CAPsMAN - повсеместное внедрение и плюшки
Добавлено: 24 май 2015, 14:07
Доброго времени суток, Форумчане =)
Если тема не нова, прошу модеров "грохнуть" это сообщение)) Просто хотел поделиться опытом внедрения CAPsMAN во всех своих точках.
По поводу настройки контроллера и подключении ведомых точек ничего писать пока что не буду, т.к. на просторах тырнетов есть статьи со скриншотами и прочим. Хочу только сделать парочку дополнений и объяснить плюшки, которые даёт нам CAPsMAN
===
1) Если ведомая точка и контроллер находятся в одной физической сети и одной подсети, то их можно "спарить" через discovery interfaces и ip адрес контроллера указывать не нужно. Но я любитель отключать всяческие "neightbor" и прочие "соседские" фишки, поэтому привязывал ведомые точки к контроллеру строго по IP адресу. Привязку можно осуществлять как и на внешний белый адрес, так и на внутренний через любой vpn.
1.2) Не забываем у каждого микротика менять идентификатор, это позволит легко видеть кто на какой точке подключился ( system=>identity через винбокс)
1.3) В настройках контроллера при создании конфигурации для всех точек, не забываем ставить галку на параметре "Local Forwarding", иначе весь трафик со всех ведомых точек потечёт на контроллер... Фишка может быть полезна для централизованного управления трафиком, но мне оно не надо...
2) Самая главная плюшка CAPsMAN лично для меня, это единый "Access List" непосредственно на контроллере. До этого я собирал листы в один файл и заливал его во все свои точки. Теперь этого делать не нужно. Acess List заполняется в самом CAPsMAN на вкладке Acess List, а не как раньше в Wireless=>Acess List... Не забудьте делать комментарии в ацес листе, т.к. зарегистрировавшиеся пользователи заполняют вкладку "Registration Table" с теми же камментариями, что и в ацесс листе... Классная плюшка
3) Каждому пользователю в ацесс листе мы можем назначить персональный пароль на подключение, таким образом даже проявив свою душевную доброту, поделившись паролем от сети, доброжелатель не подключит никого к вашей сети.
4) Так же в CAPsMAN на вкладке "Registration Table" мы видим какой МАК адрес сколько съел трафика (а в случае заполненных камментов, то и пользователя сразу). Если цифры нам не нравятся, в ацесс листе мы можем "порубить" скорость в параметрах "AP Tx Limit" и "Client Tx Limit" или вообще не позволять клиенту подключаться к нашей сети, назначив "action=reject"
5) В центральной точке у меня стоит RB941-Ui, в него заведено два провайдера, огромная куча правил фильтрации, ната, одновременно он держил более 40 впнов и тд.... Боялся что повесив на него ещё и >20 ведомых вай-фай точек, я серьёзно нагружу его.... Пардон, нифига подобного... CAPsMAN ничего не ест... Ну или почти ничего... При 50-ти вай-файных пользователях, нагрузка на CPU как была 5-15%, так и остаётся.... Микротик не греется и ведёт себя вполне стабильно.
==============
Будут дополнительные вопросы по настройке, спрашивайте. Если чего вдруг упустил, вспомню - дополню
Если тема не нова, прошу модеров "грохнуть" это сообщение)) Просто хотел поделиться опытом внедрения CAPsMAN во всех своих точках.
По поводу настройки контроллера и подключении ведомых точек ничего писать пока что не буду, т.к. на просторах тырнетов есть статьи со скриншотами и прочим. Хочу только сделать парочку дополнений и объяснить плюшки, которые даёт нам CAPsMAN
===
1) Если ведомая точка и контроллер находятся в одной физической сети и одной подсети, то их можно "спарить" через discovery interfaces и ip адрес контроллера указывать не нужно. Но я любитель отключать всяческие "neightbor" и прочие "соседские" фишки, поэтому привязывал ведомые точки к контроллеру строго по IP адресу. Привязку можно осуществлять как и на внешний белый адрес, так и на внутренний через любой vpn.
1.2) Не забываем у каждого микротика менять идентификатор, это позволит легко видеть кто на какой точке подключился ( system=>identity через винбокс)
1.3) В настройках контроллера при создании конфигурации для всех точек, не забываем ставить галку на параметре "Local Forwarding", иначе весь трафик со всех ведомых точек потечёт на контроллер... Фишка может быть полезна для централизованного управления трафиком, но мне оно не надо...
2) Самая главная плюшка CAPsMAN лично для меня, это единый "Access List" непосредственно на контроллере. До этого я собирал листы в один файл и заливал его во все свои точки. Теперь этого делать не нужно. Acess List заполняется в самом CAPsMAN на вкладке Acess List, а не как раньше в Wireless=>Acess List... Не забудьте делать комментарии в ацес листе, т.к. зарегистрировавшиеся пользователи заполняют вкладку "Registration Table" с теми же камментариями, что и в ацесс листе... Классная плюшка
3) Каждому пользователю в ацесс листе мы можем назначить персональный пароль на подключение, таким образом даже проявив свою душевную доброту, поделившись паролем от сети, доброжелатель не подключит никого к вашей сети.
4) Так же в CAPsMAN на вкладке "Registration Table" мы видим какой МАК адрес сколько съел трафика (а в случае заполненных камментов, то и пользователя сразу). Если цифры нам не нравятся, в ацесс листе мы можем "порубить" скорость в параметрах "AP Tx Limit" и "Client Tx Limit" или вообще не позволять клиенту подключаться к нашей сети, назначив "action=reject"
5) В центральной точке у меня стоит RB941-Ui, в него заведено два провайдера, огромная куча правил фильтрации, ната, одновременно он держил более 40 впнов и тд.... Боялся что повесив на него ещё и >20 ведомых вай-фай точек, я серьёзно нагружу его.... Пардон, нифига подобного... CAPsMAN ничего не ест... Ну или почти ничего... При 50-ти вай-файных пользователях, нагрузка на CPU как была 5-15%, так и остаётся.... Микротик не греется и ведёт себя вполне стабильно.
==============
Будут дополнительные вопросы по настройке, спрашивайте. Если чего вдруг упустил, вспомню - дополню