Quản lý tập trung Mikrotik Access Point với Mikrotik CAPsMAN

-

*Vài lưu ý trước khi vào nội dung chính mình cần chia sẽ:
  • Bài viết này mang tính chất dành cho cá nhân để lưu trữ kiến thức cũng như kinh nghiệm bản thân đã trải qua.
  • Bài viết chia sẻ phi lợi nhuận
  • Bài viết có thể làm vài bạn biểu môi: "xời xời, đơn giản thế này ai chẳng biết, post lên làm gì" ==> thì xem lại mục "1" nhé.
  • Bài viết có lấy thể lấy hình ảnh và 1 vài nội dung trên Internet, nên nếu có gì vi phạm bản quyền, cảm phiền các bạn báo lại giúp mình

Quản lý tập trung Mikrotik Access Point với Mikrotik CAPsMAN

    Mikrotik CAPsMAN (Controller Access Point system Manager) là tính năng/giao thức của Mikrotik để quản lý tập trung các Access Point Mikrotik.

    Hệ thống mạng WIFI sử dụng Mikrotik CAPsMAN gồm 2 thành phần: thiết bị Access Point - CAP (    Controller Access Point) cung cấp WIFI cho người dùng, và CAPsMAN để quản trị, cấu hình CAP, quản  lý chứng thực người dùng hệ thống WIFI.

    Bài viết sử dụng các thiết bị sau:
  • Router Mikrotik hEX (RB750Gr3): Router Internet, CAPsMAN
  • wAP AC : CAP
    Yêu cầu:
    4 SSID tương ứng với 4 Vlan:
  • MANAGER Vlan ID 1 (192.168.88.0/24)
  • KETOAN Vlan ID 10 (10.10.10.0/24)
  • SALES Vlan ID 20 (20.20.20.0/24)
  • GUEST Vlan ID 30 (30.30.30.0/24) - Chứng thực qua hotspot, hiển thị trang chào với 1 button Login (không cần nhập user/pass) và direct đền website/page chỉ định sẵn.
Tất cả SSID đều phân định rõ ràng băng tầng 2.4Ghz và 5Ghz

    I. Kết nối CAP với CAPsMAN:

    Để hệ thống CAPsMAN hoạt động, CAP phải thiết lập kết nối với CAPsMAN. Một kết nối có thể được thiết lập bằng 2 giao thức (Layer 2 và Layer 3) :
  • Layer 2 connection: 
    • Không cần set IP cho CAP 
    • Cap và CAPsMAN phải cùng trên Layer 2 - vật lý hoặc ảo ( L2 tunnel )
  • Layer 3 connection:
    • Có thể dùng NAT nếu cần thiết
    • Khi CAP và CAPsMAN không nằm cùng trên Layer 2 thì việc CAP thiết lập kết nối với CAPsMAN phải bằng địa chỉ IP của CAPsMAN.
Sau khi có được danh sách và chọn được CAPsMAN trong hệ thống, CAP và CAPsMAN sẽ thiết lập kết nối bằng các chế độ xác thực sau: 
  • No authentication : không sử dụng chứng chỉ (certificates) xác thực giữa CAP và CAPsMAN
  • Chỉ có CAPsMAN cấu hình certificates, CAP kiểm tra chứng chỉ của CAPsMAN. Lúc này CAPsMAN phải được cấu hình request-peer-certificates=no để thiết lập với các CAP không có chứng chỉ.
  • Cả CAP và CAPsMAN đều được cấu hình certificates, xác thực lẫn nhau.
Sau khi kết nối thành công, nếu CAP hoặc CAPsMAN bị ngắt kết nối thì sẽ được phát hiện khá nhanh trong khoảng 10-20s.

    CAP auto locking to CAPsMAN:

    Với một hệ thống có từ 2 CAPsMAN trở lên, để việc cố định CAP vào 1 CAPsMAN cụ thể để khi có vấn đề disconnect của CAP hoặc CAPsMAN thì đảm bảo rằng chúng tự xác thực, thiết lập kết nối lại. Việc khóa, cố định được thực hiện bằng certificates CommonName của CAPsMAN. Vì tính năng này được triển khai bằng certificates nên việc xác thực bằng certificates là bắt buộc (certificates=request)


    II. Cấu hình CAPsMAN:

    Cấu hình mật khẩu WIFI cho từng SSID:
 

    Khai báo thông tin đường đi cho dữ liệu Wifi:
  • Bridge : cho biết dữ liệu từ CAP được đưa vào interface bridge nào trên CAPsMAN. Thuộc tính này quan trọng khi hệ thống Wifi với CAPsMAN forward data, VLAN.
  • Local Forwarding : Enable để CAP xử lý và chuyển tiếp dữ liệu wifi mà không cần trung chuyển qua CAPsMAN xử lý.
  • Client to Client Fowarding : Enable để cho phép các thiết bị truy cập hệ thống Wifi "thấy" nhau.
  • VLAN Mode: use tag = untagged, access Vlan chỉ định cho SSID tương ứng. Như ảnh bên dưới untagged VLAN 30 cho SSID GUEST.

    Cấu hình Channels
    
    Ở phần này chúng ta nên tạo 2 profile channel tương ứng cho 2 băng tần 2.4Ghz và 5Ghz.Và có 1 số điểm cần lưu tâm tới như là :
  • Frequency : Giá trị này được tính bằng MHz mà Access Point sẽ hoạt động. Nếu để trống, CAPsMAN sẽ tự động xác định tần số tốt nhất mà ít bị chiếm dụng nhất cho thiết bị.
  • Reselect Interval : Khoảng thời gian mà sau đó CAPsMAN sẽ phải tiến hành lựa chọn Frequency cho thiết bị Access Point. Sẽ chỉ hoạt động nếu Frequency được để trống.
  • Save Select :  Lưu thông tin channel đã chọn cho CAP, và sẽ chọn channel này cho CAP nếu trường hợp CAP và CAPsMAN kết nối trở lại sau khi bị disconnect.

    Cấu hình Configurations:

    Khai báo các profile chính cho hệ thống Wifi dựa vào các profile đã khai báo trước đó ở trên.
    Theo yêu cầu ở đầu bải nên ta tạo tương ứng từng profile chính riêng cho từng SSID để phân biệt cả 2.4GHz và 5GHZ. Ở đây chỉ cần khai báo SSID, các thành phần khác như Channel, Security, Datapath chỉ cần trỏ đến đúng các profile đã tạo trước đó.

    Cấu hình Provision:

    Để tạo luật đẩy cấu hình từ CAPsMAN xuống các CAPs, cũng với yêu cầu phân biệt các băng tầng với nhau nên ta tạo 2 luật chính cho 2.4GHz và 5GHz:
  • Radio MAC : Mặc định Mac Address 00:00:00:00:00:00 sẽ lật khớp với mọi địa chỉ MAC. Như vậy tất cả các wlan Mac address từ CAPs đẩy lên đều được CAPsMAN chấp nhận.
  • Action : chọn Create dynamic enable
  • Hw support modes : với bằng tầng 2.4GHz thì chọn b,g,n và 5GHz thì chọn a,an,ac. Riêng a turbog turbo thì cần đọc kĩ tài liệu  nhé. 
  • Với các dòng Access Point của các hãng khác thì thông thường tối đa có thể tạo được 8 SSID trên 2 channel, mỗi channel 4 SSID. Riêng Mikrotik nếu cấu hình wireless ở mode StandAlone có thể cấu hình lên tới 128 SSID với 1 channel. Nhưng khi cấu hình CAPsMAN nếu muốn cấu hình nhiều SSID mà cấu hình không đúng thì CAP và CAPsMAN sẽ không thể thiết lập kết nối với nhau, như hình bên dưới:

  • Với cấu hình CAPsMAN nhiều SSID, với Master Configuration là profile chính tương ứng với SSID chính, Slave Configuration là các profile phụ với các SSID phụ. Chúng ta có thể cấu hình rất nhiều SSID, nhiều hơn 8 :D, nhưng tình trạng nhiễu loạn sẽ diễn ra, hãy cẩn trọng.

    III. Cấu hình CAPs:

    Các dòng thiết bị Mikrotik Access Point có thể chọn mode StandAlone Access Point hoặc CAP Access Point thông qua button mode trên thiết bị. Hoặc có thể enable CAP thông qua Winbox khi kết nối vào thiết bị như hình bên dưới: 
  • Chọn Enable để bật CAP mode trên thiết bị
  • Interface : chọn wlan1 và wlan2 tương ứng với 2 wireless interface trên thiết bị, các interface này sẽ chịu sự quản lý của CAPsMAN.
  • Discovery Interface : chọn Bridge Local, trong trường hợp này là bridge1, là bridge khai báo tất cả các interface (lan, wlan) của Access Point.
Bên dưới là kết quả nhận được từ CAPsMAN:




Đến đây là coi như đã tạm gọi là hoàn thành việc cấu hình CAPsMAN, nếu muốn tìm hiểu thêm về limit bandwith, Dynamic Vlan Assignment for Wlan Client thì có thể tham khảo thêm ở đây. 

Với yêu cầu chứng thực qua hotspot, hiển thị trang chào với 1 button Login, direct website/page mình sẽ cập nhật thêm sau. Cần có thời gian để vọc code mới có trang chào đc chứ :V

Chúc các bạn thành công !






Đặt quảng cáo của bạn ở đây

Nhận xét

Đăng nhận xét