Микросети: настройка коммутации

Привет, читатель!

У меня в квартире есть множество вещей, которым требуется постоянный доступ к локальной сети и интернету. Планируя ремонт, я учел подключение приставок, телевизоров и ПК по кабелю для стабильности. Однако такой вариант ограничивается возможностями маршрутизатора, который в лучшем случае имеет до десяти портов. Мне же их нужно не менее 11, а для некоторых устройств необходимо POE. Кроме того, для надежного соединения ноутбуков, телефонов и портативных приставок стандартом стали Wi-Fi зоны 5 ГГц.

Чтобы это все реализовать, я подключил и настроил коммутатор и точку доступа, которые когда-то покупал для экспериментов. В статье привожу описание настроек. Это решение легко масштабировать на небольшую компанию. Нужно лишь добавить несколько коммутаторов уровня агрегации и доступа, а также точки доступа для покрытия всей территории.

Используйте оглавление, если не хотите читать текст полностью:

→ Подготовка ^[1]
→ Настройка устройств ^[2]
→ Настройка маршрутизатора ^[3]
→ Настройка коммутатора ^[4]
→ Настройка точки доступа ^[5]
→ Заключение ^[6]

Сперва подключим в сеть и дадим доступ в интернет простым клиентам (ноутбукам, телефонам), а также добавим сервер разработки (IPMI и proxmox). Получается такая схема:

В качестве коммутатора я взял CRS112, который имеет восемь портов с POE и четыре SFP-разъема, в которые установлены китайские гигабитные модули с момента покупки. Для точки доступа выбран wAP ac.

На предыдущем месте работы был интересный кейс: предоставить удаленным кампусам доступ в интернет и к локальным ресурсам. Для этого взяли существующие cAP ac и eltex. С каждого cAP настроили VPN до двух центральных кампусов и OSPF, выделив каждое здание в отдельную зону. Подобная типовая конфигурация помогла оперативно развернуть сети, по сути, клонируя и донастраивая всего два устройства. В дальнейшем через созданные туннели пустили не только локальные данные, но и IP-телефонию, и мониторинг устройств.

При первом включении wAP и cAP срабатывает интересная фишка: к ним можно подключиться по Wi-Fi для начальной конфигурации. Для этого достаточно выбрать сеть формата <Mikrotik-FFFFFF>, где FFFFFF — это последние три байта MAC-адреса:

Проходим процедуру предварительной подготовки новых устройств аналогично тому, как это делали в предыдущей статье о настройке микросети ^[7]. Далее заводим VLAN на всех настраиваемых устройствах для управленческой и других сетей:

/interface bridge add name="br-lan" protocol-mode=none vlan-filtering=yes
/interface vlan add name=v-50-adm vlan-id=50 interface=br-lan

И вешаем на эти VLAN IP-адреса:

• для коммутатора — /ip address
  add address=10.0.50.253/24 interface=v-50-adm network=10.0.50.0
• для точки доступа — /ip address add address=10.0.50.252/24 interface=v-50-adm network=10.0.50.0

Изначально у меня была другая конфигурация ^[7] настройки маршрутизатора, которая подходила как временное решение. В этой статье я скорректировал работу для целевого варианта.

Вот материалы, которые, на мой взгляд, могут быть полезны по этой теме:

• видео о настройке ^[8]маршрутизатора ^[8] на switch chip,
• документация о настройке LAG между виртуальными серверами ^[9],
• документация о настройке LAG в MikroTik ^[10].

На центральном маршрутизаторе необходимо освободить порты, так как все устройства будут теперь подключаться через коммутатор. Для этого убираем их из бриджа и VLAN:

/interface bridge vlan 
remove numbers=0
/interface bridge port
remove numbers=0,1,2,4

Также отключаем временную точку доступа. Теперь все пользователи будут ходить через wAP.

/interface wireless disable wlan

В качестве эксперимента настрою LAG (bonding в MikroTik). LAG, или Link Aggregation Group — это технология объединения нескольких каналов связи в один. Она позволяет увеличить производительность интерфейсов и создать более отказоустойчивое решение. Полезно, когда кто-то случайно выдернет один провод. Такая настройка не обязательна в маленькой сети и показана только как пример. Порты ether1 и ether2 объединяются в bonding всего парой команд:

/interface bonding  
add name=bond-sw1 slaves=ether1,ether2

Созданный интерфейс отображается в настройках и его можно добавить в bridge, выведя все необходимые VLAN на него:

/interface bridge port  
add bridge=br-lan interface=bond-sw1 pvid=50

/interface bridge vlan
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=10
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=40
add bridge=br-lan tagged=br-lan,bond-sw1 vlan-ids=50

Настройка коммутации на роутере на этом завершена.

В этом разделе я выполню простую настройку коммутатора, которую можно улучшить, например, используя switch chip ^[11].

Полезное видео о повышении отказоустойчивости сети ^[12] на базе коммутаторов MikroTik.

Проводим настройку LAG на стороне коммутатора. Для этого соединяем два интерфейса (7 и 8), добавляем VLAN и интерфейсы в него:

/interface bonding  
add name=bond-isr1 slaves=ether7,ether8
/interface bridge port  
add bridge=br-lan interface=bond-isr1 pvid=50
/interface bridge vlan
add bridge=br-lan tagged=br-lan,bond-isr1 vlan-ids=50

Соединив все проводами, можем увидеть с интерфейса маршрутизатора коммутатор (и наоборот) в сети:

Аналогичная картинка отображается в winbox, если вы предварительно отдали для настройки управленческий VLAN в access:

Теперь нужно донастроить коммутатор. Для всех портов, предназначенных для клиентских устройств на всякий случай отключаю PoE и ставлю комментарии, чтобы не забыть, что и куда подключено:

/interface ethernet
set ether1 comment=kitchen-tv poe-out=off
set ether2 comment=room-tv poe-out=off
set ether3 comment=room-ps poe-out=off
set ether4 comment=room-alice poe-out=off
set ether5 comment=room-ws1 poe-out=off
set ether6 comment=hall-isr2 poe-out=forced-on
set ether7 comment=hall-bond-sw1 poe-out=off
set ether8 poe-out=forced-on
set sfp9 comment=room-pc1
set sfp10 comment=room-pc2
set sfp11 comment=srv-common
set sfp12 comment=srv-ipmi

На этапе ремонта для своего удобства мы вывели все интерфейсы в одно место и позже организовали их с помощью патч-панели. Казалось бы, это мелочь, но очень красиво выглядит. А главное, это еще и удобно.

Всем пользовательским устройствам и IPMI отдаем трафик в access, а точке доступа и серверу — в trunk:

/interface bridge port
add bridge=br-lan interface=ether1 frame-types=admit-only-untagged-and-priority-tagged pvid=10
…
add bridge=br-lan interface=ether5 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp9 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp10 frame-types=admit-only-untagged-and-priority-tagged pvid=10
add bridge=br-lan interface=sfp12 frame-types=admit-only-untagged-and-priority-tagged pvid=40
 
add bridge=br-lan interface=ether6 frame-types=admit-only-vlan-tagged 
add bridge=br-lan interface=sfp11 frame-types=admit-only-vlan-tagged 
 
/interface bridge vlan
add bridge=br-lan tagged=bond-isr1,ether6,sfp12 untagged=ether1,ether2,ether3,ether4,ether5,sfp9,sfp10 vlan-ids=10
add bridge=br-lan tagged=bond-isr1,sfp12 untagged=sfp11 vlan-ids=40

На этом этапе настройка коммутатора завершена. Также можно рассмотреть настройку на switch chip, которая хорошо описана в статье о возможностях чипа коммутации ^[13].

Этот раздел посвящен настройке точки доступа через CAPsMAN. Подобный подход позволяет управлять множеством точек доступа, централизованно меняя настройки беспроводной сети.

Еще немного полезных материалов по теме:

• подробнее о настройке CAPsMAN в новых версиях ^[14],
• дополнительно о настройке роуминга ^[15].

Диаграмма направленности выбранной wAP имеет форму окружности при вертикальном монтаже. Это позволяет монтировать устройство на стену, а не на потолок (как в случае с cAP). Сама точка доступа выглядит достаточно лаконично и просто. Я расположил ее в геометрическом центре квартиры, а не в углу коридора, как это часто делают. Так можно покрыть зоной Wi-Fi всю площадь помещения.

Начнем конфигурирование с настройки интерфейса связи с коммутатором. Аплинком для wAP я выбрал первый порт, так как он PoE in и в дальнейшем устройство будет работать только через него. Как и ранее, добавляем его в bridge, вешаем нужные VLAN-сети:

/interface bridge port add bridge=br-lan interface=ether1
/interface comment ether1 comment="super-SW1"
/interface bridge vlan
add bridge=br-lan vlan-ids=10 tagged=wlan1,wlan2,ether1 
add bridge=br-lan vlan-ids=50 tagged=br-lan,ether1

Теперь можно приступить к настройке беспроводной сети. Для этого тоже есть несколько вариантов. Первый и простой — настроить точку доступа в режиме ap bridge и дело с концом. Однако ради этого я бы не стал писать целый раздел.

Так что рассмотрим настройку вторым способом, через CAPsMAN. По сути, это приложение в экосистеме MikroTik, которое позволяет распространять конфигурацию беспроводной сети подключенным точкам доступа. Работа с этим инструментом принципиально не отличается от настройки самостоятельной точки доступа.

Для удобства в меню CAPsMAN есть множество вкладок, каждая из которых попадает в конфигурацию интерфейсов. Аналогично локальной настройке добавляем все конфигурации:

• Безопасность — /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm name=cap-common-sec passphrase=«xxxxxxxxx»,
• Направление трафика пользователей — /caps-man datapath add bridge=br-lan name=cap-common-datapath vlan-id=10 vlan-mode=use-tag.

Добавляем CAP для каждого диапазона конфигурации. Для этого открываем в winbox меню CAPsMAN, вкладку Configurations и жмем «плюс». В появившемся окне заполняем поля по следующему шаблону:

Во вкладках datapath и Security добавляем ранее созданные параметры:

Последней настройкой добавляем автоматическую отдачу конфигурации каждой подключенной и преднастроенной точке доступа. Для этого в разделе provisioning добавляем запись следующего вида:

На скриншоте выше Hw.Supported Modes — стандарты точек доступа, к которым применимы эти настройки, Master Configuration — ранее созданная конфигурация, Action — создание интерфейса в capsman и включение в работу. Name Format и Name prefix отвечают за отображение названия автоматически добавленной точки.

Аналогичным образом добавляем все настройки для 5 ГГц диапазона.

На стороне каждой точки доступа (в этой статье — только wAP), которая будет работать, выполняем следующую настройку для подключения к CAPsMAN:

Или в консоли:

/interface wireless cap set discovery-interfaces=v-50-adm interfaces=wlan1,wlan2 bridge=br-lan enabled=yes

В случае успешной настройки в winbox-панели интерфейсы точки доступа окрасятся в серый цвет с комментарием «управляется CAP»:

А в панели самого CAP появятся новые интерфейсы:

В рамках этой статьи мы реализовали большую часть желаемой конфигурации. Мое решение можно адаптировать под потребности небольшой компании. Для домашних условий я, возможно, упрощу конфигурацию. Сейчас она работает стабильно и позволяет выполнять не только рабочие задачи, но и играть по сети и «коммутироваться с другими абонентами по всей России».