Настройка MikroTik CAPsMAN для RouterOS

Настройка MikroTik CAPsMAN для RouterOS v6.40

Настройка основного маршрутизатора

Интерфейс MikroTik bridgeCAP

В меню Bridge создайте новый bridgeCAP

Настройка канала MikroTik CAPs

Выберите в меню CAPsMAN — Channel и задайте параметры:

Mikrotik CAPs datapath

Затем настройте datapath:

Mikrotik CAPs Configuration Wireless

Далее configuration.

Вкладка wireless:

Mikrotik CAPs Configuration Channel

Вкладка channel:

Mikrotik CAPs Configuration Datapath

Вкладка datapath:

Mikrotik CAPs Manager

Далее CAP Interface — Manager:

Поставьте галочку enabled

Mikrotik CAPs provisioning

Вкладка provisioning:

Mikrotik Wirless — CAP

Теперь в главном меню выберите Wirless — CAP:

Настройка дополнительных устройств MikroTik

Mikrotik bridge

Добавьте в него LAN порты устройства MikroTik:

Mikrotik DNS

Зайдите в IP — DNS:

Mikrotik IP — DHCP Client

Вкладка DHCP Client :

Mikrotik IP — DHCP Client Advanced

Вкладка Advanced:

MikroTik Wirless — CAP

Меню Wirless — CAP:

Настройка MikroTik CAPsMAN готовым скриптом

Всё вышеперечисленное настраивается намного быстрее, если использовать готовые скрипты. Достаточно вставить скрипт в терминал нужного устройства MikroTik.

Основной маршрутизатор:

2-й, 3-й, 4-й, 5-й . маршрутизатор:

1 Комментарий

Оставьте свой комментарий

А как же настройка внешних AP. И неплохо бы показать вариант настройка капсмана, если роутер не имеет ви-фи интрефейса.

Mikrotik с нуля. 04 Коммутация

Ранее уже обсуждалось, что RouterBOARD может в себя включать встроенный коммутатор.

В данной схеме устройство в себе объединяет два чипа коммутации: гигабитный и 100мбитный.
Любой порт данного устройства можно либо объединить в логически единый коммутатор, либо порт может работать отдельно, на 3-м уровне.

Нужно понимать что сам по себе чип коммутации способен коммутировать без участия процессора, при этом существуют разные чипы коммутации, которые могут быть включены в состав RouterBOARD.
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Выше приведена диаграмма RB2011, в составе которого входят два чипа: Atheros8327 (ether1-ether5+sfp1); Atheros8227 (ether6-ether10)
Возможности данных чипов приведена ниже:

hAP ac lite (RB952Ui-5ac2nD)

hAP ac lite имеет на борту чип Atheros8227 (ether1-ether5)

На уровне switch мы можем управлять элементами:
— switch
— port
— port-isolation
— host
— vlan
— rule

При этом при попытке создать rule, мы получим ошибку, поскольку данный switch не поддерживает rule.

Объединение портов

Здесь стоит упомянуть, что до версии 6.41 в коммутации было понятие master-port.
После версии 6.41 все объединения портов выполняются через bridge.
Поэтому не рекомендуется даунгрейдить на версию ниже 6.41
Далее весь материал будет применяться к версии 6.41 и старше.

Итак, принадлежность портов к тому или иному свитчу или чипу можно определить командами:
interface ethernet print
interface ethernet switch port print

Как видно, в данной модели RouterBOARD все порты «живут» на одном чипе switch1.

Для объединения портов используется Bridge.
Порты, объединённые в Bridge, оказываются в одном широковещательном домене, подобно портам в классическом свитче.
Bridge позволяет объединить разные интерфейсы, в том числе Ethernet, Wifi, SFP и др.
В нулевой конфигурации порты не объединены, т.е. каждый порт на 3-и уровне, и на него можно повесить IP адрес.

Hardware Offload — опция, позволяющая разгрузить CPU и нагрузить свитч-чип для коммутации объединённых портов.
В зависимости от модели чипа, и от настроенной Feature Hardware Offload будет применима или неприменима.

Например, hAP ac lite имеет на борту чип Atheros8227 (ether1-ether5). И при включении функции Bridge VLAN Filtering, Hardware Offload будет невозможна, т.к. данный чип не поддерживает эту функцию. Hardware Offload будет автоматически отключена и в обработке коммутации Bridge будет участвовать CPU.

Fast Path

Fast Path — опция ИМХО бесполезная. Позволяет пропускать пакеты без обработки в ядре ОС. Как результат значительно увеличивает скорость. Естественно эту скорость маркетологи пишут на коробке микрота и в рекламе.

Fast Forward — примерно такая же опция, но она работает только на Bridge с двумя интерфейсами.

Настройка Bridge

Как видно, мы добавили все три порта в Bridge. Теперь все IP адреса должны «жить» на интерфейсе Bridge.
DHCP также должен быть привязан к интерфейсу Bridge

interface bridge port print

Если добавить в созданный Bridge интерфейсы wifi:

interface bridge port print

Как видно, на интерфейсах wlan отсутствует Hardware Offload. Это из-за того, что интерфейсы wlan «не живут» на чипе switch

Коммутация в MikroTik через Bridgeinterface

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

• DHCP
• Firewall
• QoS
• NAT

CCR1036-12G-4S Acess и Trunk порты

• Версия для печати

• Цитата

Добрый день столкнулся вроде как с тривиальной задачей(для меня так казалось) но на роутерах микротик я столкнулся с проблемой.
Имеется роутер CCR1036-12G-4S версию софта 6.42.6
задача стоит предо мной в следующем

1 порт идет в сторону провайдера он нам пока не интересен
2-3 порты в trunk
4-12 порты в acess
необходимо создать несколько интерфейс вланов 15,16,17
на каждом интерфейсе имеется своя сеть
vlan 15 — 10.15.0.0/16
vlan 16- 10.16.0.0/16
vlan 17 — 10.17.0.0/16

Идея такая порты 2 и 3 идут в разные коммутаторы crs125-24g и необходимо передать трафик в оба коммутатора тегированным с вланами 15,16,17.
Находил похожие варианты реализации, пробовал разные варианты настрое но трафик с тегом так и не увидел.
Настройки выполнял для влана 15 на роутере запускаю пинг на не существующий адрес 10.15.200.100 и с транкового порта снимаю дамп вижу арп запрос но без тега.
Прошу пояснить логику настройки, возможно не учел какой то нюанс.

• Цитата

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]

• Цитата

• Цитата

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]

• Цитата

Получилась следующая конфигурация. Со второго и третьего порта я увидел на коммутаторе трафик в нужных вланах(например в 16 влане я получил адрес из сети 10.116.0.0/16). Пытаюсь 5 порт настроить acess например в 16 влане, но адрес я не могу получить. Подскажите как мне правильно сделать настройку на порту например ether5 чтобы трафик попадал в 15 влан и был acess портом.
Выложил весь конфиг чтобы была полная картина настроек и софта.

# sep/17/2018 05:41:28 by RouterOS 6.43
# model = CCR1036-12G-4S
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge_trunk_acess
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Uplink speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] speed=100Mbps
set [ find default-name=ether12 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-full,100M-full,1000M-full
set [ find default-name=sfp2 ] advertise=10M-full,100M-full,1000M-full
set [ find default-name=sfp3 ] advertise=10M-full,100M-full,1000M-full
set [ find default-name=sfp4 ] advertise=10M-full,100M-full,1000M-full
/interface vlan
add interface=bridge_trunk_acess name=vlan5 vlan-id=5
add interface=bridge_trunk_acess name=vlan15 vlan-id=15
add interface=bridge_trunk_acess name=vlan16 vlan-id=16
add interface=bridge_trunk_acess name=vlan17 vlan-id=17
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool_v15 ranges=10.115.0.100-10.115.255.254
add name=pool_v16 ranges=10.116.0.100-10.116.255.254
add name=pool_v17 ranges=10.117.0.100-10.117.255.254
/ip dhcp-server
add add-arp=yes address-pool=pool_v15 disabled=no interface=vlan15 name=server_vlan_15
add add-arp=yes address-pool=pool_v16 disabled=no interface=vlan16 name=server_vlan_16
add add-arp=yes address-pool=pool_v17 disabled=no interface=vlan17 name=server_vlan_17
/interface bridge port
add bridge=bridge_trunk_acess frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=ether2 trusted=yes
add bridge=bridge_trunk_acess frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=ether3 trusted=yes
add bridge=bridge_trunk_acess frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=ether4 trusted=yes
add bridge=bridge_trunk_acess frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=15 trusted=yes
add bridge=bridge_trunk_acess frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=16 trusted=yes
add bridge=bridge_trunk_acess frame-types=admit-only-untagged-and-priority-tagged interface=ether7 pvid=17 trusted=yes
/interface bridge vlan
add bridge=bridge_trunk_acess tagged=ether2,ether3,ether4 untagged=ether5,ether6,ether7 vlan-ids=5,15,16,17
/ip address
add address=10.5.0.1/24 interface=vlan5 network=10.5.0.0
add address=10.115.0.1/16 interface=vlan15 network=10.115.0.0
add address=10.116.0.1/16 interface=vlan16 network=10.116.0.0
add address=10.117.0.1/16 interface=vlan17 network=10.117.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-Uplink
/ip dhcp-server network
add address=10.115.0.0/16 dns-server=8.8.8.8,8.8.4.4 gateway=10.115.0.1 netmask=16
add address=10.116.0.0/16 dns-server=8.8.8.8,8.8.4.4 gateway=10.116.0.1 netmask=16
add address=10.117.0.0/16 dns-server=8.8.8.8,8.8.4.4 gateway=10.117.0.1 netmask=16
/ip firewall nat
add action=masquerade chain=srcnat log-prefix=10.5.0.0/24 out-interface=ether1-Uplink src-address=10.5.0.0/24
add action=masquerade chain=srcnat out-interface=ether1-Uplink src-address=10.115.0.0/16
add action=masquerade chain=srcnat out-interface=ether1-Uplink src-address=10.116.0.0/16
add action=masquerade chain=srcnat out-interface=ether1-Uplink src-address=10.117.0.0/16
/system identity
set name=Router-1036
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.235 server-dns-names=,
/system routerboard settings
set silent-boot=no
[admin@Router-1036] >

Коммутация в Mikrotik — Bridge и Master-port

Коммутация портов MikroTik через Switch (Master Port)

В этом случае коммутация производится через чип свитча, в обход центрального процессора маршрутизатора. Обычно в SOHO маршрутизаторах Mikrotik используется одна свитч-группа на 5 портов, если портов больше — две свитч-группы. В устройствах Cloud Router Switch чипы коммутации на больше портов и имеют больше возможностей, подробней на них мы останавливаться в этой статье не будем.
Настроить коммутацию можно в разделе General каждого порта, просто выбрав в пункте Master Port. Это главный порт, через который будет происходить коммутация. Коммутация позволяет достичь проводной скорости обмена данными между портами одной группы, как между портами в обычном Ethernet-коммутаторе. Основной (master) порт будет являться портом, через который RouterOS будет сообщаться со всеми остальными портами данной группы. Интерфейсы, для которых задан master-порт, становятся неактивны – не учитывается поступивший и отправленный трафик. Фактически, как будто мы объединили порты физическим, «тупым» коммутатором (свитчем). В роутерах Mikrotik применяются следующие чипы коммутации:

• Atheros 8316 представлен в платах RB493G (ether1+ether6-ether9, ether2-ether5), RB1200 (ether1-ether5), RB450G (все порты (ether1 опционально)),RB435G (все порты (ether1 опционально)), RB750G, и в RB1100 (ether1-ether5, ether6-ether10).
• Atheros 8327 представлен в платах серии RB2011 (ether1-ether5+sfp1), RB750GL, RB751G-2HnD, а также в RB1100AH и RB1100AHx2 (ether1-ether5, ether6-ether10).
• Atheros8227 представлен в платах серии RB2011 (ether6-ether10).
• Atheros 7240 представлен в RB750 (ether2-ether5), RB750UP (ether2-ether5), RB751U-2HnD (ether2-ether5) и RB951-2n.
• ICPlus 175D представлен в более новых ревизиях RB450 (ether2-ether5) и в платах серии RB433 (ether2-ether3).
• ICPlus 175C представлен в некоторых RB450 (ether2-ether5) и в некоторых платах серии RB433 (ether2-ether3).
• ICPlus 178C представлен в платах серии RB493 (ether2-ether9) и в RB816.

Возможности чипов коммутации:

* Порт ether1 на RB450G имеет особенность, которая позволяет ему быть исключённым/добавленным из/в коммутируемой(ую) группы(у) по умолчанию. По умолчанию порт ether1 будет включён в группу коммутации. Данная конфигурация может быть изменена с помощью команды

«/interface ethernet switch set switch1 switch-all-ports=no».
switch-all-ports=yes/no:
«yes» означает, что порт ether1 является портом коммутатора и поддерживает создание групп коммутации и все остальные расширенные возможности чипа Atheros8316, включая расширенную статистику (/interface ethernet print stats).
«no» означает, что порт ether1 не является частью коммутатора, что, фактически, делает его самостоятельным Ethernet-портом – это способ увеличения пропускной способности между ним и другими портами в режимах сетевого моста и маршрутизации, но в то же время исключает возможность коммутации на этом порту. Коммутация через Switch является самой быстрой и производительной в маршрутизаторе, в тоже время имеет наименьшее количество возможностей. При этом:

• master Port можно назначить ТОЛЬКО внутри каждой группы;
• master Port может быть только ОДИН внутри switch-чипа;
• «Master» и «Slave» для чипа коммутации считаются равными;
• одно различие между «master» и «slave» — ТОЛЬКО главный порт обращается к CPU напрямую, ему назначается IP, он объединяется в Bridge и т.д.
• Две switch-group объединяются уже через bridge. В таком bridge будет только два master-port, ну может еще wifi, если такой есть (В этом случае трафик между двумя switch-group будет проходить через процессор.)

Итого, можно выделить несколько особенностей такого метода:

• каждый новый RouterBOARD с несколько Ethernet интерфейсам оснащен чипом Switch;
• при коммутации не используются ресурсы процессора;
• с ROS v.6 поддерживается VLAN Trunking (разруливать VLAN-ны можно без потери производительности основного ЦП).

Коммутация в MikroTik через Bridge-interface

Порты объединяются не напрямую, а программно, используя ресурсы центрального процессора маршрутизатора. К портам могут быть применены фильтры брандмауэра. Такое объединение так-же влияет на прохождение пакетов по упрощенной схеме (Fastpath). Если взять в пример 2011-серию маршрутизаторов, то ether1-ether5 объеденены в switch1 (Atheros 8327) а ether6-ether10 в switch2 (Atheros 8227), вы можете использовать только Bridge для объединения их в одно целое. Особенность данного метода:

• можно маршрутизировать и фильтровать пакеты между портами;
• возрастает нагрузка на процессор;
• можно объединять любые порты маршрутизатора;
• Wi-Fi интерфейс коммутируется ТОЛЬКО через Bridge;
• после объединения портов в Bridge IP-адрес назначается на «интерфейс Bridge», в классическом firewall правила применяем ко всем виртуальному интерфейсу. Правила применимые к портам прописываем в Bridge — NAT, Bridge — Filters;
• VLAN проходит через ЦП устройства Mikrotik.

Коммутация позволяет достичь проводной скорости (wire speed) обмена данными между портами одной группы, как между портами в обычном Ethernet-коммутаторе.

Пока пакет не достиг cpu-порта, его обработка полностью осуществляется логикой коммутатора, не требуя какого-либо участия центрального процессора, и эта обработка происходит с проводной скоростью при любом размере кадра.

Пропала опция Master-port и поле Switch

Не пугайтесь, это нормально, если прошивка вашего роутера 6.41 и выше. Теперь вся информация, которая передается на втором уровне модели OSI, будет передаваться через Bridge. Использование swich-чипа (hw-offload) будет автоматически активировано автоматически в случае такой возможности. По умолчанию при добавлении любого интерфейса в Bridge у него будет активирована опция «Hardware Offload», которая будет передавать всю информацию 2-го уровня через switch-чип. Если эту опцию убрать, то обработка будет осуществляться силами операционной системы.

При обновлении на RouterOS 6.41 и выше с RouterOS версий 6.40.5 и ниже все настройки master-port будут автоматически перенесены в Bridge-интерфейс. Если произвести downgrade до версии, которая поддерживает master-port, то настройки не будут возвращены на место. Настоятельно рекомендуется сделать резервную копию до обновления.

До обновления до RouterOS 6.41:

/interface ethernet set [ find default-name=ether1 ] name=ether1-WAN1 set [ find default-name=ether5 ] name=ether5-LAN1-master set [ find default-name=ether2 ] master-port=ether5-LAN1-master name=ether2-LAN1 set [ find default-name=ether3 ] master-port=ether5-LAN1-master name=ether3-LAN1 set [ find default-name=ether4 ] master-port=ether5-LAN1-master name=ether4-LAN1 /ip address add address=10.10.10.1/24 interface=ether1-WAN1 network=10.10.10.0 add address=192.168.0.1/24 interface=ether5-LAN1-master network=192.168.0.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-WAN1

После обновления на RouterOS 6.41 и старше:

/interface bridge add admin-mac=6C:3B:6B:4A:80:3D auto-mac=no comment=»created from master port» name=bridge1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] name=ether1-WAN1 set [ find default-name=ether2 ] name=ether2-LAN1 set [ find default-name=ether3 ] name=ether3-LAN1 set [ find default-name=ether4 ] name=ether4-LAN1 set [ find default-name=ether5 ] name=ether5-LAN1-master /interface bridge port add bridge=bridge1 interface=ether2-LAN1 add bridge=bridge1 interface=ether3-LAN1 add bridge=bridge1 interface=ether4-LAN1 add bridge=bridge1 interface=ether5-LAN1-master /ip neighbor discovery-settings set discover-interface-list=!dynamic /ip address add address=10.10.10.1/24 interface=ether1-WAN1 network=10.10.10.0 add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-WAN1