Настройка VLAN в CAPsMAN MikroTik
Пошаговое руководство по настройке VLAN в CAPsMAN MikroTik для организации бесшовного Wi-Fi роуминга. В примере используется разделение трафика с помощью VLAN-тегов для локальной (LAN) и гостевой (Guest) беспроводных сетей.
Данная настройка VLAN на оборудовании MikroTik является частью сетевой инфраструктуры:
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Пример конфигурации VLAN в CAPsMAN на MikroTik
Для более полного понимания настройки VLAN на MikroTik рассмотрим практический пример инфраструктуры с использованием VLAN как на Ethernet-интерфейсах, так и в беспроводной сети через CAPsMAN WiFi. В схеме применяются два маршрутизатора MikroTik hAP ac lite tower:
- MikroTik-1 — основной маршрутизатор, на котором настроены CAPsMAN, VLAN, DHCP Server, NAT и другие сервисы.
- MikroTik-2 — точка доступа с активированным режимом CAP.
Важно: оба устройства MikroTik предварительно настроены для работы с CAPsMAN, однако без применения VLAN. Это базовая конфигурация, на основе которой будет выполняться дальнейшая настройка сегментации трафика.
Для всех устройств MikroTik, участвующих в данной конфигурации, используется команда:
/system reset-configuration no-defaults=yes skip-backup=yesЭта операция полностью сбрасывает настройки роутера и подготавливает оборудование к последующей настройке VLAN и CAPsMAN.
Сброс настроек MikroTik через Winbox
Меню: System → Reset Configuration
Настройка VLAN в CAPsMAN для Wi-Fi точки доступа MikroTik-2
При применении настроек VLAN на MikroTik через Ethernet-порты основного роутера (MikroTik-1) может возникнуть потеря связи с точкой доступа MikroTik-2. Причина — отсутствие корректно заданного VLAN ID на тегированных (trunk) портах.
Пошаговая настройка MikroTik-2 в режиме CAPsMAN включает:
Пошаговая настройка MikroTik-2 в режиме CAPsMAN включает:
- Применение базовой конфигурации для работы в режиме CAP и подключение к контроллеру CAPsMAN.
- Добавление VLAN-интерфейсов и настройка IP-параметров.
- Конфигурирование VLAN для тегированных (trunk) и нетегированных (access) портов.
Описание интерфейсов точки доступа MikroTik-2 при настройке VLAN:
- Ether1 — тегированный (trunk) порт с VLAN ID 200 и 500.
- Ether2–Ether5 — нетегированные (access) порты для VLAN ID 500.
- Wlan1 — беспроводной интерфейс 2.4 ГГц, используется для корпоративной сети (VLAN ID 300) и гостевой сети (VLAN ID 500).
- Wlan2 — беспроводной интерфейс 5 ГГц, также для корпоративной (VLAN ID 300) и гостевой (VLAN ID 500) сетей.
- Vlan-200 — управленческий (management) VLAN.
- Vlan-500 — VLAN для Ethernet-клиентов локальной сети (LAN).
Важно: точка доступа MikroTik-2 заранее настроена для работы в режиме CAP и подключена к контроллеру CAPsMAN, однако без применения VLAN.
Предварительная конфигурация точки доступа Wi-Fi MikroTik-2
# nov/28/2020 15:23:40 by RouterOS 6.46.8
# software id = IT5K-H6ER
#
# model = RB952Ui-5ac2nD
# serial number = D3D50C2AA773
/interface bridge
add admin-mac=EA:14:AA:61:09:9B auto-mac=no name=Bridge-LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether5
add bridge=Bridge-LAN interface=wlan1
add bridge=Bridge-LAN interface=wlan2
/ip dhcp-client
add disabled=no interface=Bridge-LAN
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-Ap-1Добавление Management VLAN на MikroTik-2
Меню: Interface → VLAN
Добавление VLAN для домашней сети на MikroTik-2
Включение VLAN на мосте Bridge-LAN для MikroTik-2
Меню: Bridge → Bridge
Настройка тегированных (trunk) портов на MikroTik-2
Меню: Bridge→VLANs
Настройка нетегированных (access) портов на MikroTik-2
Активация фильтрации VLAN для нетегированных (access) портов на MikroTik-2
Настройка находится Bridge → Ports
Настройка сети для Management VLAN на MikroTik-2
Меню: IP→DHCP client
Настройка сети для домашней VLAN на MikroTik-2
Список активных DHCP клиентов по VLAN на MikroTik-2
Активация режима CAP на точке доступа Wi-Fi MikroTik-2
Меню: Wireless→WiFi Interfaces→CAP
Важно: настройки VLAN (ID 300 и 400) для Wi-Fi сетей на стороне точки доступа MikroTik-2 выполнять не требуется. Тегирование этих интерфейсов выполняется контроллером CAPsMAN на MikroTik-1
Готовая конфигурация точки доступа Wi-Fi MikroTik-2
# nov/29/2020 10:46:33 by RouterOS 6.47.7
# software id = IT5K-H6ER
#
# model = RB952Ui-5ac2nD
# serial number = D3D50C2AA773
/interface bridge
add admin-mac=EA:14:AA:61:09:9B auto-mac=no name=Bridge-LAN vlan-filtering=\
yes
/interface wireless
# managed by CAPsMAN
# channel: 2442/20-Ce/gn(28dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(15dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=Bridge-LAN name=Vlan-200 vlan-id=200
add interface=Bridge-LAN name=Vlan-500 vlan-id=500
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2 pvid=500
add bridge=Bridge-LAN interface=ether3 pvid=500
add bridge=Bridge-LAN interface=ether4 pvid=500
add bridge=Bridge-LAN interface=ether5 pvid=500
add bridge=Bridge-LAN interface=wlan1
add bridge=Bridge-LAN interface=wlan2
/interface bridge vlan
add bridge=Bridge-LAN tagged=Bridge-LAN,ether1 vlan-ids=200
add bridge=Bridge-LAN tagged=Bridge-LAN,ether1 untagged=\
ether2,ether3,ether4,ether5 vlan-ids=500
/interface wireless cap
#
set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=\
wlan1,wlan2
/ip dhcp-client
add disabled=no interface=Vlan-200
add add-default-route=no disabled=no interface=Vlan-500
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-Ap-1
Настройка VLAN в CAPsMAN на роутере MikroTik-1
Описание интерфейсов роутера MikroTik-1:
- Ether1 — порт подключения интернет-провайдера.
- Ether2 — тегированный (trunk) порт с VLAN ID 200 и 500, используется как uplink на точку доступа MikroTik-2.
- Ether3–Ether5 — нетегированные (access) порты для VLAN ID 200.
- Wlan1 — беспроводной интерфейс 2.4 ГГц, где будут работать корпоративная сеть (VLAN ID 300) и гостевая сеть (VLAN ID 500).
- Wlan2 — беспроводной интерфейс 5 ГГц, также для корпоративной (VLAN ID 300) и гостевой (VLAN ID 500) сетей.
- Vlan-200 — управленческий (management) VLAN.
- Vlan-300 — VLAN для Wi-Fi клиентов корпоративной сети (LAN).
- Vlan-400 — VLAN для Wi-Fi клиентов гостевой сети (Guest).
- Vlan-500 — VLAN для Ethernet клиентов локальной сети (LAN).
Важно: роутер MikroTik-1 предварительно настроен для работы контроллера Wi-Fi CAPsMAN, но без использования VLAN
Предварительная конфигурация роутера MikroTik-1
# nov/28/2020 15:05:12 by RouterOS 6.47.7
# software id = Y4Y9-IKRK
#
# model = RB952Ui-5ac2nD
# serial number = D3D50CFDE400
/caps-man channel
add band=2ghz-b/g/n name=2G
add band=5ghz-a/n/ac name=5G
/interface bridge
add name=Bridge-Guest
add admin-mac=1A:D2:D1:B2:42:7A auto-mac=no name=Bridge-LAN
/interface wireless
# managed by CAPsMAN
# channel: 2447/20-eC/gn(28dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(15dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/caps-man datapath
add bridge=Bridge-LAN client-to-client-forwarding=yes name=Datapath-LAN
add bridge=Bridge-Guest name=Datapath-Guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security-LAN passphrase=mikrotikconfigukr
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security-Guest passphrase=22224444
/caps-man configuration
add channel=2G country=no_country_set datapath=Datapath-LAN mode=ap name=\
Cfg-2G-LAN security=Security-LAN ssid=MT
add channel=5G country=no_country_set datapath=Datapath-LAN mode=ap name=\
Cfg-5G-LAN security=Security-LAN ssid=MT
add channel=2G country=no_country_set datapath=Datapath-Guest mode=ap name=\
Cfg-2G-Guest security=Security-Guest ssid=MT-G
add channel=5G country=no_country_set datapath=Datapath-Guest mode=ap name=\
Cfg-5G-Guest security=Security-Guest ssid=MT-G
/caps-man interface
add configuration=Cfg-2G-LAN disabled=no l2mtu=1600 mac-address=\
48:8F:5A:78:3E:11 master-interface=none name=2G-MikroTik-GW-1 radio-mac=\
48:8F:5A:78:3E:11 radio-name=488F5A783E11
add configuration=Cfg-2G-Guest disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:78:3E:11 master-interface=2G-MikroTik-GW-1 name=\
2G-MikroTik-GW-1-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5A783E11
add configuration=Cfg-5G-LAN disabled=no l2mtu=1600 mac-address=\
48:8F:5A:78:3E:10 master-interface=none name=5G-MikroTik-GW-1 radio-mac=\
48:8F:5A:78:3E:10 radio-name=488F5A783E10
add configuration=Cfg-5G-Guest disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:78:3E:10 master-interface=5G-MikroTik-GW-1 name=\
5G-MikroTik-GW-1-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5A783E10
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=Ip-Pool-LAN ranges=10.113.96.2-10.113.96.254
add name=Ip-Pool-Guest ranges=10.113.0.2-10.113.0.254
/ip dhcp-server
add address-pool=Ip-Pool-LAN disabled=no interface=Bridge-LAN lease-time=3d \
name=DHCP-LAN
add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=\
4h name=DHCP-Guest
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
Cfg-2G-LAN name-format=prefix-identity name-prefix=2G \
slave-configurations=Cfg-2G-Guest
add action=create-enabled hw-supported-modes=ac master-configuration=\
Cfg-5G-LAN name-format=prefix-identity name-prefix=5G \
slave-configurations=Cfg-5G-Guest
/interface bridge port
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether5
add bridge=Bridge-LAN interface=wlan1
add bridge=Bridge-LAN interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=Bridge-LAN list=LAN
/interface wireless cap
#
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=10.113.96.1/24 interface=Bridge-LAN network=10.113.96.0
add address=10.113.0.1/24 interface=Bridge-Guest network=10.113.0.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=10.113.0.0/24 gateway=10.113.0.1
add address=10.113.96.0/24 dns-server=10.113.96.1 gateway=10.113.96.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=forward in-interface-list=LAN
add action=accept chain=input in-interface-list=LAN
add action=accept chain=input in-interface-list=WAN protocol=icmp
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
out-interface-list=WAN
add action=drop chain=forward in-interface=Bridge-Guest
add action=drop chain=input in-interface=Bridge-Guest
add action=drop chain=input in-interface-list=WAN
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-GW
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANПосле применения настроек на MikroTik формируется стандартная конфигурация CAPsMAN с корпоративной (LAN) и гостевой (Guest) Wi-Fi сетью. Следующие шаги включают дополнительные параметры для роутера MikroTik-1, необходимые для полноценного функционирования и сегментации трафика через VLAN.
Добавление моста (Bridge) для Wi-Fi сети на MikroTik-1
Настройка находится Bridge → Bridge
Обновление параметров Datapath для LAN-сети на MikroTik-1
Настройка находится CAPsMAN→Datapaths
Обновление параметров Datapath для Guest-сети на MikroTik-1
VLAN Mode — определяет, как будет использоваться VLAN на интерфейсе:
- no tag — VLAN ID не применяется, фильтрация пакетов по тегам отсутствует.
- use service tag — используется вложенный VLAN (802.1QinQ), когда стандартных 4096 VLAN недостаточно.
- use tag — каждому пакету присваивается указанный VLAN ID.
Добавление VLAN для управленческого (management) трафика на MikroTik-1
Настройка находится Interface→VLAN
Добавление VLAN для Wi-Fi клиентов LAN-сети на MikroTik-1
Добавление VLAN для Wi-Fi клиентов Guest-сети на MikroTik-1
Добавление VLAN для Ethernet-клиентов LAN-сети на MikroTik-1
Список IP-адресов до включения VLAN на MikroTik-1
Настройка находится IP → Addresses
Обновление IP-адреса для VLAN на MikroTik-1
Настройка DHCP-сервера для VLAN на MikroTik-1
Настройка находится IP→DHCP Server
Настройка сетевых параметров VLAN на MikroTik-1
Настройка находится IP → DHCP Server → Networks
Задаём пул (диапазон) IP-адресов для работы VLAN на MikroTik-1
Конфигурация выполняется в разделе IP → Pool
Включение VLAN на мосте Bridge-LAN на MikroTik-1
Конфигурация выполняется в разделе Bridge → Bridge
Включение VLAN на мосте Bridge-Guest на MikroTik-1
Включение VLAN на мосте Bridge-WiFi на MikroTik-1
Конфигурация тегированных и нетегированных портов с VLAN ID 200 на MikroTik-1
Конфигурация выполняется в разделе Bridge→VLANs
Конфигурация тегированных портов с VLAN ID 300 на MikroTik-1
Конфигурация тегированных портов с VLAN ID 400 на MikroTik-1
Конфигурация тегированных и нетегированных портов с VLAN ID 500 на MikroTik-1
Фильтрация по VLAN ID на нетегированном (access) порту MikroTik-1
Заключительный шаг для полноценной работы VLAN — обновление правил Firewall, однако данный процесс выходит за рамки текущей инструкции.
Готовая конфигурация роутера MikroTik-1
# nov/29/2020 13:14:02 by RouterOS 6.47.7
# software id = Y4Y9-IKRK
#
# model = RB952Ui-5ac2nD
# serial number = D3D50CFDE400
/caps-man channel
add band=2ghz-b/g/n name=2G
add band=5ghz-a/n/ac name=5G
/interface bridge
add name=Bridge-Guest vlan-filtering=yes
add admin-mac=1A:D2:D1:B2:42:7A auto-mac=no name=Bridge-LAN vlan-filtering=\
yes
add admin-mac=1E:42:BC:AF:2A:1B auto-mac=no name=Bridge-WiFi vlan-filtering=\
yes
/interface wireless
# managed by CAPsMAN
# channel: 2442/20-eC/gn(28dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5785/20-eeCe/ac(28dBm), SSID: MT, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=Bridge-LAN name=Vlan-200 vlan-id=200
add interface=Bridge-WiFi name=Vlan-300 vlan-id=300
add interface=Bridge-Guest name=Vlan-400 vlan-id=400
add interface=Bridge-LAN name=Vlan-500 vlan-id=500
/caps-man datapath
add bridge=Bridge-WiFi client-to-client-forwarding=yes name=Datapath-LAN \
vlan-id=300 vlan-mode=use-tag
add bridge=Bridge-Guest name=Datapath-Guest vlan-id=400 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security-LAN passphrase=mikrotikconfigukr
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security-Guest passphrase=22224444
/caps-man configuration
add channel=2G country=no_country_set datapath=Datapath-LAN mode=ap name=\
Cfg-2G-LAN security=Security-LAN ssid=MT
add channel=5G country=no_country_set datapath=Datapath-LAN mode=ap name=\
Cfg-5G-LAN security=Security-LAN ssid=MT
add channel=2G country=no_country_set datapath=Datapath-Guest mode=ap name=\
Cfg-2G-Guest security=Security-Guest ssid=MT-G
add channel=5G country=no_country_set datapath=Datapath-Guest mode=ap name=\
Cfg-5G-Guest security=Security-Guest ssid=MT-G
/caps-man interface
add configuration=Cfg-2G-LAN disabled=no mac-address=48:8F:5A:78:3D:4D \
master-interface=none name=2G-MikroTik-Ap-1-1 radio-mac=48:8F:5A:78:3D:4D \
radio-name=488F5A783D4D
add configuration=Cfg-2G-Guest disabled=no mac-address=4A:8F:5A:78:3D:4D \
master-interface=2G-MikroTik-Ap-1-1 name=2G-MikroTik-Ap-1-1-1 radio-mac=\
00:00:00:00:00:00 radio-name=4A8F5A783D4D
add configuration=Cfg-2G-LAN disabled=no l2mtu=1600 mac-address=\
48:8F:5A:78:3E:11 master-interface=none name=2G-MikroTik-GW-1 radio-mac=\
48:8F:5A:78:3E:11 radio-name=488F5A783E11
add configuration=Cfg-2G-Guest disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:78:3E:11 master-interface=2G-MikroTik-GW-1 name=\
2G-MikroTik-GW-1-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5A783E11
add configuration=Cfg-5G-LAN disabled=no mac-address=48:8F:5A:78:3D:4C \
master-interface=none name=5G-MikroTik-Ap-1-1 radio-mac=48:8F:5A:78:3D:4C \
radio-name=488F5A783D4C
add configuration=Cfg-5G-Guest disabled=no mac-address=4A:8F:5A:78:3D:4C \
master-interface=5G-MikroTik-Ap-1-1 name=5G-MikroTik-Ap-1-1-1 radio-mac=\
00:00:00:00:00:00 radio-name=4A8F5A783D4C
add configuration=Cfg-5G-LAN disabled=no l2mtu=1600 mac-address=\
48:8F:5A:78:3E:10 master-interface=none name=5G-MikroTik-GW-1 radio-mac=\
48:8F:5A:78:3E:10 radio-name=488F5A783E10
add configuration=Cfg-5G-Guest disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:78:3E:10 master-interface=5G-MikroTik-GW-1 name=\
5G-MikroTik-GW-1-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5A783E10
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=Ip-Pool-LAN ranges=192.168.20.100-192.168.20.254
add name=Ip-Pool-Guest ranges=192.168.40.100-192.168.40.254
add name=Ip-Pool-WiFi ranges=192.168.30.100-192.168.30.254
add name=Ip-Pool-Home ranges=192.168.50.100-192.168.50.254
/ip dhcp-server
add address-pool=Ip-Pool-LAN disabled=no interface=Vlan-200 lease-time=3d \
name=DHCP-LAN
add address-pool=Ip-Pool-Guest disabled=no interface=Vlan-400 lease-time=4h \
name=DHCP-Guest
add address-pool=Ip-Pool-WiFi disabled=no interface=Vlan-300 lease-time=4h \
name=DHCP-WiFi
add address-pool=Ip-Pool-Home disabled=no interface=Vlan-500 lease-time=1d \
name=DHCP-Home
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
Cfg-2G-LAN name-format=prefix-identity name-prefix=2G \
slave-configurations=Cfg-2G-Guest
add action=create-enabled hw-supported-modes=ac master-configuration=\
Cfg-5G-LAN name-format=prefix-identity name-prefix=5G \
slave-configurations=Cfg-5G-Guest
/interface bridge port
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether5 pvid=200
add bridge=Bridge-LAN interface=wlan1
add bridge=Bridge-LAN interface=wlan2
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2,ether4 untagged=ether5 \
vlan-ids=200
add bridge=Bridge-WiFi tagged="Bridge-WiFi,2G-MikroTik-GW-1,5G-MikroTik-GW-1,2\
G-MikroTik-Ap-1-1,5G-MikroTik-Ap-1-1" vlan-ids=300
add bridge=Bridge-Guest tagged="Bridge-Guest,2G-MikroTik-GW-1-1,5G-MikroTik-GW\
-1-1,2G-MikroTik-Ap-1-1-1,5G-MikroTik-Ap-1-1-1" vlan-ids=400
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2 vlan-ids=500
/interface list member
add interface=ether1 list=WAN
add interface=Vlan-200 list=LAN
/interface wireless cap
#
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.20.1/24 interface=Vlan-200 network=192.168.20.0
add address=192.168.40.1/24 interface=Vlan-400 network=192.168.40.0
add address=192.168.30.1/24 interface=Vlan-300 network=192.168.30.0
add address=192.168.50.1/24 interface=Vlan-500 network=192.168.50.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
netmask=24
add address=192.168.30.0/24 dns-server=1.1.1.1 gateway=192.168.30.1 netmask=\
24
add address=192.168.40.0/24 dns-server=1.1.1.1 gateway=192.168.40.1 netmask=\
24
add address=192.168.50.0/24 dns-server=1.1.1.1 gateway=192.168.50.1 netmask=\
24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=forward in-interface-list=LAN
add action=accept chain=input in-interface-list=LAN
add action=accept chain=input in-interface-list=WAN protocol=icmp
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
out-interface-list=WAN
add action=drop chain=forward disabled=yes in-interface=Bridge-Guest
add action=drop chain=input disabled=yes in-interface=Bridge-Guest
add action=drop chain=input in-interface-list=WAN
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip service
set telnet disabled=yes
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-GWVLAN для CAPsMAN с использованием Local Forwarding
Local Forwarding в CAPsMAN MikroTik — режим, при котором трафик клиентов обрабатывается самой точкой доступа Wi-Fi. Такая схема позволяет безопасно изолировать гостевые и корпоративные сети внутри VLAN и эффективно управлять беспроводной инфраструктурой.
Этапы настройки:
Этапы настройки:
- Конфигурация параметра VLAN Mode в контроллере CAPsMAN MikroTik.
- Подключение точки доступа Wi-Fi к CAPsMAN с применением VLAN.
Настройка Local Forwarding и VLAN Mode в CAPsMAN
Изменения будут касаться исключительно VLAN. Предполагается, что инфраструктура уже настроена: контроллер CAPsMAN MikroTik работает, а точки доступа успешно подключены. На следующем этапе требуется определить параметры VLAN и протестировать корректность их функционирования.
Определение VLAN на мосте (Bridge)
VLAN необходимо задать только на локальном мосте (Local Bridge).
Конфигурация выполняется в разделе Interfaces → VLAN
Конфигурация выполняется в разделе Interfaces → VLAN
Конфигурирование Datapath
Конфигурация выполняется в разделе CAPsMAN → Datapaths
Включение фильтрации VLAN на мосте (Bridge)
Конфигурация выполняется в разделе Bridge→Bridge
Задание trunk-интерфейсов
Конфигурация выполняется в разделе Bridge→VLANs
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=datapath-LAN
add local-forwarding=yes name=datapath-Vlan-3 vlan-id=3 vlan-mode=use-tag
add local-forwarding=yes name=datapath-Vlan-4 vlan-id=4 vlan-mode=use-tag
/interface bridge
add admin-mac=AE:F6:A2:2C:81:0B auto-mac=no name=Bridge-LAN vlan-filtering=yes
/interface vlan
add interface=Bridge-LAN name=Vlan-3 vlan-id=3
add interface=Bridge-LAN name=Vlan-4 vlan-id=4
/interface bridge vlan
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2 vlan-ids=3
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2 vlan-ids=4
/system identity
set name=MikroTik-CAPsMANВ данной инструкции не рассматриваются следующие настройки:
- Назначение IP-адресов и DHCP-серверов для VLAN (они должны задаваться отдельно).
- Подробная конфигурация CAPsMAN с учётом существующих Datapaths.
Настройка VLAN для точки доступа в режиме Local Forwarding
Для Wi-Fi точки доступа MikroTik достаточно указать параметры VLAN и настроить тегированные (trunk) порты. Такой метод является простым и эффективным решением, позволяющим обойтись без настройки динамических CAPs-интерфейсов и обеспечивающим корректную работу сети в режиме Local Forwarding.
Задание VLAN на мосте (Bridge)
Настройка находится Interfaces→VLAN
Включение фильтрации VLAN на мосте Bridge
Конфигурация выполняется в разделе Bridge → Bridge
Задание trunk-интерфейсов на мосте Bridge
Конфигурация выполняется в разделе Bridge→VLANs
/interface bridge
add admin-mac=AA:B3:B9:A4:DE:D1 auto-mac=no name=Bridge-LAN vlan-filtering=yes
/interface vlan
add interface=Bridge-LAN name=Vlan-3 vlan-id=3
add interface=Bridge-LAN name=Vlan-4 vlan-id=4
/interface bridge vlan
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2 vlan-ids=3
add bridge=Bridge-LAN tagged=Bridge-LAN,ether2 vlan-ids=4
/system identity
set name=MikroTik-ApРЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.