Простая изоляция клиентов ЛВС с *nix роутером. Что такое изоляция клиентов в роутере


Локальная сеть через wifi роутер: настройка, включение опций, скорость

Настроив и подключив домашний или офисный роутер, можно обнаружить, что скорость Интернет-соединения далека от идеала. Понятно, что немного занижает скорость сам маршрутизатор, а трафик в любом случае делится между абонентами локалки. Попытаемся ответить на следующий вопрос: насколько медленнее станет работать локальная сеть через WiFi роутер, если число ее абонентов возрастет. Здесь идет речь о скорости передачи IP-пакетов в проводной сети, а абонентами могут быть Wi-Fi-устройства или ПК, подключенные по кабелю.

Маршрутизация – это перемещение IP-пакета от источника к приемнику через сеть. Скорость маршрутизации может быть разной в зависимости от того, сколько разных цифровых сетей пакету предстоит пройти. Для домашних и офисных роутеров принято различать скорость маршрутизации между следующими сетями:

  • WAN и LAN (проводной сегмент)
  • WLAN и WLAN (сегмент Wi-Fi)
  • LAN и WLAN (локальный сегмент)
  • LAN и LAN (внутренний проводной сегмент)

Нас будет интересовать, чему равна скорость маршрутизации LAN-LAN. Точнее, надо будет определить, как данное значение зависит от разных факторов (от числа абонентов беспроводной сети и т.д.).

Особенности аппаратной реализации

Конструкция сетевого комбайна может содержать свитч, в действительности представляющий собой сетевой hub. Тогда, как можно понять, ни один из «внешних» по отношению к сегменту LAN факторов на работу этого сегмента не влияет.

WiFi роутер

Устройство с процессором RTL8196

Чтобы доказать, что роутеры со встроенным свитчем действительно существуют, не надо их разбирать. Достаточно посмотреть в спецификации, относящиеся к основному процессору. Например, про чип RTL8196 (Realtek) сказано: 32-битный процессор RISC дополнен встроенным в микросхему 5-портовым свитчем на 100 Мбит/с. Свитч или hub в виде отдельной микросхемы Вы не найдете, но знайте, что он – есть, и содержит 5 Ethernet-портов.

Одновременно с чем существуют домашние и офисные роутеры, не содержащие аппаратных свитчей. Каждый из 4-х портов LAN в таком случае оснащается собственным контроллером. Если web-интерфейс позволяет выбирать номер порта для STB-приставки, то есть объединять порт LAN с WAN-портом в свитч, то аппаратных свитчей конструкция не содержит.

Локальная сеть - IPTV

Выбор порта IPTV STB

Практически любая модель роутера с портом ADSL наделена опцией, позволяющей объединять в свитч любой из LAN-портов с виртуальным интерфейсом подключения. Это значит, что аппаратного свитча в таких моделях тоже нет. Теоретически, на скорость маршрутизации LAN-LAN в подобных роутерах «сторонние» факторы влиять могут, а насколько сильно, попытаемся узнать дальше.

Результаты тестирования производительности LAN

С марта 2010 года сайт «smallnetbuilder» не тестирует производительность проводных локальных сетей, организуемых серийно выпускаемыми сетевыми комбайнами. Если речь идет о 100 Мбит/с, а не о «гигабите», в таком тестировании просто нет смысла – результат все равно не будет хуже, чем значения, получаемые с использованием аппаратных свитчей. Об этом заявлено в пояснении к тестам:

Скриншот с сайта Smallnetbuilder

Причина отсутствия тестов LAN-LAN

А вот с гигабитными сетями все выглядит не так однозначно. Роутер ASUS RT-N16, выпускаемый с 2010 года, обеспечивает в проводной сети скорость передачи пакетов до 600-650 Мбит/с, если к устройству подключены 2 ПК. Сторонние факторы (число клиентов беспроводной сети и другие) на это значение почти не влияют.

Делаем следующий вывод. 100-мегабитная проводная сеть, организуемая современным сетевым комбайном, таковой и является.

С гигабитными устройствами все несколько сложнее – гарантированно можно получить 400 или 500 Мбит/с. Но вряд ли это значение понизится, как только к точке доступа Wi-Fi подключится один или несколько новых абонентов. Так что, выбирая роутер, о скорости сети LAN можно не беспокоиться вообще.

Использование опции AP Isolation

Трафик в локальной сети делится между всеми пользователями. Здесь, на первый взгляд, все справедливо. Но иногда можно обнаружить, что суммарная скорость обмена данными оказывается ниже, чем теоретическое значение (100 Мбит/с или 500 Мбит/с). Причиной этого может служить передача многоадресных, а также широковещательных пакетов. Последние из них можно запретить передавать, правда, только в беспроводной сети. При этом можно получить негативный эффект (будут отсутствовать некоторые сервисы), но попробовать запретить broadcast смысл есть.

Выключаем широковещательный трафик Wi-Fi

Такая опция, как «AP Isolation», она же может называться «Client Isolation», расположена в настройках Wi-Fi. Активировав ее, мы запретим передачу широковещательных пакетов в беспроводной сети. Из этого последует интересный эффект – абоненты Wi-Fi будут иметь доступ к Интернету, но не к локальным ресурсам (ПК других абонентов, NAS, принтерам).

Запрет на передачу широковещательных пакетов

AP-изоляция, комбайн Tenda

Заметим, что рассмотренной возможностью надо пользоваться осторожно, так как попутно можно получить отсутствие IP-телевидения, либо какой-то другой неработающий сервис.

Мы отключаем широковещание только в беспроводной сети. Одновременно с чем перестают функционировать сервисы, отвечающие за автоматическую настройку маршрутов (RIP). Строго говоря, совместно с «изоляцией AP» может работать только RIP версии 2M. Поэтому, не удивляйтесь, если что-то перестанет работать из-за активации одной малозаметной опции.

Добиваемся присутствия IP-телевидения

Если Вы активировали рассмотренную функцию, закройте плейер TV на беспроводном устройстве, а затем попробуйте открыть его снова. Если все работает – считайте, что повезло. В большинстве случаев многоадресная передача используется при трансляции потоков, но при инициализации идет как раз широковещание. Будьте внимательны.

Все же, смотреть IPTV одновременно с «изоляцией AP» возможность есть. В крайнем случае, никто не запрещает использовать UDP-прокси (UDPxy). Только вот данный программный модуль есть не во всех прошивках. Что относится к устройствам старых моделей, у которых мало памяти. А в web-интерфейсе функция UDPxy выглядит так:

Трансляция IPTV-каналов через HTTP-соединение

Сетевой комбайн ZyXEL, UDPxy

Заметим, что прокси-сервер UDP будет работать, если отключить передачу multicast-потоков, так как две эти функции взаимно исключают друг друга.

Настройка «изоляции AP», web-интерфейс TP-Link

http://youtu.be/_8LyAk6iPxQ

27sysday.ru

Простая изоляция клиентов ЛВС с *nix роутером / Песочница / Хабрахабр

Порой приходится изолировать пользователей друг от друга, разрешив доступ только к определенным портам (причин может быть множество: запрет сетевых игр, ограничение распространения червей и т.п.), либо — вообще зарубить обмен между некоторыми клиентскими машинами на корню, оставив только доступ к серверу либо интернету.

Типичное в этом случае решение — vlan per user, однако оно, не смотря на свою очевидность, имеет и минусы, главный из которых — при росте кол-ва пользователей соответственно растет и кол-во вланов, а при наличии цепочки из нескольких свичей без поддержки SNMP (как, к примеру, бюджетная TPLink websmart серия, которая вполне применима для пользования на средних размеров предприятии, либо — даже у ISP) поднимать вланы становится утомительным. + не совсем рациональное использование адресного пространства (актуально, если абонентам выдаются белые адреса). Альтернативное решение — пользовать port-based vlan, но при этом становится невозможным обмен между клиентами, либо — придется опять-таки поднимать на каждого клиента свою подсеть, что есть не совсем удобно и не совсем рационально использует адресное пространство.

Идеальным решением было бы использование некоего подобия ip unnumbered в сочетании с port-based vlan (либо — даже без оного, если пользователи назначить адреса в ручную не смогут). И это, как показали эксперименты, вполне возможно. Суть решения — выдача клиентам IP адресов с маской /32. Да-да, шлюз будет при этом находиться в другой подсети — подсеть клиента-то ограничена одним его адресом. Но, тем не менее, это работает. Как работает (и какие дополнительные условия) — расскажу чуть ниже, с учетом особенностей 2-х классов ОС, с правильно реализованной сетевой подсистемой (читать *nix), и с неправильно реализованной сетевой подсистемой (читать Windows). Итак, начнем с Windows. В ней, как это ни странно звучит, попытка назначить шлюз из абсолютно другой подсети, к которой система не знает маршрута, не вызывает никакого сопротивления — маршрут к шлюзу назначается через интерфейс, на котором этот шлюз прописан. Т.е. — выдаем клиенту 192.168.0.5/32 со шлюзом 192.168.0.254, и все работает. Один минус — вручную назначить маску подсети /32 не выйдет, как бы вы не бились. Ни как основной IP, ни как дополнительный. Впрочем, никто не помешает назначить допустим 192.168.0.5/30, и шлюз 192.168.0.254 — все опять-таки будет прекрасно работать. Хотя и не должно, если следовать логике.

Теперь же — перейдем к самому интересному: *nix системам. На попытку назначить дефолтный маршрут через шлюз, к которому нет маршрута — правильная ОС пошлет куда подальше, даже если указать интерфейс, через который вроде как должны ходить пакеты. Что вполне логично. Однако, решение есть: перед тем, как добавить дефолтный маршрут, остаточно всего лишь добавить маршрут к дефолтному шлюзу через интерфейс (ip route add 192.168.0.254/32 dev eth0). А при выдаче через DHCP — достаточно выдать classless или classful маршрут к шлюзу через 0.0.0.0 (шлюз 0.0.0.0 — подразумевает, что IP адрес назначения находится в этом же сегменте и, соответственно, обращение к нему идет напрямую).

Осталось одно: конфигурация собственно роутера. На нем поднимается подсеть нужной ширины (в данном примере — назначается адрес 192.168.0.254/24), как будто все клиенты работают с обычной /24 подсетью, и естественно DHCP сервер.

Итого, для работы всех клиентов (ну, возможно, кроме особо кривых китайских SOHO роутеров), достаточно поднять на роутере DHCP, указать в конфиге выдавать клиентам подсеть /32, и выдавать дополнительно маршрут на дефолтный шлюз через 0.0.0.0. Вот пример конфига DHCP сервера моей тестовой подсети:subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.1 192.168.0.253; option static-routes 192.168.0.254 0.0.0.0; option routers 192.168.0.254; option domain-name-servers 192.168.0.254; option subnet-mask 255.255.255.255; } Эксперименты показали стабильную работу как с Windows (XP, 7), так и с Linux (различные дистрибутивы, в т.ч. embedded linux SOHO роутеров). Полномасштабных экспериментов с сотнями устройств/операционок не ставил, но из того что было под руками — несовместимости не обнаружил.

habrahabr.ru

Простая изоляция клиентов ЛВС с *nix роутером / Blog by admin / it-гики

Порой приходится изолировать пользователей друг от друга, разрешив доступ только к определенным портам (причин может быть множество: запрет сетевых игр, ограничение распространения червей и т.п.), либо — вообще зарубить обмен между некоторыми клиентскими машинами на корню, оставив только доступ к серверу либо интернету.

Типичное в этом случае решение — vlan per user, однако оно, не смотря на свою очевидность, имеет и минусы, главный из которых — при росте кол-ва пользователей соответственно растет и кол-во вланов, а при наличии цепочки из нескольких свичей без поддержки SNMP (как, к примеру, бюджетная TPLink websmart серия, которая вполне применима для пользования на средних размеров предприятии, либо — даже у ISP) поднимать вланы становится утомительным. + не совсем рациональное использование адресного пространства (актуально, если абонентам выдаются белые адреса). Альтернативное решение — пользовать port-based vlan, но при этом становится невозможным обмен между клиентами, либо — придется опять-таки поднимать на каждого клиента свою подсеть, что есть не совсем удобно и не совсем рационально использует адресное пространство.

Идеальным решением было бы использование некоего подобия ip unnumbered в сочетании с port-based vlan (либо — даже без оного, если пользователи назначить адреса в ручную не смогут). И это, как показали эксперименты, вполне возможно. Суть решения — выдача клиентам IP адресов с маской /32. Да-да, шлюз будет при этом находиться в другой подсети — подсеть клиента-то ограничена одним его адресом. Но, тем не менее, это работает. Как работает (и какие дополнительные условия) — расскажу чуть ниже, с учетом особенностей 2-х классов ОС, с правильно реализованной сетевой подсистемой (читать *nix), и с неправильно реализованной сетевой подсистемой (читать Windows).

Итак, начнем с Windows. В ней, как это ни странно звучит, попытка назначить шлюз из абсолютно другой подсети, к которой система не знает маршрута, не вызывает никакого сопротивления — маршрут к шлюзу назначается через интерфейс, на котором этот шлюз прописан. Т.е. — выдаем клиенту 192.168.0.5/32 со шлюзом 192.168.0.254, и все работает. Один минус — вручную назначить маску подсети /32 не выйдет, как бы вы не бились. Ни как основной IP, ни как дополнительный. Впрочем, никто не помешает назначить допустим 192.168.0.5/30, и шлюз 192.168.0.254 — все опять-таки будет прекрасно работать. Хотя и не должно, если следовать логике.

Теперь же — перейдем к самому интересному: *nix системам. На попытку назначить дефолтный маршрут через шлюз, к которому нет маршрута — правильная ОС пошлет куда подальше, даже если указать интерфейс, через который вроде как должны ходить пакеты. Что вполне логично. Однако, решение есть: перед тем, как добавить дефолтный маршрут, остаточно всего лишь добавить маршрут к дефолтному шлюзу через интерфейс (ip route add 192.168.0.254/32 dev eth0). А при выдаче через DHCP — достаточно выдать classless или classful маршрут к шлюзу через 0.0.0.0 (шлюз 0.0.0.0 — подразумевает, что IP адрес назначения находится в этом же сегменте и, соответственно, обращение к нему идет напрямую).

Осталось одно: конфигурация собственно роутера. На нем поднимается подсеть нужной ширины (в данном примере — назначается адрес 192.168.0.254/24), как будто все клиенты работают с обычной /24 подсетью, и естественно DHCP сервер.

Итого, для работы всех клиентов (ну, возможно, кроме особо кривых китайских SOHO роутеров), достаточно поднять на роутере DHCP, указать в конфиге выдавать клиентам подсеть /32, и выдавать дополнительно маршрут на дефолтный шлюз через 0.0.0.0. Вот пример конфига DHCP сервера моей тестовой подсети: subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.1 192.168.0.253; option static-routes 192.168.0.254 0.0.0.0; option routers 192.168.0.254; option domain-name-servers 192.168.0.254; option subnet-mask 255.255.255.255; } Эксперименты показали стабильную работу как с Windows (XP, 7), так и с Linux (различные дистрибутивы, в т.ч. embedded linux SOHO роутеров). Полномасштабных экспериментов с сотнями устройств/операционок не ставил, но из того что было под руками — несовместимости не обнаружил.

it-giki.com

Блог - Как стать провайдером, часть 2

В предыдущем обзоре мы настроили PPPoE сервер, подключение к провайдеру и создали клиентские учетные записи. Но сервер доступа сам по себе не может подключать клиентов - понадобятся внешние каналы, в данном случае базовая станция беспроводного доступа.

В качестве БС будем использовать плату Mikrotik RB433L с радиокартой R52n-M.

RouterBOARD RB433L имеет 3 сетевых порта для подключения к кабельной сети, а так же 3 mini-PCI разъема для установки радиокарт. В данном случае установлена R52n-M, ее используют для работы на частоте 2ГГц.

Благодаря 3-м сетевым портам, устройство можно использовать после повреждения грозовым разрядом. Если первый порт выходит из строя, можно использовать второй и третий, после выхода из строя второго - третий. Для подачи питания потребуется раздвоить линии питания и данных, т.к. PoE поддерживает только первый разъем.

Заходим на наш маршрутизатор, который настраивали в предыдущей статье. В разделе Bridge создаем новый бридж с названием bridge_main.

На вкладке Ports добавляем в него второй сетевой порт - ether2.

И по аналогии еще 4 порта - 3, 4 и 5. Можно добавить и все оставшиеся сетевые порты - все они объединяются между собой и устройство можно использовать как коммутатор.

Далее в меню IP->Addresses добавляем адрес 10.0.0.1/24 на интерфейс bridge_main. Теперь маршрутизатор может общаться с другими устройствами внутренней сети.

Для изоляции трафика клиентов каждой беспроводной точки доступа создаем влан. В меню Interfaces на вкладке VLAN нажимаем на + и в открывшемся окне вводим следующую информацию:

Name: vlan_10 - имя интерфейса в системе, желательно указывать понятные имена, обычно через подчеркивание указывают номер влана, что бы иметь возможность ориентироваться в интерфейсах.

VLANID: 10 - номер влана, должен быть одинаковый на всех устройствах, которые могут передавать данные через него.

Interface: bridge_main - интерфейс, на котором снимается влан. В нашем случае сетевые порты 2-5 объединены в бридж, следовательно влан с номером 10 будет доступен в каждом из них. Если вы укажете влан на интерфейсе, например ether2, то он работать не будет, потому что этот интерфейс объединен в бридж.

PPPoE сервер переводим с интерфейса ether2 на vlan_10, выбрав нужный интерфейс из списка в меню PPP на вкладке PPPoE Servers.

Переходим к настройке базовой станции. При первом включении следует отменить начальную конфигурацию, нажав на кнопку Remove Configuration.

Обновляем программное обеспечение - перетаскиваем мышкой файл с новой прошивкой и по окончании загрузки перезагружаем устройство через меню System->Reboot.

У Mikrotik RB433L 3 сетевых интерфейса, и дополнительно установлен беспроводной адаптер, он выделен серым потому что выключен. Любой новый беспроводной адаптер, установленный в любой борд микротика по умолчанию отключен.

В меню Bridge создаем новый бридж с именем bridge_ether для объединения сетевых портов.

А так же bridge_AP_2GHz для работы беспроводного адаптера.

На вкладке Ports в бридж bridge_ether добавляем интерфейс ether1.

По аналогии так же добавляем остальные сетевые порты, в бридж bridge_AP_2GHz добавляем интерфейс wlan1.

В разделе Interfaces на вкладке VLAN создаем новый влан - vlan_10 с номером 10 на интерфейсе bridge_ether.

И добавляем только что созданный интерфейс vlan_10 в бридж bridge_AP_2GHz.

В меню IP->Addresses добавляем адрес 10.0.0.10/24 на бридж bridge_ether.

Слева на заднем фоне видно, что влан установлен на этом же бридже - он вынесен вправо сразу под ним.

А так же в меню IP->Routes добавляем новый шлюз на сеть 0.0.0.0/0 (на все адреса) через маршрутизатор 10.0.0.1.

Для проверки работы сети запустим пинг через меню Tools->Ping. Указываем адрес сервера - 10.0.0.1 и нажимаем кнопку Start, если все в порядке то появляются ответы с указанного адреса, все работает правильно.

Теперь переходим к настройке беспроводного адаптера. Начнем с профиля шифрования, он используется для работы в режимах 802.11 и Nstreme. В меню Wireless на вкладке Security Profile редактируем профиль default. Указываем:

Mode: dynamic keys.

Authentication Types: WPA PSK и WPA2 PSK - типы шифрования.

Unicast и Group Ciphers: tkip и aes ccm - первое программное шифрование, второе аппаратное. В принципе tkip можно не устанавливать, однако некоторые старые устройства, или не правильно настроенные, могут не подключиться к такой БС, поэтому обычно устанавливают все галочки.

WPA и WPA2 Pre-Shared Key: test123456 - ключи шифрования, должны быть одинаковые на базовой станции и клиентских устройствах.

Переходим на вкладку Interfaces и заходим в свойства беспроводного адаптера. На вкладке General меняем имя на wlan_AP_2GHz. Далее нажимаем кнопку Advanced Mode что бы получить доступ ко всем разделам настроек.

Основные настройки производятся на вкладке Wireless:

Mode: ap bridge - режим работы базовая станция.

Band: 2GHz-B/G/N - поддерживаемые режимы, в данном случае 2ГГц B/G/N, можно выбрать и просто B/G, либо only-G.

Channel Width: 20 - ширина рабочей полосы, можно выбрать 5, 10, 20, 20/40 HT Above или 20/40 HT Below.

Frequency: 2412 - рабочая частота. При установки нескольких базовых станций рядом их частоты должны отличаться как минимум на 20 и более МГц.

SSID: TEST - имя беспроводной сети.

Radio Name - имя устройства, отображается при сканировании сетей.

Scan List: 2300-2734 - сканлист, в котором производится сканирование беспроводных сетей.

Wireless Protocol: NV2 - протокол работы. NV2 - самый современный поллинговый протокол, его следует использовать для получения максимальной скорости, Nstreme - предыдущая версия поллингового протокола, используется в тех случаях, когда NV2 работает плохо в следствии помех. Поллинговые протоколы поддерживают базы и клиенты Mikrotik, другие устройства подключиться не смогут. 802.11 - работа в режиме стандартного вайфая, только в нем могут подключаться другие устройства, например ноутбуки.

Security Profiles: default - профиль шифрования.

Frequency Mode: superchannel - включает режим, при котором доступен весь диапазон частот.

Снимаем галочку Default Forward для блокировки трафика между клиентами при работе без WDS.

На вкладке Data Rates производится управление канальными скоростями.

Пункт Rate Selection всегда следует устанавливать в режим advanced, в этом случае скорость выбирается исходя из количества ошибок, помех и иных факторов, что увеличивает стабильность.

Supported Rates - канальные скорости, поддерживаемые беспроводным адаптером.

Basic Rates - канальные скорости, на которых передается служебный трафик.

Режим B следует всегда отключать, если отсутствуют проблемы совместимости с клиентскими устройствами. Если клиенты Mikrotik или Ubiquiti - то галочки со всех скоростей B режимов следует снять.

При выборе поллингового протокола NV2 на вкладке Advanced ничего изменять не нужно.

Если требуется работа в Nstreme или 802.11, то вкладка Advanced принимает совершенно другой вид. На ней следует произвести следующие настройки:

Periodic Calibration: enabled - включение автоматического переопределения уровня шума.

Calibration Interval: 00:00:10 - интервал времени, через который будет определен и установлен текущий уровень шума, измеренный для радиокарты.

Hw/Protection Mode: rts cts - включения механизма защиты от скрытого узла.

Adaptive Noise Immunity: ap and client mode - включение встроенной защиты от помех (на самом деле помогает не сильно).

На вкладке HT производится управление каналами на передачу. Если радиокарта имеет 2 не зависимых канала приема/передачи, можно включать и выключать каждый канал галочками:

HT Tx Chains - каналы передачи.

HT Rx Chains - каналы приема.

Chain0 - первый разъем радиокарты, Chain1 - второй.

HT Guard Interval всегда при работе на улице следует устанавливать в значение long.

На вкладке HT MCS производится управление канальными скоростями в режиме N.

Канальные скорости MCS0 - MCS7 работают без MIMO, если все галочки, что выше снять, то даже при использовании двухполяризационной антенны через каждый канал будут передаваться одни и те же данные, этот режим используется, когда в MIMO нормально не работает в следствии помех или перекосов уровней сигналов. Канальные скорости MCS8 - MCS15 работают только с MIMO антеннами.

На вкладке WDS включается автоматическое добавление клиентов в бридж. Для этого нужно выбрать WDS Mode - dynamic, и указать WDS Default Bridge - bridge_AP_2GHz.

Если этого не сделать, то база в WDS нормально работать не сможет, без ручного добавления статических WDS записей.

На вкладке Nstreme производится настойка поллингового протокола предыдущей версии, нужно поставить все галочки:

Enable Nstreme - включает поллинговый протокол.

Enable Polling - включает циклический опрос клиентов.

Disable CSMA - отключает проверку занятости среды перед передачей.

И установить:

Framer Policy: dynamic size - режим автоматического выбора максимального размера для упаковки пакетов.

Framer Limit: 3200 - максимальный размер большого пакета, в который упаковываются передаваемые по сети данные.

На вкладке NV2 производится настройка параметров поллингового протокола.

TDMA Period Size: 2 - время, отведенное на передачу данных. При уменьшении до 1 уменьшается задержка и падает максимальная скорость, при увеличении до 10 увеличивается задержка и увеличивается скорость. Оптимальное значение лежит в пределах 2-5. Минимальное 1, максимальное - 10.

Cell Radius: 30 - максимальная дальность работы клиентов. Минимальное значение 10.

Галочка Security - включает шифрование, у этого протокола настройки не берутся из профиля шифрования и задаются отдельно в поле ниже.

Preshared Key: test123456 - ключ для доступа к сети, должен быть одинаковый на базе и на клиентах.

На вкладке Tx Power задается уровень мощности передатчика. Не следует увеличивать мощность сверх меры, рекомендованное значение 18dBm.

Параметр Tx Power Mode может принимать следующие значения:

All Rates Fixed - одинаковая мощность на всех канальных скоростях.

Card Rates - одинаковая мощность на всех канальных скоростях, но не превышающая максимально допустимую мощность. На более высоких канальных скоростях будет автоматически уменьшена.

Manual - мощность для каждой канальной скорости задается отдельно.

Default - мощность установлена на максимально возможное значение - этот параметр никогда не следует использовать.

Нельзя включать оборудование без антенны. При тестировании на столе следует уменьшать мощность до 1-3dBm что бы не повредить оборудование.

На этом настройка беспроводного адаптера завершена.

Для блокировки трафика клиентов в пределах базы, что бы они не могли непосредственно обмениваться данными друг с другом, создадим правило фильтра в бридже, для этого нужно зайти в раздел Bridge на вкладку Filters.

Нажимаем на + и в открывшемся окне раскрываем пункт Interface, где указываем:

In. Interface: ! vlan_10 - входной интерфейс данных не влан с номером 10.

Out. Interface: ! vlan_10 - выходной интерфейс данных не влан с номером 10.

Для установки восклицательного знака нужно нажать мышкой в квадрат перед интерфейсом.

И на вкладке Action выбираем действие drop. Теперь все данные которые пришли не через влан, или отправлены не в сторону влана будут заблокированыи и клиенты не смогут общаться друг с другом в пределах одной базы.

Не забываем установить пароль на доступ к устройству в разделе System->Users заходим в пользователя admin и нажимаем на кнопку Password указываем новый пароль и подтверждение.

После этого можно подключать антенну и включать беспроводной адаптер нажатием на кнопку Enable в свойствах.

После этого на вкладке Current Tx Power будет показана мощность на передачу по каждому каналу, и суммарно по обоим.

На этом настройка базовой станции завершена. В одной сети можно установить большое количества таких БС, для управления каждой следует установить уникальный IP-адрес, а для передачи данных до центрального маршрутизатора уникальный номер влана. При этом в сети не будет мусорного широковещательного трафика, который занимает пропускную способность магистральных каналов и создает лишнюю нагрузку на оборудование.

В дальнейшем функционал базовой станции будет расширен, и к ней подключится клиентское устройство, только его предварительно нужно настроить. Как? Читайте в наших следующих обзорах.

www.lanmart.ru


Смотрите также