Impostazione corretta di mikrotik 941. Mikrotik hAP AC - Un router per tutte le occasioni. Porte Mikrotik RB941

Il dispositivo è un access point compatto ideale per appartamenti, case e piccoli uffici. C'è un pulsante WPS sulla custodia, che consente ai client di connettersi in modalità wireless senza inserire una password, o passare il dispositivo in modalità cAP per il controllo centralizzato utilizzando il controller CAPsMAN, semplicemente premendo un pulsante. Il punto di accesso è dotato di un sistema operativo multifunzionale RouterOS con tutte le sue capacità: firewall, controllo accessi utente, limitazione della larghezza di banda, ecc.

hAP lite TC è dotato di un potente processore Atheros con frequenza di clock di 650 MHz, 32 MB di RAM, un modulo radio da 2,4 GHz con supporto MIMO 2x2, quattro porte Fast Ethernet e un quarto livello di licenza del sistema operativo RouterOS. Nella confezione è incluso un alimentatore USB.

Specifiche

processore	Atheros QCA9533, 650 MHz
RAM	32 MB DDR SDRAM
rom	16 MB
Porte Ethernet	Fast Ethernet 4х 10/100 Mbps con Auto-MDI / X
Modulo Wi-Fi	802.11b/g/n, MIMO 2x2
Peculiarità	Pulsante Reset/WPS
Guadagno dell'antenna	1,5 dBi
Potenza massima del modulo radio	Fino a 20 dBm per RF (fino a 22 dBm per altri paesi)
porta USB	1x porta (per alimentazione)
Nutrizione	Alimentazione USB 5 V, 0,7 A (inclusa)
Consumo energetico massimo	3W @ 5V
La dimensione	124 x 100 x 54 mm
Temperatura ambiente di lavoro	-20 .. +70°C
Sistema operativo	Mikrotik RouterOS Livello 4

Caratteristiche del modulo radio

Larghezza di banda	Potenza	sensibilità
1 Mbps	22 dBm	-96 dBm
11 Mbps	22 dBm	-89 dBm
6 Mbps	20 dBm	-93 dBm
54 Mbps	18 dBm	-74 dBm
MCS0	20 dBm	-93 dBm
MCS7	16 dBm	-71 dBm

L'hAPac microtik viene fornito con la seguente configurazione:

• MikroTik hAPac (RB962UiGS-5HacT2HnT);
• Alimentazione 24V 1200mA;
• Istruzioni di avvio rapido.

L'aspetto del modello non differisce particolarmente dal classico dispositivo MikroTik RB951. Sul lato frontale ci sono 5 interfacce Gigabit Ethernet e un'interfaccia SFP da 1,25 Gbps. C'è anche un connettore per il collegamento di un alimentatore.

hAP ac ha la capacità di ricevere alimentazione tramite PoE sulla prima porta. La quinta porta può fungere da sorgente PoE per dispositivi MikroTik e altri dispositivi compatibili.

Nella parte superiore del modello sono presenti indicatori di attività delle porte, interfacce WiFi e una spia di alimentazione. Ci sono fori di ventilazione sul lato superiore per dissipare il calore dal dispositivo.

Sul retro dell'hAP ac sono presenti speciali piedini antiscivolo, fori per il fissaggio alle superfici verticali, un adesivo con il numero di serie e gli indirizzi MAC delle interfacce.

Lateralmente è presente un'interfaccia USB per il collegamento di periferiche. C'è anche un pulsante RESET. È responsabile del ripristino del dispositivo alle impostazioni di fabbrica e può controllare la modalità di avvio di hAPac.

Un'altra funzione di questo pulsante è quella di attivare la modalità WPS. Progettato per configurare rapidamente il WIFI tra il punto di accesso e il client.

Se guardi all'interno del router, puoi vedere la struttura interna del dispositivo. La presenza di 6 antenne, di cui due fissate sul corpo del dispositivo. Se necessario possono essere sostituiti con antenne esterne.

Quando Mikrotik ha presentato hAP lite in una sola volta, è diventato un vero impulso per un uso più ampio dei router dell'azienda. Un eccellente set di funzionalità, ricca funzionalità, flessibilità, affidabilità e un prezzo accessibile si sono trasformati in un vero bestseller, che fino ad oggi guida le classifiche di vendita di molti negozi online.

Incontra hAP ac²!

Molte persone pensano erroneamente che hAP ac² sia un sostituto del precedente hAP di punta, questo è in parte vero, ma non del tutto. Lo scopriremo.

L'hAP ac² viene consegnato nella consueta confezione di cartone, l'unica cosa che è cambiata negli ultimi anni è il motivo aggiunto alla scatola e ricorda una camicia ricamata.

Come prima, il dispositivo viene fornito senza cavo patch e stampa a colori. Tuttavia, molte persone probabilmente non rinuncerebbero a un patchcord di qualità.

Grazie al rivestimento opaco soft-touch, hAP ​​​​ac² è confezionato in polietilene, che dovrebbe garantire la sicurezza fino a quando il dispositivo non cade nelle mani del cliente finale.

Tra le opzioni non standard, la confezione contiene solo un supporto per il supporto e una breve istruzione illustrata su come utilizzare questo supporto stesso.

L'articolo del modello si è rivelato molto intricato: RBD52G-5HacD2HnD-TC, se per lo stesso hEX in alcuni punti durante la comunicazione sui forum gli utenti potrebbero utilizzare l'identificatore dell'articolo, quindi nel caso di questo modello, non tutti riusciranno a ricordando l'articolo la prima volta.

Tuttavia, dall'articolo si possono trarre molte informazioni:

RB - RouterBOARD

D - Doppia catena (completa)

52 - Doppia banda 5 + 2,4 GHz

G - Gigabit Ethernet

5HacD - 802.11ac 5GHz, alta potenza (tipo 1), doppia catena

2HnD - 2,4 GHz 802.11n, ad alta potenza (Tipo 1), doppia catena

Per quanto riguarda la potenza del trasmettitore, Mikrotik ha 4 gradazioni:

potenza normale (nessun indice), inferiore a 23-24 dBm;

H - potenza aumentata, 23-27 dBm;

HP - alta potenza, 25-29 dBm;

SHP - potenza molto elevata, più di 27-30 dBm;

In realtà, "tipo 1" significa l'indice "H". Ma l'indice "U" (USB) non viene utilizzato nel nome, sebbene questa interfaccia sia presente qui.

In generale, il design stesso è piuttosto insolito. L'azienda continua a sperimentare con il Tower-Case, con l'hAP lite TC che è il primo dispositivo "sperimentale". Poi sono comparsi hAP ac lite TC (RB952Ui-5ac2nD-TC) e hAP mini (RB931-2nD).

I sondaggi mostrano che quasi il 70% degli intervistati approva il design addomesticato di hAP ac2.

Gli indicatori e le interfacce stesse si trovano su lati opposti, che è lo standard per le soluzioni domestiche e SOHO. L'indicazione della porta non è molto comoda, ma non è invadente e non ti disturberà con il suo lavoro di notte.

Tutte e 5 le interfacce sono schermate e non c'è connessione a terra sul case.

Oltre all'indicatore di alimentazione, hAP ​​ac² dispone anche di un indicatore utente aggiuntivo, che è comodo da configurare, ad esempio, in base allo stato della connessione VPN.

I pulsanti WPS e reset sono combinati, non è più necessario portare con sé una graffetta, ora una penna o una matita funzioneranno - tenere premuto il pulsante a lungo è ancora scomodo, il che proteggerà dal ripristino accidentale.

Uno dei punti salienti del design hAP ac² è lo stand.

Non è solo un supporto, è un supporto da soffitto o da parete. Abbiamo già installato questo dispositivo a un nostro cliente su un soffitto in cartongesso. Il processo di installazione è rapido e conveniente, con un'altezza di posizionamento di 4 metri non ci sono assolutamente problemi con la qualità del rivestimento.

L'elemento è fissato con un chiavistello al bordo inferiore o al coperchio. Nel primo caso, riceverai una versione desktop, nel secondo una versione desktop reclinabile o un supporto a parete (soffitto). Sulle gambe sono presenti inserti in silicone che garantiscono proprietà antiscivolo del supporto.

Lo stesso ac2 è estremamente compatto, le dimensioni della novità sono paragonabili al solito hAP lite e in posizione eretta occupa un minimo di spazio.

Ripieno Mikrotik hAP ac²

Molti proprietari hanno cercato di esaminare l'interno di ac ^ 2, ma non tutti hanno ceduto, alcuni di quelli a cui ha ceduto hanno semplicemente rotto i fermi. Per questo motivo, vi invitiamo ad astenervi dall'aprire questo modello.

La prima cosa a cui prestare attenzione è la chiusura dello spazio interno del case. Cioè, ci sono "fessure" di ventilazione sul pannello frontale, ma non è necessario dire che migliorano soprattutto la ventilazione. Il riempimento del dispositivo si riscalda facilmente fino a 45 gradi quando è inattivo e durante il carico può salire fino a 52 gradi.

Non dovresti farti prendere dal panico per questo, il vecchio hAP ac si è riscaldato molto di più. Il dispositivo che abbiamo scelto come server si riscalda anche fino a 62-65 gradi in idle.

Quasi la metà della parte superiore della scheda RBD52G-5HacD2HnD-TC è ricoperta da un enorme dissipatore di calore ad ago.

Sullo stesso lato della scheda sono saldate 2 antenne, interfacce, un sottosistema di alimentazione e una porta USB.

Ci sono 4 fori di montaggio lungo il perimetro della scheda, probabilmente l'azienda ha precedentemente sperimentato diverse opzioni di case, tra cui quella classica.

Tutto il ripieno principale di hAP ac ^ 2 si trova sul retro del PCB.

Il dispositivo è basato sul chip Qualcomm IPQ-4018. È una soluzione altamente integrata che combina un processore ARM a 32 bit e moduli wireless.

Nonostante la forte somiglianza con l'IPQ-4019, questi 2 chip non sono intercambiabili. Il vecchio IPQ-4019 ha una dimensione fisica maggiore, un design e uno schema elettrico diversi.

Sebbene in generale, IPQ-4018 e IPQ-4019 differiscano solo nel set di interfacce.

L'unità di calcolo principale dell'IPQ-4018 è costituita da 4 core ARM Cortex A7 con una frequenza di clock di 717 MHz. Il chip include un blocco NAT hardware e Crypto Engine, come puoi immaginare, il primo blocco è responsabile dello scaricamento del NAT, il secondo della crittografia hardware.

Entrambi i moduli wireless sono configurazioni MIMO 2x2 (Dual-Chain), con ogni modulo dotato di un proprio coprocessore che fornisce l'offload hardware. Sono etichettati CPU n. 1 e CPU n. 2 nello schema a blocchi.

All'uscita di ogni catena, è saldata un'unità di amplificazione (nascosta sotto gli schermi), in totale ce ne sono 4.

Se guardi il diagramma a blocchi ufficiale di hAP ac2, elenca lo switch gigabit AR8327 ed è etichettato come integrato direttamente nell'IPQ-4018.

Allo stesso tempo, accanto al processore, è saldato il QCA8075 sulla scheda, che implementa 5 porte gigabit.

Se torniamo allo schema a blocchi ufficiale di Qualcomm, l'IPQ-4018 contiene "5GE L2 / 3/4 Switch Engine", poco a sinistra dello schema c'è un blocco esterno "QFE8075/2 (5/2 porte PHY) ".

Quindi, di fatto, il livello fisico (PHY) è implementato su un chip esterno separato QCA8075, ma il resto del cablaggio si trova direttamente nel SoC. Lo stesso RouterOS identifica lo switch come Atheros-8327.

Come al solito, non c'è molta memoria permanente - solo 16 MB (Winbond 25Q128JVSM).

La situazione con la RAM è più interessante. Ufficialmente, hAP ​​ac2 ha 128 MB di RAM. Allo stesso tempo, i primi lotti sono dotati di chip Nanya NT5CC128M16IP-DI da 256 MB.

L'utente finale ha a disposizione 233 MB. Mikrotik ha confermato questo fatto, ma non correggeranno la descrizione e le caratteristiche per hAP ac ^ 2, perché ci sono batch con 128 MB. Qualcuno del dipartimento di logistica ha fatto un sacco di casino.

Finora non ci siamo imbattuti in un singolo dispositivo con 128 MB, tutte le copie che abbiamo testato erano dotate di 256 MB di RAM.

La piattaforma hAP ac2 sarà in parte utilizzata nell'RB450Gx4, sebbene sia basata sull'IPQ-4019 con interfacce wireless disabilitate. Il costo della scheda sarà quasi il doppio di quello del dispositivo testato. In cambio, Mikrotik offre 1 GB di RAM, 512 MB di NAND Flash, un 5° livello di licenza e supporto per microSD.

Prestazioni HAP ac 2 con L2TP / MPPE

Al momento, esiste una gamma abbastanza ampia di possibilità per combinare reti remote in un'unica rete di computer. Gli strumenti più popolari sono PPTP, L2TP, OpenVPN e IPsec.

PPTP è il protocollo più vecchio e più insicuro, allo stesso tempo, stranamente, la stragrande maggioranza degli utenti Mikrotik utilizza il protocollo pptp obsoleto per le connessioni remote. A causa del fatto che questo protocollo è completamente obsoleto e anche i dispositivi Apple hanno smesso di supportarlo, non testeremo questo protocollo.

I protocolli più ottimali sono IPsec e OpenVPN.

IPsec è uno dei metodi di interconnessione di rete più sicuri oggi esistenti. Con una forte crittografia AES con supporto per chiavi a 128 e 256 bit, questo protocollo offre la massima affidabilità e riservatezza dei dati trasmessi, che possono essere di fondamentale importanza per le aziende e le agenzie governative. Oggi, anche utilizzando la potenza dei supercomputer, ci vorranno miliardi di anni per decifrare i dati crittografati con AES. Ci sono anche degli svantaggi in questo metodo: la presenza di IP statici esterni a entrambe le estremità della connessione e requisiti elevati per la piattaforma hardware. In linea di massima è possibile una connessione IPsec anche tra IP dinamici, anche se in questo caso bisognerà riconfigurare i parametri ogni volta che cambia uno degli indirizzi. Anche la piattaforma hardware non è così semplice, i RouterBOARD di fascia bassa possono fornire al massimo 10-20 Mbit con un carico completo della CPU.

I dispositivi più avanzati come RB750Gr3, RB850Gx2 (fuori produzione), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 e CCR1009 sono in grado di raggiungere velocità IPsec più elevate. Con l'avvento di hAP ac2, questo elenco può essere integrato con un altro modello, ma per prima cosa.

C'è anche la possibilità di utilizzare L2TP in combinazione con IPsec, il vantaggio principale di questa combinazione è l'elevata sicurezza, la configurazione rapida e semplice, nonché la grande fedeltà al NAT sul lato client finale. Tra i gravi inconvenienti di questa opzione, si dovrebbero notare requisiti molto elevati per la piattaforma hardware, forse L2TP / IPsec è il protocollo più esigente. È tutta colpa del doppio incapsulamento dei dati e della necessità di crittografia.

Il protocollo OpenVPN, che si basa sulla libreria OpenSSL e sui protocolli SSL/TLS, è privo di queste carenze. Lo stesso OVPN è estremamente flessibile nella configurazione e consente persino di mascherare il traffico come un normale HTTPS, consentendo di aggirare ogni tipo di restrizione da parte del provider. In genere, OVPN è più veloce di IPsec e supporta ancora una varietà di algoritmi di crittografia, incluso AES. Ci sono ancora degli svantaggi in questo metodo: configurazione più complessa e requisiti hardware elevati (così come per IPsec).

Da parte nostra, per cominciare, testeremo L2TP con crittografia MPPE standard a 128 bit.

L2TP è più affidabile e sicuro rispetto al protocollo della generazione precedente: PPTP. Si consiglia vivamente di abbandonare l'uso di PPTP a favore di protocolli più moderni. Se non hai la capacità e/o desideri utilizzare OVPN / IPsec / L2TP + IPsec, ti consigliamo di utilizzare L2TP / MPPE.

La raccomandazione principale per aumentare la sicurezza L2TP / MPPE è quella di utilizzare password molto lunghe composte da un insieme di lettere casuali (con layout diversi), numeri e caratteri speciali. L'uso di password "dizionario" non è raccomandato, poiché L2TP / MPPE presenta una serie di carenze che consentono di utilizzare i metodi del dizionario per indovinare la password, il che alla fine porta a una diminuzione della sicurezza di una chiave a 128 bit, rendendola equivalente a 56 -po (). In ogni caso, è molto meglio che usare PPTP.

Come coppia per hAP ac2, abbiamo scelto la comprovata piattaforma CCR1009, ovvero il.

È il membro più conveniente della linea CCR, che ha un potente processore Tile Gx a 9 core e 1 GB di RAM. Questa combinazione offre prestazioni elevate e la capacità di gestire fino a 2,5 Gbps di traffico IPsec.

Durante i test, la stabilità e l'affidabilità sono state ulteriormente verificate sotto carichi elevati, i dati sulle prestazioni sono indicati per il traffico utente (traffico utile), viene preso in considerazione il campione medio. I valori di picco delle prestazioni non sono inclusi nel calcolo dell'indicatore medio se la loro durata è inferiore a 30 secondi.

Su entrambi i lati, i PC con iperf vengono utilizzati come generatori di traffico, il che offre valori e flessibilità più affidabili rispetto al BTest integrato.

CCR1009 - IP WAN 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

hAP ac2 - IP WAN 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

Per CCR1009 è stata utilizzata una configurazione manuale, simile a defconf sui dispositivi di basso livello. ETH1 (non Combo) viene utilizzato come WAN, regole firewall standard, la porta 1701 è inoltre aperta.

La configurazione del server L2TP si basa su un profilo crittografato standard, l'MTU non è stato modificato e l'opzione "Consenti percorso rapido" è inoltre attivata.

Tutti i metodi di autenticazione legacy MSCHAP1, CHAP e PAP sono disabilitati, solo MSCHAP2 (MS-CHAPv2) è attivo.

Nelle realtà moderne, è meglio non usare la compressione per ottenere le massime prestazioni.

Sul lato client, le impostazioni sono simili, viene utilizzato il profilo predefinito con crittografia e l'opzione "Consenti percorso rapido".

Il routing alla rete remota è fornito da una route statica in combinazione con NAT masquerade, la route predefinita non viene utilizzata.

Entrambi i dispositivi dispongono di una connessione rapida configurata nel firewall per le connessioni stabilite e correlate.

In uscita abbiamo una classica combinazione di 2 reti basate su L2TP/MPPE

A seconda della direzione del traffico e della configurazione, CCR carica 1 core o distribuisce i calcoli tra tutti e 9 i core. Ad esempio, quando si inviano dati da CCR, viene utilizzato 1 core, mentre quando si ricevono dati per la decrittografia, tutti i core vengono caricati in modo uniforme.

Scambio di pacchetti di 1400 byte, modalità TCP

Il primo test del throughput viene eseguito per i pacchetti da 1400 byte.

Le prestazioni medie di un test a 1 thread sono 112 Mbps per la ricezione e 128 Mbps per l'invio.

Con un aumento del numero di sessioni a 10, la velocità passa a 111 e 170 Mbit, come puoi vedere, c'è un aumento delle prestazioni per l'invio con un aumento del numero di sessioni.

Non ci sono aumenti speciali per Download, indipendentemente dalle dimensioni dei pacchetti. È interessante notare che in tutti questi casi l'utilizzo di IPQ-4018 è stato in media fino al 25%. Viene caricato solo 1 core, solo occasionalmente il sistema esegue lo scaricamento su altri core, in modalità multi-thread.

Effettuiamo un ulteriore test per l'Upload e aumentiamo il numero di sessioni a 20 e 100, di conseguenza la velocità aumenta rispettivamente a 201 e 235 Mbps.

Per un ulteriore monitoraggio durante i test, è stato periodicamente utilizzato lo strumento Strumenti - Profilo, con il quale abbiamo tracciato la distribuzione delle risorse e il loro carico.

In realtà, mostra chiaramente che con un aumento del numero di connessioni simultanee, RouterOS, seppur con un bias, distribuisce parte dei calcoli al resto dei core. Insieme all'aumento delle prestazioni, il carico sulla CPU sale al 35-45%.

L'ultimo test di questo blocco viene effettuato per FDX (Full Duplex) con 10 connessioni opposte in ogni direzione, per un totale di 10 + 10 sessioni.

Di conseguenza, il throughput totale è stato di 185 Mbps.

Il diagramma delle prestazioni risultante per i pacchetti da 1400 byte ha il seguente aspetto:

A giudicare dalle statistiche di vendita, questo è il router più popolare della nostra gamma. Le ragioni sono molte, ma due, a nostro avviso, sono le più significative: la prima, costa solo $ 20, In secondo luogo, questo è Mikrotik... In totale si scopre "Mikrotik per $ 20", che è davvero impressionante.

Esprimiamo in anticipo la nostra opinione a riguardo: il router è più che degno di attenzione. Funziona in modo molto stabile, le velocità delle connessioni cablate e wireless sono abbastanza coerenti con quelle dichiarate e la sua funzionalità è paragonabile ai router Cisco / Juniper di fascia alta, che costano migliaia di dollari in cartellini dei prezzi. Ci sono anche degli svantaggi: ha solo 4 porte Ethernet (inclusa la porta WAN), il modulo radio è debole e non supporta lo standard 802.11ac. Tuttavia, qui, come nel noto scherzo volgare: "Beh, cosa volevi per $ 20?"

Così, addomesticiamo l'eroe del nostro materiale... La nostra linea di base è il provider che ci fornisce un indirizzo IP dinamico. Iniziamo:
1. Accendiamo il cavo del provider in 1a porta del router
2. Colleghiamo il cavo dal computer a qualsiasi porta libera rimanente
3. Come tutti i dispositivi Mikrotik, per impostazione predefinita ad hAP Lite viene assegnato l'indirizzo IP 192.168.88.1... Assegniamo le impostazioni di rete del nostro computer dalla stessa sottorete. Per esempio, indirizzo 192.168.88.10, maschera 255.255.255.0, gateway 192.168.88.1, DNS 192.168.88.1:

4. Andiamo al router tramite browser:

Qui faremo una piccola digressione: in hAP Lite, Mikrotik ha implementato una configurazione predefinita, che prevede un avvio rapido. Il router è già configurato per ricevere un indirizzo dinamico sulla 1a interfaccia, è abilitato un server DHCP, è configurato un bridge tra le porte. Infatti, nella nostra topologia, il router ha funzionato come previsto subito dopo essere stato acceso. Tuttavia, non siamo qui per questo, quindi...

5. Ripristiniamo il router alle impostazioni di fabbrica. Per farlo, clicca sopra la sezione Sistema pulsante Ripristina configurazione:

6. Controlla il parametro Nessuna configurazione predefinita e premi Ripristina configurazione:

7. Confermiamo la nostra intenzione:

8. Dopo circa un minuto, il router si riavvierà. C'è un piccolo intoppo qui: dopo aver resettato il router con la cancellazione della configurazione di default, non verrà più assegnato un indirizzo IP, e non sarà possibile accedervi dal browser. Nessun problema, per questo caso, Mikrotik ha un'applicazione speciale per la configurazione - WinBox... Scaricalo dal sito http://www.mikrotik.com/download nella sezione Strumenti e utilità utili:

9. WinBox non richiede installazione. Lo lanciamo e in basso, fai clic sulla scheda Vicinato... Tutti i dispositivi Mikrotik all'interno del dominio di trasmissione dovrebbero apparire nell'elenco sottostante. Nel nostro caso, questo sarà l'unico eroe dell'articolo. Fare clic sul suo indirizzo MAC (è importante!), quindi premere il pulsante Collegare nella parte superiore dello schermo:

10. L'interfaccia del router appare in tutto il suo splendore. Finestra R configurazione predefinita del sistema operativo esterno chiudere premendo ok:

11. Nel menu a sinistra, fare clic su Interfacce... Notare che in una configurazione vuota, l'interfaccia wireless è disabilitata sul router... È chiamato wlan1. Selezionalo e fai clic sul segno di spunta blu nella parte superiore della finestra. Questo ci sarà utile nel prossimo futuro:

12. Doppio click apri l'interfaccia ether2, cambia il suo nome in ether2-master e premi ok:

13. Ora apri l'interfaccia ether3 e modificare il parametro Porta principale Su ether2-master:

14. Ripetiamo la stessa azione per l'interfaccia ether4: aprilo e cambia il parametro Master Port in ether2-master.

Questo paragrafo dovrebbe essere letto solo da coloro che sono fortemente interessati al lato tecnico della questione! Se hai aperto l'articolo solo per avere un cheat sheet di installazione davanti ai tuoi occhi, puoi saltarlo!
E ora decifreremo ciò che è stato fatto nei paragrafi 12-14: a differenza dei router domestici più familiari, nei router Mikrotik, le porte per impostazione predefinita non sono incluse in una singola matrice di commutazione, ad es. non fanno parte dell'interruttore in quanto tale. Per "raccoglierli" in uno switch logico, ci sono 2 modi: software e hardware. Il software - bridge - utilizza il processore centrale del router per la commutazione. L'hardware utilizza uno speciale chip di commutazione hardware e la CPU non viene utilizzata. Pertanto, per il funzionamento delle porte in modalità switch, si suggerisce naturalmente l'uso di un chip di commutazione. Passiamo ora a quello che abbiamo fatto prima: abbiamo rinominato la porta ether2 in ether2-master in modo da poter vedere chiaramente nella console di configurazione quale porta è la master per le altre e abbiamo detto al router che la porta ether2 è la porta master per l'altra Due. Utilizzando la porta master, abbiamo utilizzato un chip di commutazione e la CPU non è più coinvolta nel calcolo della commutazione di pacchetto tra le porte ether2-ether4. Puoi leggere di più sulla commutazione dei chip e sulle loro capacità qui: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

15. Creiamo un bridge per le interfacce che formano un profilo di rete locale. A sinistra nel menu, fare clic su Ponte, nella prima scheda Ponte spingere + , nella finestra aperta inserisci il nome del ponte(Per esempio, LAN) e premere Ok:

16. Noi passiamo alla scheda Porte, premere + , scegliere Interfaccia- wlan1, Ponte- LAN, premere ok:

17. Ripetiamo la procedura per l'interfaccia ether2-master.

18. Tuo l'elenco finale delle porte nel bridge dovrebbe essere simile a questo:

19. Come menzionato sopra, nella nostra topologia, il provider ci fornisce un indirizzo IP dinamico... Accendere il client DHCP sulla porta WAN del router. Per farlo, apri il menu a sinistra IP-> Client DHCP e nella finestra che appare, fare clic su + :

20. Il cavo del provider è inserito nella prima porta del router. Noi scegliamo Interfaccia- etere1, necessariamente imposta il parametro Aggiungi percorso predefinito in posizione sì e premi ok:

21. Ora, nella finestra del client DHCP, vedrai su quale interfaccia è abilitato il client DHCP e quale indirizzo ha ricevuto:

22. Attiva NAT. Per fare ciò, nel menu a sinistra, apri IP-> Firewall, vai alla scheda NAT, premere + , nella finestra che appare, impostare il parametro Catena in posizione srcnat, parametro Fuori. Interfaccia in posizione etere1:

23. Senza uscire dalla finestra Nuova regola NAT, vai alla scheda Azione e impostare il parametro Azione in posizione mascherata e poi premere Ok:

24. Configuriamo il DNS. Nel menù a sinistra IP-> DNS... Il nostro provider ci ha già fornito 2 server dinamici, ma il loro elenco può essere integrato (compilato nel parametro Server) con le proprie mani. La cosa principale in questa finestra non dimenticare di selezionare Consenti richieste remote, dopodiché puoi premere Ok:

25. È il momento di assegnare un indirizzo IP al router per lavorare nella rete locale. Vai al menu a sinistra IP-> Indirizzi, nella finestra che si apre, fare clic su + e inserire l'indirizzo IP/maschera di sottorete... Nel nostro caso useremo 192.168.88.1/24... Parametro Interfaccia dovrebbe essere impostato in posizione LAN(questo è il nostro Bridge, creato nel passaggio 15; potrebbe avere un nome diverso per te), dopodiché puoi premere ok:

Ora il nostro elenco di indirizzi IP dovrebbe essere simile a questo(ovviamente, l'indirizzo sull'interfaccia ether1 sarà diverso per te):

26. A proposito, dovremmo avere accesso a Internet sul nostro computer! Controlliamo:

Apparso davvero! Ma rimandiamo la celebrazione a più tardi.

27. Ora configuriamo il server DHCP. Vai al menu a sinistra IP-> Server DHCP, nella finestra che si apre, fare clic su Configurazione DHCP:

28. Selezioniamo come interfaccia su cui funzionerà DHCP, il nostro bridge - LAN, clicca Prossimo:

29. Impostiamo lo spazio degli indirizzi. Abbiamo in programma di rilasciare indirizzi sulla rete 192.168.88.0 con una maschera 255.255.255.0, perciò inseriamo 192.168.88.0/24 e premi Prossimo:

30. Indichiamo il gateway. Abbiamo 192.168.88.1. Spingere Prossimo:

31. Definire il pool di indirizzi IP che verranno emessi ai client. Qui ti consigliamo di prendere la tua decisione in base alla topologia della tua rete. Useremo l'intervallo 192.168.88.2-192.168.88.254, entra e clicca Prossimo:

32. Inserisci i server DNS(puoi avere il tuo o utilizzare il DNS pubblico di Google o Yandex), fai clic su Prossimo:

33. Inserisci il periodo di locazione per gli indirizzi IP(non è possibile modificare quello predefinito), fare clic su Prossimo:

Su questo La configurazione del server DHCP è completa:

34. Ora configuriamo il WiFi. Clicca nel menu a sinistra su senza fili, nella finestra aperta apri l'interfaccia wlan1 facendo doppio clic, e impostare i parametri:
- Modalità- un ponte
- Gruppo musicale- 2GHz-B / G / N
- SSID- inserisci il nome della tua rete WiFi
- Protocollo wireless - 802.11
- Modalità WPS - Disabilitato

Dopo di che clicca ok:

35. Ora impostiamo una password per la nostra rete. Andiamo avanti alla scheda Profili di sicurezza, apriamo profilo base... Ora:
-impostare il parametro Modalità in posizione tasti dinamici
- metti un segno di spunta WPA2 PSK nel parametro Tipi di autenticazione
- metti tutte le caselle in Unicast Ciphers e Group Ciphers
- nel campo Chiave pre-condivisa WPA2, inserisci la password dalla rete WiFi
- premere ok

36. Connettiamoci al WiFi, controlliamo le sue prestazioni. Le connessioni attive possono essere visualizzate nella scheda Registrazione:

37. Ora spegni tutte le interfacce per la gestione del router, tranne WinBox(se necessario, conserva quelli che ti servono, ma dal punto di vista della sicurezza sconsigliamo l'utilizzo di un firewall). Per farlo, vai su IP-> Servizi, seleziona i servizi non necessari e fai clic sulla croce rossa:

38. Resta da impostare la password dell'amministratore. Vai a Sistema-> Utenti, entra nel profilo utente admin, premere Parola d'ordine, inserisci due volte la password nei campi nuova password e conferma password e clicca ok:

Quindi, al momento abbiamo una configurazione standard senza separazione di rete. Per delimitare la nostra rete locale, creeremo un segmento (parte) della rete per i bambini. Per fare ciò, selezionare nel menu winbox → Bridge (1) → Bridge (2) → plus (3) → Generale (4) → e aggiungere il nome bridge-child al campo nome (5). Salva modifiche - OK.

Prepariamo le interfacce (porte) per l'inclusione nel bridge-child. Nella nostra configurazione, per il bambino verranno configurate una quarta porta ether4 e un'ulteriore rete Wi-Fi per bambini. Ciò significa che collegandosi alla quarta porta con un cavo e/o alla rete dei bambini tramite WiFi, si avrà l'accesso dei bambini a Internet tramite queste interfacce.

Impostiamo un profilo di sicurezza per una rete WiFi per bambini. WinBox → Wireless (1) → Profili di sicurezza (2) → plus (3) → Generale (4) → nel campo Nome (5), inserire figlio → nei campi WPA (6) e WPA2 (6), inserire futuro password sul Wifi della rete dei bambini... Salviamo le impostazioni - OK.

Aggiungiamo una nuova rete wifi. WinBox → Wireless (1) → Interfacce (2) → plus (3) → Virtual AP (4) → Wireless (5) → inserire il nome della rete WiFi per bambini nel campo SSID (6) → selezionare il profilo di sicurezza (7 ) per la nostra rete. Salviamo le impostazioni - OK.

Configuriamo l'interfaccia ether4. Winbox → Interfacce (1) → Interfaccia (2) → fare doppio clic sul pulsante sinistro su ehter4 (3) e accedere alle impostazioni dell'interfaccia → selezionare nessuna nel campo Porta principale (4). Applica le impostazioni - OK.

Successivamente, includeremo le nostre interfacce nel bridge-child preparato. Winbox → Bridge (1) → Porte (2) → plus (3) → aggiungi interfaccia ether4 (4) → a Bridge (5) bridge-child. Lo faremo anche per l'interfaccia wlan2 (6) (7). Salva tutte le modifiche - OK.

Assegniamo un indirizzo interno all'interfaccia bridge-child. WinBox → IP (1) → indirizzo (2) → plus (3) → compilare i campi (4), (5), (6) secondo lo screenshot.

Ora è necessario assegnare un server DHCP al segmento di rete dei bambini per configurare automaticamente i parametri IP dei client di rete. Per fare ciò, è necessario Winbox → IP (1) → Server DHCP (2) → DHCP (3) → Configurazione DHCP (4) → selezionare l'interfaccia bridge-child nel campo dhcp Server Interface (5).

Successivamente, è necessario fare clic sul pulsante Avanti e seguire la procedura guidata di configurazione del server DHCP senza modificare nulla. Una volta raggiunta la finestra Seleziona tempo di locazione:

Qui è necessario modificare il tempo di locazione standard in 3d 00:10:00 e completare la configurazione del server DHCP.

Se hai fatto tutto correttamente, a questo punto dovresti avere due segmenti di rete:

Rete LAN-4 per bambini; Wifi. Indirizzamento - 192.168.99.0/24 Rete per adulti LAN-2, LAN-3; Wifi. Indirizzamento - 192.168.88.0/24

Ora queste due reti non hanno restrizioni e sono completamente uguali. Per iniziare a configurare funzioni restrittive per una rete per bambini, è necessario completare le impostazioni preliminari del router, ovvero:

• Imposta password e SSID (nome di rete) sulla rete Wi-Fi per adulti
• Imposta una password per l'utente amministratore
• Aggiorna il tuo router all'ultima versione.

Se trovi difficile farlo da solo, puoi trovare le istruzioni passo passo per impostare questi parametri in