Микросети: настройка коммутации

whaimhibfzkhimzkzqmxwtjuwaw.jpeg


Привет, читатель!

У меня в квартире есть множество вещей, которым требуется постоянный доступ к локальной сети и интернету. Планируя ремонт, я учел подключение приставок, телевизоров и ПК по кабелю для стабильности. Однако такой вариант ограничивается возможностями маршрутизатора, который в лучшем случае имеет до десяти портов. Мне же их нужно не менее 11, а для некоторых устройств необходимо POE. Кроме того, для надежного соединения ноутбуков, телефонов и портативных приставок стандартом стали Wi-Fi зоны 5 ГГц.

Чтобы это все реализовать, я подключил и настроил коммутатор и точку доступа, которые когда-то покупал для экспериментов. В статье привожу описание настроек. Это решение легко масштабировать на небольшую компанию. Нужно лишь добавить несколько коммутаторов уровня агрегации и доступа, а также точки доступа для покрытия всей территории.

Используйте оглавление, если не хотите читать текст полностью:

→ Подготовка
→ Настройка устройств
→ Настройка маршрутизатора
→ Настройка коммутатора
→ Настройка точки доступа
→ Заключение

Подготовка


Сперва подключим в сеть и дадим доступ в интернет простым клиентам (ноутбукам, телефонам), а также добавим сервер разработки (IPMI и proxmox). Получается такая схема:

vbmt6fvg8yyk1lj7zxflekbanie.png


В качестве коммутатора я взял CRS112, который имеет восемь портов с POE и четыре SFP-разъема, в которые установлены китайские гигабитные модули с момента покупки. Для точки доступа выбран wAP ac.

На предыдущем месте работы был интересный кейс: предоставить удаленным кампусам доступ в интернет и к локальным ресурсам. Для этого взяли существующие cAP ac и eltex. С каждого cAP настроили VPN до двух центральных кампусов и OSPF, выделив каждое здание в отдельную зону. Подобная типовая конфигурация помогла оперативно развернуть сети, по сути, клонируя и донастраивая всего два устройства. В дальнейшем через созданные туннели пустили не только локальные данные, но и IP-телефонию, и мониторинг устройств.


0wbpeccdvo28myjjgtomjrbpg8u.png

Настройка устройств


При первом включении wAP и cAP срабатывает интересная фишка: к ним можно подключиться по Wi-Fi для начальной конфигурации. Для этого достаточно выбрать сеть формата , где FFFFFF — это последние три байта MAC-адреса:

heks1pmcdchx6urgbwkxu4ws2ec.png


Проходим процедуру предварительной подготовки новых устройств аналогично тому, как это делали в предыдущей статье о настройке микросети. Далее заводим VLAN на всех настраиваемых устройствах для управленческой и других сетей:

/interface bridge add name="br-lan" protocol-mode=none vlan-filtering=yes
/interface vlan add name=v-50-adm vlan-id=50 interface=br-lan


И вешаем на эти VLAN IP-адреса:

  • для коммутатора — /ip address
    add address=10.0.50.253/24 interface=v-50-adm network=10.0.50.0
  • для точки доступа — /ip address add address=10.0.50.252/24 interface=v-50-adm network=10.0.50.0


Настройка маршрутизатора


Изначально у меня была другая конфигурация настройки маршрутизатора, которая подходила как временное решение. В этой статье я скорректировал работу для целевого варианта.

Вот материалы, которые, на мой взгляд, могут быть полезны по этой теме:


На центральном маршрутизаторе необходимо освободить порты, так как все устройства будут теперь подключаться через коммутатор. Для этого убираем их из бриджа и VLAN:

/interface bridge vlan 
remove numbers=0
/interface bridge port
remove numbers=0,1,2,4


Также отключаем временную точку доступа. Теперь все пользователи будут ходить через wAP.

/interface wireless disable wlan

В качестве эксперимента настрою LAG (bonding в MikroTik). LAG, или Link Aggregation Group — это технология объединения нескольких каналов связи в один. Она позволяет увеличить производительность интерфейсов и создать более отказоустойчивое решение. Полезно, когда кто-то случайно выдернет один провод. Такая настройка не обязательна в маленькой сети и показана только как пример. Порты ether1 и ether2 объединяются в bonding всего парой команд:

/interface bonding  
add name=bond-sw1 slaves=ether1,ether2


Созданный интерфейс отображается в настройках и его можно добавить в bridge, выведя все необходимые VLAN на него:

/interface bridge port  
add bridge=br-lan interface=bond-sw1 pvid=50

/interface bridge vlan
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=10
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=40
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=50


Настройка коммутации на роутере на этом завершена.

Настройка коммутатора


В этом разделе я выполню простую настройку коммутатора, которую можно улучшить, например, используя switch chip.

Полезное видео о повышении отказоустойчивости сети на базе коммутаторов MikroTik.


Проводим настройку LAG на стороне коммутатора. Для этого соединяем два интерфейса (7 и 8), добавляем VLAN и интерфейсы в него:

/interface bonding  
add name=bond-isr1 slaves=ether7,ether8
/interface bridge port  
add bridge=br-lan interface=bond-isr1 pvid=50
/interface bridge vlan
add bridge=br-lan tagged=br-lan,bond-isr1 vlan-ids=50


Соединив все проводами, можем увидеть с интерфейса маршрутизатора коммутатор (и наоборот) в сети:

7ih-3zd214m6lwdhmaomhnfeu5m.png


Аналогичная картинка отображается в winbox, если вы предварительно отдали для настройки управленческий VLAN в access:

ujxljxe0lhivjszrivlvrdcdjuq.png


Теперь нужно донастроить коммутатор. Для всех портов, предназначенных для клиентских устройств на всякий случай отключаю PoE и ставлю комментарии, чтобы не забыть, что и куда подключено:

/interface ethernet
set ether1 comment=kitchen-tv poe-out=off
set ether2 comment=room-tv poe-out=off
set ether3 comment=room-ps poe-out=off
set ether4 comment=room-alice poe-out=off
set ether5 comment=room-ws1 poe-out=off
set ether6 comment=hall-isr2 poe-out=forced-on
set ether7 comment=hall-bond-sw1 poe-out=off
set ether8 poe-out=forced-on
set sfp9 comment=room-pc1
set sfp10 comment=room-pc2
set sfp11 comment=srv-common
set sfp12 comment=srv-ipmi


На этапе ремонта для своего удобства мы вывели все интерфейсы в одно место и позже организовали их с помощью патч-панели. Казалось бы, это мелочь, но очень красиво выглядит. А главное, это еще и удобно.

k533r_u764mqr8s2ouxq75r3kwy.jpeg


Всем пользовательским устройствам и IPMI отдаем трафик в access, а точке доступа и серверу — в trunk:

/interface bridge port
add bridge=br-lan interface=ether1 frame-types=admit-only-untagged-and-priority-tagged pvid=10
…
add bridge=br-lan interface=ether5 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp9 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp10 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp12 frame-types=admit-only-untagged-and-priority-tagged pvid=40
 
add bridge=br-lan interface=ether6 frame-types=admit-only-vlan-tagged 
add bridge=br-lan interface=sfp11 frame-types=admit-only-vlan-tagged 
 
/interface bridge vlan
add bridge=br-lan tagged=bond-isr1,ether6,sfp12 untagged=ether1,ether2,ether3,ether4,ether5,sfp9,sfp10 vlan-ids=10
add bridge=br-lan tagged=bond-isr1,sfp12 untagged=sfp11 vlan-ids=40


На этом этапе настройка коммутатора завершена. Также можно рассмотреть настройку на switch chip, которая хорошо описана в статье о возможностях чипа коммутации.

Настройка точки доступа


Этот раздел посвящен настройке точки доступа через CAPsMAN. Подобный подход позволяет управлять множеством точек доступа, централизованно меняя настройки беспроводной сети.

Еще немного полезных материалов по теме:


Диаграмма направленности выбранной wAP имеет форму окружности при вертикальном монтаже. Это позволяет монтировать устройство на стену, а не на потолок (как в случае с cAP). Сама точка доступа выглядит достаточно лаконично и просто. Я расположил ее в геометрическом центре квартиры, а не в углу коридора, как это часто делают. Так можно покрыть зоной Wi-Fi всю площадь помещения.

Начнем конфигурирование с настройки интерфейса связи с коммутатором. Аплинком для wAP я выбрал первый порт, так как он PoE in и в дальнейшем устройство будет работать только через него. Как и ранее, добавляем его в bridge, вешаем нужные VLAN-сети:

/interface bridge port add bridge=br-lan interface=ether1
/interface comment ether1 comment="super-SW1"
/interface bridge vlan
add bridge=br-lan vlan-ids=10 tagged=wlan1,wlan2,ether1 
add bridge=br-lan vlan-ids=50 tagged=br-lan,ether1


Теперь можно приступить к настройке беспроводной сети. Для этого тоже есть несколько вариантов. Первый и простой — настроить точку доступа в режиме ap bridge и дело с концом. Однако ради этого я бы не стал писать целый раздел.

Так что рассмотрим настройку вторым способом, через CAPsMAN. По сути, это приложение в экосистеме MikroTik, которое позволяет распространять конфигурацию беспроводной сети подключенным точкам доступа. Работа с этим инструментом принципиально не отличается от настройки самостоятельной точки доступа.

Для удобства в меню CAPsMAN есть множество вкладок, каждая из которых попадает в конфигурацию интерфейсов. Аналогично локальной настройке добавляем все конфигурации:

  • Безопасность — /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm name=cap-common-sec passphrase=«xxxxxxxxx»,
  • Направление трафика пользователей — /caps-man datapath add bridge=br-lan name=cap-common-datapath vlan-id=10 vlan-mode=use-tag.

Добавляем CAP для каждого диапазона конфигурации. Для этого открываем в winbox меню CAPsMAN, вкладку Configurations и жмем «плюс». В появившемся окне заполняем поля по следующему шаблону:

_mgfr8phpp5w9zgtugn_plkkoze.png

Во вкладках datapath и Security добавляем ранее созданные параметры:

cxgfe9dmgdnlaif8gdk5gxddlks.png
visnzpc27ceybzlrlqoacjgrveg.png

Последней настройкой добавляем автоматическую отдачу конфигурации каждой подключенной и преднастроенной точке доступа. Для этого в разделе provisioning добавляем запись следующего вида:

lhuzvbtul0s48dm-y2s0i2dcxsg.png

На скриншоте выше Hw.Supported Modes — стандарты точек доступа, к которым применимы эти настройки, Master Configuration — ранее созданная конфигурация, Action — создание интерфейса в capsman и включение в работу. Name Format и Name prefix отвечают за отображение названия автоматически добавленной точки.

Аналогичным образом добавляем все настройки для 5 ГГц диапазона.

На стороне каждой точки доступа (в этой статье — только wAP), которая будет работать, выполняем следующую настройку для подключения к CAPsMAN:

61eelx8mnud2mqpukposev0mpue.png

Или в консоли:

/interface wireless cap set discovery-interfaces=v-50-adm interfaces=wlan1,wlan2 bridge=br-lan enabled=yes

В случае успешной настройки в winbox-панели интерфейсы точки доступа окрасятся в серый цвет с комментарием «управляется CAP»:

wea8u-gztn97vvzyt_buzde4too.png


А в панели самого CAP появятся новые интерфейсы:

v-22auqcmmh90os3y5gjvfilhju.png

Заключение


В рамках этой статьи мы реализовали большую часть желаемой конфигурации. Мое решение можно адаптировать под потребности небольшой компании. Для домашних условий я, возможно, упрощу конфигурацию. Сейчас она работает стабильно и позволяет выполнять не только рабочие задачи, но и играть по сети и «коммутироваться с другими абонентами по всей России».

© Habrahabr.ru