2) Добавим все Lan интерфейсы в него.

3) Настроим DHCP Client.

dhcp-options=hostname,clientid disabled=no interface=hs-bridge

allow-remote-requests=yes servers=8.8.8.8,208.67.222.222

5) Активируем CAPsMAN.

discovery-interfaces=hs-bridge enabled=yes interfaces=wlan1

Настройка завершена — можно приступать к работе.

Бесшовный роуминг

Интернет пестрит громкими фразами вида «настройка бесшовного wifi (роуминг) на микротик», но чудес не бывает, и это на самом деле псевдо бесшовный роуминг. Для бесшовности в прямом смысле этого слова, вам понадобится протокол 802.11R, реализация которого отсутствует на устройствах Mikrotik, его поддерживают другие более дорогие устройства. Куча манов ведут к «тонкой настройке» Access List путём принудительного выбрасывания с точки при определённом уровне сигнала. Так вот, это абсолютно бессмысленно, т.к. при выкидывании с точки вы лишаетесь того самого псевдо роуминга.

Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов.  Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.

Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.

Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.

Начал одним, а закончил другим))), надеюсь теперь все стало понятно.

Настройка сетевой карты

Чтобы войти в настройки точки доступа, нужно сперва настроить сетевую карту компьютера. Делается это, чтобы у устройства был IP-адрес одной подсети. В качестве примера можно использовать 192.168.88.21.

Произвести настройки можно следующим образом:

1. Перейти в Панель управления через меню Пуск или любыми другими известными способами;
2. Найти в Панели Центр управления сетями и общим доступом;
3. В этом окне отображается текущая активная сеть. Следует выбрать ссылку «Изменение параметров адаптера»;
4. Найти локальное подключение и, нажав на нем правой кнопкой мыши, выбрать пункт «Свойства»;
5. В списке выбрать пункт «Протокол интернета версии 4» и опять выбрать Свойства;
6. В настройках необходимо установить галочку напротив строки «Использовать следующий IP-адрес» и вставить адрес из примера (192.168.88.21.);
7. Маску подсети можно сделать такой: 255.255.255.0;
8. Сохранить все изменения и выйти.

Настройка MikroTik Capsman WiFi на частоте 2,4 и 5ГГц

Оборудование MikroTik существенно отличается от своих конкурентов наличием в прошивке менеджера управления WiFi сетями Capsman. Он выступает в качестве центрального контроллера для все WiFi точек, является носителем конфигурации. А сам роутер в это время обрабатывает пакеты. Удобно, не правда ли?

В рассмотренной конфигурации будет присутствовать оба модуля WiFi на частотах 2,4 и 5ГГц. Но если же конфигурация имеет поддержку лишь одного модуля WiFi, нужно описать только его.

/caps-man manager
set enabled=yes upgrade-policy=require-same-version

Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.

Настройка находится в CAPsMAN->Channels

/caps-man channel
add band=2ghz-b/g/n name=channel-24

/caps-man channel add band=5ghz-a/n/ac name=channel5

Datapath как настройка будет общая для обоих модулей WiFi, т.к. оба модуля имеют принадлежность к Bridge через Ports.

Настройка находится в CAPsMAN->Datapaths

/caps-man datapath
add bridge=bridge-1 client-to-client-forwarding=yes name=\
datapath

Local Forwarding – трафик, который будет приходить от клиента будет обрабатываться контроллером Capsman(чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие – процессор не задействуется и нельзя воспользоваться Firewall.

!!! Если параметр активирован, все остальные настройки в разделе datapath не будут восприниматься подключенной точкой доступа.

Client To Client Forwarding – разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети – разрешить.

Настройка находится в CAPsMAN->Security Cfg.

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm \
group-key-update=1h name=security passphrase=123456678

В этом разделе нужно добавить две отдельные конфигурации, но суть их в одном – указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц настраивается по абсолютной аналогии.

Настройка находится в CAPsMAN->Configurations

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

/caps-man configuration
add channel=channel-24 datapath=datapath mode=ap name=\
cfg-24 rx-chains=0,1,2,3 security=security \
ssid=MikrotikConfigUkr tx-chains=0,1,2,3

Настройка находится в CAPsMAN->Provisioning

/caps-man provisioning
add action=create-enabled hw-supported-modes=b,gn \
    master-configuration=cfg-24

/caps-man provisioning
add action=create-enabled hw-supported-modes=an,ac \
master-configuration=cfg-5

Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.

Сначала активируем CAPsMAN:

1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
2. Нажмите кнопку Manager.
3. В появившемся окне поставьте галочку Enable.
4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

1. Перейдите на вкладку Channels.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
4. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
5. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
6. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
7. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
8. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

1. Перейдите на вкладку Security Cfg.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
5. В Encryption выберите алгоритм aes ccm.
6. В списке Group Encryption выберите алгоритм aes ccm.
7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

1. Перейдите на вкладку Datapaths
2. Нажмите синий плюсик.
3. В поле Name оставляем имя без изменения datapath1.
4. В списке Bridge выберите бридж интерфейс.
5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

1. Перейдите на вкладку Configurations.
2. Нажмите синий плюсик.
3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
4. В списке Mode выберите режим работы ap — точка доступа.
5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

1. Откройте вкладку Provisioning.
2. Нажмите синий плюсик.
3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

1. Нажмите синий плюсик.
2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
3. В списке Action выберите create enabled.
4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
5. Нажмите OK.

Заключение

Подведем итог проделанной работы. На примере двух точек доступа Mikrotik RB951G-2HnD мы настроили бесшовный wifi роуминг на покрываемой этими точками площади. Площадь эта легко расширяется дополнительными wifi точками любой модели микротик. Они не обязательно должны быть одинаковыми, как это, к примеру, реализовано в некоторых конфигурациях Zyxell, которые мне доводилось настраивать.

В этом примере я рассмотрел практически самую простую конфигурацию, но при этом расписал все настройки и принцип работы. На основе этих данных легко составить и более сложные конфигурации. Здесь нет какого-то принципиального усложнения. Если понять, как это работает, то дальше уже можно работать и делать свои конфигурации.

Трафиком с точек доступа можно управлять так же, как и с обычных интерфейсов. Работает весь базовый функционал системы — firewall, маршрутизация, nat и т. д. Можно делать бриджы, делить адресное пространство и многое другое. Но стоит учитывать, что при этом трафик будет весь идти через контроллер. Нужно это понимать и правильно рассчитывать производительность и пропускную способность сети.