Správné nastavení mikrotiku 941. Mikrotik hAP AC - router pro všechny příležitosti. Porty Mikrotik RB941

Zařízení je kompaktní přístupový bod, který je ideální pro byty, domy a malé kanceláře. Na pouzdru je tlačítko WPS, které umožňuje klientům bezdrátové připojení bez zadávání hesla, nebo přepnutí zařízení do režimu cAP pro centralizované ovládání pomocí ovladače CAPsMAN, pouhým stisknutím tlačítka. Přístupový bod je vybaven multifunkčním operačním systémem RouterOS se všemi jeho schopnostmi: firewall, řízení přístupu uživatelů, omezení šířky pásma atd.

hAP lite TC je vybaven výkonným procesorem Atheros s taktovací frekvencí 650 MHz, 32 MB RAM, rádiovým modulem 2,4 GHz s podporou MIMO 2x2, čtyřmi porty Fast Ethernet a čtvrtou licenční úrovní operačního systému RouterOS. Součástí balení je napájecí zdroj USB.

Specifikace

procesor	Atheros QCA9533, 650 MHz
RAM	32 MB DDR SDRAM
ROM	16 MB
Ethernetové porty	4 x 10/100 Mbps Fast Ethernet s Auto-MDI / X
Modul Wi-Fi	802.11b / g / n, MIMO 2x2
Zvláštnosti	Tlačítko Reset / WPS
Zisk antény	1,5 dBi
Maximální výkon rádiového modulu	Až 20 dBm pro RF (až 22 dBm pro jiné země)
USB port	1x port (pro napájení)
Výživa	USB napájecí zdroj 5 V, 0,7 A (součástí balení)
Maximální spotřeba energie	3W při 5V
Velikost	124 x 100 x 54 mm
Pracovní teplota okolí	-20 .. +70 ° C
Operační systém	Mikrotik RouterOS Úroveň 4

Charakteristiky rádiového modulu

Šířka pásma	Napájení	Citlivost
1 Mb / s	22 dBm	-96 dBm
11 Mb / s	22 dBm	-89 dBm
6 Mb / s	20 dBm	-93 dBm
54 Mb / s	18 dBm	-74 dBm
MCS0	20 dBm	-93 dBm
MCS7	16 dBm	-71 dBm

Mikrotik hAPac je dodáván s následující konfigurací:

• MikroTik hAPac (RB962UiGS-5HacT2HnT);
• Napájení 24V 1200mA;
• Pokyny pro rychlý start.

Vzhled modelu se nijak zvlášť neliší od klasického zařízení MikroTik RB951. Na přední straně je 5 gigabitových ethernetových rozhraní a SFP rozhraní 1,25 Gbps. K dispozici je také konektor pro připojení napájecího zdroje.

hAP ac má schopnost přijímat napájení přes PoE na prvním portu. Pátý port může fungovat jako PoE zdroj pro zařízení MikroTik a další kompatibilní zařízení.

V horní části modelu jsou indikátory aktivity portů, WiFi rozhraní a kontrolka napájení. Na horní straně jsou větrací otvory, které odvádějí teplo ze zařízení.

Na zadní straně hAP ac jsou speciální protiskluzové nožičky, otvory pro upevnění na svislé povrchy, nálepka se sériovým číslem a MAC adresami rozhraní.

Na boku je USB rozhraní pro připojení periferních zařízení. K dispozici je také tlačítko RESET. Je zodpovědný za resetování zařízení na tovární nastavení a může ovládat spouštěcí režim hAPac.

Další funkcí tohoto tlačítka je aktivace režimu WPS. Navrženo pro rychlé nastavení WIFI mezi přístupovým bodem a klientem.

Pokud se podíváte dovnitř routeru, vidíte vnitřní strukturu zařízení. Přítomnost 6 antén, z nichž dvě jsou upevněny na těle zařízení. V případě potřeby je lze nahradit externími anténami.

Když Mikrotik najednou představil hAP lite, stalo se to skutečným impulzem pro širší využití routerů společnosti. Vynikající sada funkcí, bohatá funkčnost, flexibilita, spolehlivost a dostupná cena se proměnila ve skutečný bestseller, který dodnes vede v hodnocení prodejů mnoha internetových obchodů.

Seznamte se s HAP ac²!

Mnoho lidí si mylně myslí, že hAP ac² je náhradou za předchozí vlajkovou loď hAP, to je částečně pravda, ale ne úplně. Zjistíme to.

HAP ac² je dodáván v obvyklých kartonových obalech, jediná věc, která se za posledních několik let změnila, je vzor přidaný do krabice a připomíná vyšívanou košili.

Stejně jako dříve je zařízení dodáváno bez propojovacího kabelu a barevného tisku. Mnoho lidí by však asi na kvalitní patchcord nevzdalo.

Díky matnému měkkému povrchu je hAP ac² zabalen v polyetylenu, což by mělo zajistit bezpečnost, dokud se zařízení nedostane do rukou koncového zákazníka.

Z nestandardních možností balíček obsahuje pouze držák na stojan a krátký ilustrovaný návod, jak tento stojan sám používat.

Článek modelu se ukázal jako velmi složitý-RBD52G-5HacD2HnD-TC, pokud pro stejný hEX v místech při komunikaci na fórech mohli uživatelé použít identifikátor článku, pak v případě tohoto modelu ne každý uspěje vzpomenout si na článek poprvé.

Z článku je však možné získat spoustu informací:

RB - RouterBOARD

D - dvouřetězcový (plný)

52 - Dvoupásmový 5 + 2,4 GHz

G - Gigabitový ethernet

5HacD-5 GHz 802.11ac, vysoce výkonný (typ 1), dvouřetězcový

2HnD-2,4 GHz 802.11n, vysoce výkonný (typ 1), dvouřetězcový

Pokud jde o výkon vysílače, Mikrotik má 4 gradace:

normální výkon (bez indexu), méně než 23-24 dBm;

H - zvýšený výkon, 23-27 dBm;

HP - vysoký výkon, 25-29 dBm;

SHP - velmi vysoký výkon, více než 27-30 dBm;

Ve skutečnosti „typ 1“ znamená index „H“. Rejstřík „U“ (USB) se však v názvu nepoužívá, i když toto rozhraní zde je.

Obecně je samotný design poměrně neobvyklý. Společnost pokračuje v experimentech s Tower-Case, přičemž hAP lite TC je prvním „experimentálním“ zařízením. Poté se objevily hAP ac lite TC (RB952Ui-5ac2nD-TC) a hAP mini (RB931-2nD).

Průzkumy ukazují, že téměř 70% respondentů schvaluje domestikovaný design hAP ac2.

Indikátory a samotná rozhraní jsou umístěna na opačných stranách, což je standard pro domácí a SOHO řešení. Indikace portu není příliš pohodlná, ale není rušivá a nebude vás obtěžovat svou prací v noci.

Všech 5 rozhraní je stíněných a na pouzdru není žádné zemní spojení.

Kromě indikátoru napájení má hAP ac² také další uživatelský indikátor, který lze pohodlně konfigurovat například podle stavu připojení VPN.

Tlačítka WPS a reset jsou zkombinována, již s sebou nemusíte nosit kancelářskou sponku, nyní bude stačit pero nebo tužka - dlouhodobé podržení tlačítka je stále nepohodlné, což ochrání před náhodným resetem.

Jedním z vrcholů designu hAP ac² je stojan.

Není to jen stojan, je to stropní nebo nástěnný držák. Toto zařízení jsme již nainstalovali jednomu z našich klientů na sádrokartonový strop. Proces instalace je rychlý a pohodlný, s výškou umístění 4 metry nejsou absolutně žádné problémy s kvalitou povlaku.

Prvek je připevněn západkou ke spodnímu okraji nebo ke krytu. V prvním případě obdržíte stolní stojící verzi, ve druhém - stolní ležící verzi nebo nástěnný (stropní) držák. Na nohách jsou silikonové vložky, které poskytují protiskluzové vlastnosti stojanu.

Samotný ac2 je extrémně kompaktní, velikost novinky je srovnatelná s obvyklým hAP lite a ve stoje zabírá minimum místa.

Výplň Mikrotik hAP ac²

Mnoho majitelů se pokusilo nahlédnout do útrob ac ^ 2, ale ne každý mu podlehl, někteří z těch, kterým podlehl, prostě zlomili západky. Z tohoto důvodu vás žádáme, abyste se zdrželi otevření tohoto modelu.

První věc, která stojí za pozornost, je uzavřenost vnitřního prostoru pouzdra. To znamená, že na předním panelu jsou větrací „štěrbiny“, ale není nutné říkat, že zejména zlepšují větrání. Plnění zařízení se v nečinnosti snadno zahřeje až na 45 stupňů a během načítání může stoupnout až na 52 stupňů.

Neměli byste z toho panikařit, starý hAP ac se zahřál mnohem víc. Zařízení, které jsme vybrali jako server, se dokonce během nečinnosti zahřeje na 62–65 stupňů.

Téměř polovina horní části desky RBD52G-5HacD2HnD-TC je pokryta masivním chladičem jehlového typu.

Na stejné straně desky jsou připájeny 2 antény, rozhraní, napájecí subsystém a port USB.

Po obvodu desky jsou 4 montážní otvory, pravděpodobně společnost dříve experimentovala s různými možnostmi pouzdra, včetně klasického.

Všechny hlavní náplně hAP ac ^ 2 jsou umístěny na zadní straně desky plošných spojů.

Zařízení je založeno na čipu Qualcomm IPQ-4018. Jedná se o vysoce integrované řešení kombinující 32bitový procesor ARM a bezdrátové moduly.

Navzdory silné podobnosti s IPQ-4019 nejsou tyto 2 čipy zaměnitelné. Starší IPQ-4019 má větší fyzickou velikost, jiný design a schéma zapojení.

Ačkoli se obecně IPQ-4018 a IPQ-4019 liší pouze v sadě rozhraní.

Hlavní výpočetní jednotkou IPQ-4018 jsou 4 jádra ARM Cortex A7 s taktovací frekvencí 717 MHz. Čip obsahuje blok Hardware NAT a Crypto Engine, jak asi uhodnete, první blok je zodpovědný za uvolňování NAT, druhý za hardwarové šifrování.

Oba bezdrátové moduly jsou konfigurovány MIMO 2x2 (Dual-Chain), přičemž každý modul má svůj vlastní koprocesor, který zajišťuje odlehčení hardwaru. V blokovém diagramu jsou označeny CPU # 1 a CPU # 2.

Na výstupu každého řetězce je připájena jedna zesilovací jednotka (skrytá pod obrazovkami), celkem jich jsou 4.

Když se podíváte na oficiální blokové schéma hAP ac2, uvádí gigabitový přepínač AR8327 a je označeno jako zabudované přímo v IPQ-4018.

Současně je vedle procesoru pájen QCA8075 na desce, která implementuje 5 gigabitových portů.

Pokud se vrátíme k oficiálnímu blokovému schématu Qualcomm, IPQ-4018 obsahuje „5GE L2 / 3/4 Switch Engine“, kousek nalevo od diagramu je externí blok „QFE8075 / 2 (5/2 portů PHY) “.

Ve skutečnosti je tedy fyzická vrstva (PHY) implementována na samostatném externím čipu QCA8075, ale zbývající kabeláž je umístěna přímo v SoC. RouterOS sám identifikuje přepínač jako Atheros-8327.

Jako obvykle zde není mnoho trvalé paměti - pouze 16 MB (Winbond 25Q128JVSM).

Zajímavější je situace s RAM. Oficiálně má hAP ac2 128 MB RAM. Současně jsou první dávky vybaveny 256 MB čipy Nanya NT5CC128M16IP-DI.

Koncový uživatel má k dispozici 233 MB. Mikrotik tuto skutečnost potvrdil, ale nebudou opravovat popis a charakteristiky pro hAP ac ^ 2, protože existují dávky se 128 MB. Někdo z logistického oddělení hodně pokazil.

Doposud jsme nenarazili na jediné zařízení se 128 MB, všechny námi testované kopie byly vybaveny 256 MB RAM.

Platforma hAP ac2 bude částečně použita v RB450Gx4, i když je založena na IPQ-4019 s deaktivovaným bezdrátovým rozhraním. Náklady na desku budou téměř dvojnásobné než u testovaného zařízení. Mikrotik na oplátku nabízí 1 GB RAM, 512 MB NAND Flash, 5. úroveň licence a podporu microSD.

Výkon HAP ac 2 s L2TP / MPPE

V tuto chvíli existuje poměrně široká škála možností pro kombinování vzdálených sítí do jediné počítačové sítě. Nejoblíbenějšími nástroji jsou PPTP, L2TP, OpenVPN a IPsec.

PPTP je nejstarší a nejistější protokol a zároveň, kupodivu, drtivá většina uživatelů Mikrotik používá pro vzdálená připojení zastaralý protokol pptp. Vzhledem k tomu, že je tento protokol zcela zastaralý a dokonce i zařízení Apple ho přestaly podporovat, nebudeme tento protokol testovat.

Nejoptimálnější protokoly jsou IPsec a OpenVPN.

IPsec je jednou z nejbezpečnějších metod síťového propojení, které jsou dnes k dispozici. Díky silnému šifrování AES s podporou 128 a 256bitových klíčů poskytuje tento protokol nejvyšší spolehlivost a důvěrnost přenášených dat, což může mít zásadní význam pro obchodní a vládní agentury. Dnes i při využití výkonu superpočítačů bude trvat miliardy let, než budou data šifrovaná pomocí AES dešifrována. Tato metoda má také nevýhody - přítomnost externí statické IP na obou koncích připojení a vysoké požadavky na hardwarovou platformu. V zásadě je také možné připojení IPsec mezi dynamickými IP adresami, i když v tomto případě budete muset překonfigurovat parametry pokaždé, když se změní jedna z adres. Hardwarová platforma také není tak jednoduchá, rozpočet základní úrovně RouterBOARD může poskytnout maximálně 10-20 Mbit s plným zatížením CPU.

Pokročilejší zařízení, jako jsou RB750Gr3, RB850Gx2 (ukončeno), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 a CCR1009, jsou schopny vyšší rychlosti IPsec. S příchodem hAP ac2 může být tento seznam doplněn ještě jedním modelem, ale nejdříve.

Existuje také možnost použití L2TP ve spojení s IPsec, hlavní výhodou této kombinace je vysoké zabezpečení, rychlá a snadná konfigurace a také velká loajalita k NAT na straně koncového klienta. Z vážných nevýhod této možnosti je třeba poznamenat velmi vysoké požadavky na hardwarovou platformu, možná L2TP / IPsec je nejnáročnější protokol. Za všechno může dvojité zapouzdření dat a potřeba šifrování.

Protokol OpenVPN, který je založen na knihovně OpenSSL a protokolech SSL / TLS, tyto nedostatky postrádá. Samotný OVPN je extrémně flexibilní v konfiguraci a dokonce vám umožňuje maskovat provoz jako normální HTTPS, což umožňuje obejít všechny druhy omezení ze strany poskytovatele. Obecně je OVPN rychlejší než IPsec a stále podporuje celou řadu šifrovacích algoritmů, včetně AES. Tato metoda má stále nevýhody - složitější konfigurace a vysoké hardwarové požadavky (stejně jako pro IPsec).

Z naší strany nejprve otestujeme L2TP se standardním 128bitovým šifrováním MPPE.

L2TP je spolehlivější a bezpečnější než protokol předchozí generace - PPTP. Důrazně doporučujeme, abyste upustili od používání PPTP ve prospěch modernějších protokolů. Pokud nemáte schopnost a / nebo touhu používat OVPN / IPsec / L2TP + IPsec, doporučujeme použít L2TP / MPPE.

Hlavním doporučením pro zvýšení zabezpečení L2TP / MPPE je používat velmi dlouhá hesla skládající se ze sady náhodných písmen (s různým rozložením), číslic a speciálních znaků. Použití hesel „slovníku“ se nedoporučuje, protože L2TP / MPPE má řadu nevýhod, které umožňují použití slovníkových metod hádání hesel, což v konečném důsledku vede ke snížení zabezpečení 128bitového klíče, což je ekvivalent 56 -bit (). V každém případě je to mnohem lepší než používání PPTP.

Jako pár pro hAP ac2 jsme zvolili osvědčenou platformu CCR1009, a to the.

Jedná se o nejdostupnější člen řady CCR, který má výkonný 9jádrový procesor Tile Gx a 1 GB RAM. Tato kombinace poskytuje vysoký výkon a schopnost zvládnout až 2,5 Gb / s provozu IPsec.

Během testování byla dodatečně zkontrolována stabilita a spolehlivost při vysokém zatížení, údaje o výkonu jsou uvedeny pro provoz uživatelů (užitečný provoz), je brán v úvahu průměrný vzorek. Hodnoty špičkového výkonu nejsou zahrnuty do výpočtu průměrného ukazatele, pokud je jejich trvání kratší než 30 sekund.

Na obou stranách se jako generátory provozu používají počítače s iperf, které poskytují spolehlivější hodnoty a flexibilitu než vestavěný BTest.

CCR1009 - WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

hAP ac2 - WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

U CCR1009 byla použita ruční konfigurace, podobná defconfu na zařízeních nízké úrovně. ETH1 (ne Combo) se používá jako WAN, standardní pravidla brány firewall, port 1701 je navíc otevřený.

Konfigurace serveru L2TP je založena na standardním šifrovaném profilu, MTU nebyla změněna a navíc je aktivována možnost „Povolit rychlou cestu“.

Všechny starší metody ověřování MSCHAP1, CHAP a PAP jsou deaktivovány, aktivní je pouze MSCHAP2 (MS-CHAPv2).

V moderní realitě je nejlepší nepoužívat kompresi pro maximální výkon.

Na straně klienta je nastavení podobné, je použit výchozí profil se šifrováním a také možnost „Povolit rychlou cestu“.

Směrování do vzdálené sítě je zajištěno statickou cestou v kombinaci s maškarádou NAT, výchozí trasa se nepoužívá.

Obě zařízení mají ve Firewallu nakonfigurované připojení fasttrack pro navázaná a související připojení.

Na výstupu máme klasickou kombinaci 2 sítí založených na L2TP / MPPE

V závislosti na směru provozu a konfiguraci CCR načte 1 jádro nebo rozdělí výpočty mezi všech 9 jader. Například při odesílání dat z CCR se používá 1 jádro, zatímco při příjmu dat k dešifrování se všechna jádra načítají rovnoměrně.

Výměna paketů 1 400 bajtů, režim TCP

První test propustnosti se provádí pro 1400 bajtové pakety.

Průměrný výkon testu s 1 vláknem je 112 Mb / s pro příjem a 128 Mb / s pro odesílání.

S nárůstem počtu relací na 10 se rychlost mění na 111 a 170 Mbit, jak vidíte, dochází ke zvýšení výkonu pro odesílání s nárůstem počtu relací.

Bez ohledu na velikost paketu nedochází k žádnému zvláštnímu nárůstu. Je zajímavé, že ve všech těchto případech bylo využití IPQ-4018 v průměru až 25%. Je načteno pouze 1 jádro, pouze příležitostně systém provádí vykládku na jiných jádrech - v režimech s více vlákny.

Provádíme další test nahrávání a zvyšujeme počet relací na 20 a 100, v důsledku čehož se rychlost zvyšuje na 201 respektive 235 Mbps.

Pro další sledování během testů byl pravidelně používán nástroj Nástroje - profil, pomocí kterého jsme sledovali rozložení zdrojů a jejich zatížení.

Ve skutečnosti to jasně ukazuje, že s nárůstem počtu současných připojení RouterOS, i když s předpojatostí, distribuuje část výpočtů do ostatních jader. Spolu s nárůstem výkonu stoupá zátěž CPU na 35–45%.

Poslední test v tomto bloku se provádí pro FDX (Full Duplex) s 10 opačnými připojeními v každém směru, celkem 10 + 10 relací.

Výsledkem bylo, že celková propustnost byla 185 Mbps.

Výsledný diagram výkonu pro 1400bajtové pakety vypadá takto:

Soudě podle statistik prodeje se jedná o nejpopulárnější router z naší nabídky. Existuje pro to mnoho důvodů, ale dva z nich jsou podle nás ty nejvýznamnější: první, stojí jen 20 $ Za druhé, to je Mikrotik... Celkem ukazuje se „Mikrotik za 20 dolarů“, což je opravdu působivé.

Vyjádřme o tom předem svůj názor: router je více než hoden pozornosti. Funguje velmi stabilně, rychlosti kabelového i bezdrátového připojení jsou zcela v souladu s uvedenými a jeho funkčnost je srovnatelná se špičkovými routery Cisco / Juniper, které stojí v cenovkách až tisíce dolarů. Existují také nevýhody: má pouze 4 ethernetové porty (včetně portu WAN), rádiový modul je slabý a nepodporuje standard 802.11ac. Nicméně zde, jako ve známém vulgárním vtipu: „No, co jsi chtěl za 20 dolarů?“

Tak, zkrotme hrdinu našeho materiálu... Naším výchozím bodem je poskytovatel, který nám poskytuje dynamickou IP adresu. Začněme:
1. Zapneme kabel poskytovatele v 1. port routeru
2. Připojte kabel z počítače k ​​libovolnému zbývajícímu volnému portu
3. Jako všechna zařízení Mikrotik, standardně je hAP Lite přiřazena IP adresa 192.168.88.1... Pojďme přiřadit nastavení počítačové sítě ze stejné podsítě. Například, adresa 192.168.88.10, maska ​​255.255.255.0, brána 192.168.88.1, DNS 192.168.88.1:

4. Přejdeme k routeru přes prohlížeč:

Zde uděláme malou odbočku: v hAP Lite Mikrotik implementoval výchozí konfiguraci, která umožňuje rychlý start. Router je již nakonfigurován pro příjem dynamické adresy na 1. rozhraní, je povolen server DHCP a je nakonfigurován most mezi porty. Ve skutečnosti v naší topologii router fungoval podle očekávání bezprostředně po zapnutí. Kvůli tomu tu nejsme, takže ...

5. Obnovme router na tovární nastavení. Chcete -li to provést, klikněte nad sekci Systém knoflík Resetovat konfiguraci:

6. Zkontrolujte parametr Žádná výchozí konfigurace a stiskněte Resetovat konfiguraci:

7. Potvrzujeme náš záměr:

8. Asi po minutě se router restartuje. Zde je malý háček: po resetování routeru s odstraněním výchozí konfigurace mu již nebude přidělena IP adresa a prohlížeč k němu nebude mít přístup. Žádný problém, pro tento případ má Mikrotik speciální aplikaci pro konfiguraci - WinBox... Stáhněte si jej z webu http://www.mikrotik.com/download v sekci Užitečné nástroje a pomůcky:

9. WinBox nevyžaduje instalaci. Spouštíme to a ve spodní části klikněte na kartu Sousedé... V níže uvedeném seznamu by se měla objevit všechna zařízení Mikrotik v rámci vysílací domény. V našem případě to bude jediný hrdina článku. Klikněte na jeho MAC adresu (to je důležité!), poté stiskněte tlačítko Připojit v horní části obrazovky:

10. Rozhraní routeru se objevuje v celé své kráse. Okno R. vnější Výchozí konfigurace zavřete stisknutím OK:

11. V nabídce vlevo klikněte na Rozhraní... Všimněte si, že v prázdné konfiguraci je bezdrátové rozhraní na routeru deaktivováno... To se nazývá wlan1. Vyberte jej a klikněte na modré zaškrtnutí v horní části okna. To se nám v blízké budoucnosti bude hodit:

12. Dvojklik otevřete rozhraní ether2, změňte jeho název na ether2-master a stiskněte OK:

13. Nyní otevřete rozhraní ether3 a změňte parametr Hlavní port na ether2-master:

14. Stejnou akci opakujeme pro rozhraní ether4: otevřete a změňte parametr Master Port na ether2-master.

Tento odstavec by si měli přečíst pouze ti, kteří se silně zajímají o technickou stránku problému! Pokud jste článek otevřeli jen proto, abyste měli před očima instalační cheat, můžete jej přeskočit!
A nyní rozluštíme, co bylo provedeno v bodech 12-14: na rozdíl od známějších routerů pro domácnost, ve směrovačích Mikrotik nejsou porty standardně zahrnuty do jediné přepínací matice, tj. nejsou součástí přepínače jako takového. „Shromáždit“ je do logického přepínače existují 2 způsoby: software a hardware. Software - bridge - využívá k přepínání centrální procesor routeru. Hardware používá speciální hardwarový přepínací čip a CPU se nepoužívá. Pro provoz portů v přepínacím režimu se tedy použití přepínacího čipu přirozeně naznačuje. Nyní k tomu, co jsme dělali dříve: přejmenovali jsme port ether2 na ether2-master, abychom v konfigurační konzole jasně viděli, který port je hlavní pro ostatní, a řekli routeru, že ether2 port je hlavní port pro ostatní dva. Pomocí hlavního portu jsme použili přepínací čip a CPU již není zapojeno do výpočtu přepínání paketů mezi porty ether2-ether4. Více o přepínání čipů a jejich schopnostech si můžete přečíst zde: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

15. Vytvořme most pro rozhraní, která tvoří obrys místní sítě. Vlevo v nabídce klikněte na Most, na první záložce Most tam + , v otevřeném okně zadejte název mostu(například, LAN) a stiskněte OK:

16. Míjíme na kartu Porty, lis + , Vybrat Rozhraní- wlan1, Most- LAN, lis OK:

17. Opakujeme postup pro rozhraní ether2-master.

18. Vaše konečný seznam portů v můstku by měl vypadat takto:

19. Jak je zmíněno výše, v naší topologii nám poskytovatel poskytuje dynamickou IP adresu... Zapněte klienta DHCP na portu WAN routeru. Chcete -li to provést, otevřete nabídku vlevo IP-> Klient DHCP a v zobrazeném okně klikněte na + :

20. Kabel poskytovatele je vložen do 1. portu routeru. Vybíráme si Rozhraní- ether1, nezbytně nastavit parametr Přidat výchozí trasu do polohy Ano a stiskněte OK:

21. Nyní v okně klienta DHCP uvidíte, na kterém rozhraní je klient DHCP povolen a jakou adresu obdržel:

22. Zapněte NAT. Chcete -li to provést, otevřete nabídku vlevo IP-> Firewall, přejděte na kartu NAT, lis + V zobrazeném okně nastavte parametr Řetěz do polohy srcnat, parametr Ven. Rozhraní do polohy ether1:

23. Aniž byste opustili okno Nové pravidlo NAT, přejděte na kartu Akce a nastavte parametr Akce do polohy Maškaráda a poté stiskněte OK:

24. Pojďme nakonfigurovat DNS. V nabídce vlevo IP-> DNS... Náš poskytovatel nám již poskytl 2 dynamické servery, ale jejich seznam lze doplnit (vyplnit v parametru Servery) vlastní rukou. Hlavní věc v tomto okně nezapomeňte zaškrtnout Povolit vzdálené požadavky, poté můžete stisknout OK:

25. Je na čase přiřadit routeru adresu IP, aby fungoval v místní síti. Přejděte do nabídky vlevo IP-> Adresy, v okně, které se otevře, klikněte na + a zadejte IP adresu / masku podsítě... V našem případě použijeme 192.168.88.1/24... Parametr Rozhraní by měl být nastaven do polohy LAN(toto je náš most, vytvořený v kroku 15; může mít pro vás jiný název), poté můžete stisknout OK:

Náš seznam IP adres by nyní měl vypadat nějak takto(adresa pro rozhraní ether1 se pro vás samozřejmě bude lišit):

26. Mimochodem, měli bychom mít přístup k internetu na svém počítači! Pojďme zkontrolovat:

Opravdu se objevil! Oslavu ale odložíme na později.

27. Nyní nakonfigurujme server DHCP. Přejděte do nabídky vlevo IP-> Server DHCP, v okně, které se otevře, klikněte na Nastavení DHCP:

28. Jako rozhraní, na kterém bude fungovat DHCP, vybereme náš most - LAN, klikněte další:

29. Nastavili jsme adresní prostor. Plánujeme vydávat adresy v síti 192.168.88.0 s maskou 255.255.255.0, proto zadáváme 192.168.88.0/24 a stiskněte další:

30. Označujeme bránu. Máme to 192.168.88.1. Tam další:

31. Definujte fond IP adres, které budou vydávány klientům. Zde vám doporučujeme učinit vlastní rozhodnutí na základě topologie vaší sítě. Použijeme rozsah 192.168.88.2-192.168.88.254, zadejte a klikněte další:

32. Zadejte servery DNS(můžete mít vlastní, nebo použít veřejné DNS od Googlu nebo Yandexu), klikněte další:

33. Zadejte dobu zapůjčení IP adres(výchozí nemůžete změnit), klikněte další:

Na toto Konfigurace serveru DHCP je dokončena:

34. Nyní nakonfigurujme WiFi. Klikněte v nabídce vlevo na Bezdrátový, v otevřeném okně dvojitým kliknutím otevřete rozhraní wlan1, a nastavit parametry:
- Režim- ap most
- Kapela- 2 GHz-B / G / N
- SSID- zadejte název své WiFi sítě
- Bezdrátový protokol - 802.11
- Režim WPS - zakázáno

Potom klikni na ok:

35. Nyní nastavíme heslo pro naši síť. Pokračujme na kartu Profily zabezpečení, otevřeme výchozí profil... Nyní:
-nastavte parametr Mode do polohy dynamické klávesy
- zaškrtněte WPA2 PSK v parametru Typy autentizace
- vložte všechna políčka do Unicast Ciphers a Group Ciphers
- do pole Předsdílený klíč WPA2 zadejte heslo ze sítě WiFi
- lis OK

36. Pojďme se připojit k WiFi, zkontrolovat jeho výkon. Aktivní připojení lze zobrazit na kartě Registrace:

37. Nyní vypněte všechna rozhraní pro správu routeru, kromě WinBoxu(v případě potřeby si ponechejte ty, které potřebujete, ale z bezpečnostního hlediska nedoporučujeme používat firewall). Chcete -li to provést, přejděte na IP-> Služby, vyberte nepotřebné služby a klikněte na červený kříž:

38. Zbývá nastavit heslo správce. Jít do Systém-> Uživatelé, zadejte administrátor uživatelského profilu, lis Heslo, dvakrát zadejte heslo do polí nové heslo a Potvrďte heslo a klikněte OK:

V tuto chvíli tedy máme standardní konfiguraci bez oddělení sítě. Abychom ohraničili naši místní síť, vytvoříme segment (část) sítě pro děti. Chcete-li to provést, vyberte v nabídce winbox → Bridge (1) → Bridge (2) → plus (3) → General (4) → a přidejte jméno bridge-child do pole name (5). Uložit změny - OK.

Připravme rozhraní (porty) pro zahrnutí do můstku-child. V naší konfiguraci bude pro dítě nakonfigurován čtvrtý port ether4 a další dětská wifi síť. To znamená, že připojením ke čtvrtému portu pomocí kabelu a / nebo k dětské síti přes WiFi budete mít přístup dětí k internetu prostřednictvím těchto rozhraní.

Nastavíme bezpečnostní profil pro dětskou WiFi síť. WinBox → Bezdrátový (1) → Profily zabezpečení (2) → plus (3) → Obecné (4) → do pole Jméno (5) zadejte podřízené → do polí WPA (6) a WPA2 (6), zadejte budoucnost heslo na Wifi dětské sítě ... Uložme nastavení - OK.

Přidejme novou wifi síť. WinBox → Bezdrátový (1) → Rozhraní (2) → plus (3) → Virtuální AP (4) → Bezdrátový (5) → do pole SSID (6) zadejte název dětské WiFi sítě → vyberte bezpečnostní profil (7 ) pro naši síť. Uložme nastavení - OK.

Pojďme nakonfigurovat rozhraní ether4. Winbox → Rozhraní (1) → Rozhraní (2) → poklepejte na levé tlačítko na ehter4 (3) a zadejte nastavení rozhraní → v poli Hlavní port (4) vyberte žádné. Použít nastavení - OK.

Dále zahrneme naše rozhraní do připraveného můstku-child. Winbox → Bridge (1) → Ports (2) → plus (3) → add ether4 (4) interface → to Bridge (5) bridge-child. Uděláme také pro rozhraní wlan2 (6) (7). Uložit všechny změny - OK.

Pojďme přiřadit interní adresu rozhraní most-dítě. WinBox → IP (1) → adresa (2) → plus (3) → vyplňte pole (4), (5), (6) podle snímku obrazovky.

Nyní musíte přiřadit server DHCP k segmentu dětské sítě, aby automaticky konfiguroval parametry IP síťových klientů. Chcete-li to provést, musíte Winbox → IP (1) → DHCP server (2) → DHCP (3) → Nastavení DHCP (4) → v poli dhcp Server Interface (5) vybrat rozhraní bridge-child.

Poté musíte kliknout na tlačítko Další a postupovat podle průvodce konfigurací serveru DHCP, aniž byste cokoli změnili. Jakmile se dostanete do okna Vybrat dobu pronájmu:

Zde je třeba změnit standardní dobu pronájmu na 3d 00:10:00 a dokončit konfiguraci serveru DHCP.

Pokud jste vše udělali správně, v tomto okamžiku byste měli mít dva segmenty sítě:

Dětská síť LAN-4; wifi. Adresování-192.168.99.0/24 Síť pro dospělé LAN-2, LAN-3; wifi. Adresování - 192.168.88.0/24

Nyní tyto dvě sítě nemají žádná omezení a jsou si zcela rovny. Chcete -li začít nastavovat omezující funkce pro dětskou síť, musíte provést předběžné nastavení routeru, konkrétně:

• Nastavte heslo a SSID (název sítě) na wifi síť pro dospělé
• Nastavte heslo pro uživatele Admin
• Aktualizujte router na nejnovější verzi.

Pokud je pro vás obtížné to udělat sami, najdete podrobné pokyny pro nastavení těchto parametrů v