Оглавление
Введение
Как я уже сказал, у меня есть материал на тему настройки capsman в mikrotik. В наше время в связи со скоростью развития информационных технологий информация очень быстро устаревает. И хотя статья все еще актуальна, ее регулярно читают и используют, сейчас есть что к ней добавить.
Вышла новая версия технологии Controlled Access Point system Manager (CAPsMAN) v2. Я расскажу немного о ней. В своей работе буду опираться на опыт предыдущей статьи и на официальный Manual:CAPsMAN с сайта производителя микротиков.
В моем распоряжении будут 2 роутера wAP ac, которые настроены в соответствии с моими инструкциями на эту тему. Рекомендую на всякий случай ознакомиться с ними, чтобы было общее представление о базовых настройках роутеров. На одном из этих роутеров я настрою контроллер точек доступа, другую подключу к этому контроллеру. Обе точки образуют единую бесшовную wifi сеть с автоматическим переключением клиентов к ближайшей точке.
Примера из двух точек доступа будет достаточно для общего представления о работе технологии. Дальше эта настройка линейно масштабируется на необходимое количество точек доступа.
Configure
Configurations
This setup uses two APs, with a 1262 AP that acts as a root AP and a 3602 AP configured as a Workgroup bridge. It uses an open SSID called wgb for the WGB to associate to the root AP. Wireless clients are associated to the root AP. Wired clients connect through a switch to the AP that is configured as a WGB.
Configure the Workgroup Bridge
GUI Instructions
- In order to create the SSID on the WGB, navigate to Security > SSID Manager.
Make sure to choose the correct radio interface that is used to associate with the root AP. - Convert the AP into a workgroup bridge from the default mode of the root AP. In order to do this, navigate to Network > Network Interface > Choose the correct radio interface > Settings. Choose the role in the radio network to be the Workgroup Bridge.
CLI Instructions
- In order to configure the SSID, enter:
wgb(config)#dot11 ssid wgbwgb(config-ssid)#authentication open
- In order to change the station role to the wokrgroup bridge under the the correct radio interface, enter:
wgb(config)#interface dot11Radio 0wgb(config-if)#station-role workgroup-bridge
GUI Instructions
- In order to create the SSID on the root AP, navigate to Security > SSID Manager. This procedure is the same as the one used to create the SSID on the workgroup bridge.
- In order to configure the AP role as root, navigate to Network > Network Interface > Choose the correct radio interface > Settings. Choose the role in the radio network to be the AP as shown here:
CLI Instructions
- In order to configure the SSID, enter:
root(config)#dot11 ssid wgbroot(config-ssid)#authentication openroot(config-ssid)#guest-mode
The guest-mode command configures the SSID to be broadcasted by the root AP.
- In order to configure the radio role to be the root and add the SSID under the radio, enter:root(config)#interface dot11Radio 0root(config-if)#station-role rootroot(config-if)#ssid wgb
Diagram Analaysis
Basic Concepts
| Image | Explanation |
|---|---|
| Starting point in packets way through the router facilities. Packet is received it will start its way from here. | |
| Last point in packets way through the router facilities. Just before the packet is actually sent out. | |
| Intermediate interface where packet continues to process through the device after decapsulation | |
| Intermediate interface where packet continue to process through the device before encapsulation | |
| Last point in packets way to router itself, after this packet is discarded | |
| Starting point for packets generated by router itself |
Configurable Facilities
Each and every facilities in this section corresponds with one particular menu in RouterOS. Users are able to access those menu and configure these facilities directly
| Image | RouterOS CLI |
|---|---|
| and | |
| and | |
| and | |
Automated processes and decisions
| Image | Description |
|---|---|
| Check if the actual input interface is a port for bridge OR checks if input interface is bridge | |
| Allow to capture traffic witch otherwise would be discarded by connection tracking — this way our Hotspot feature are able to provide connectivity even if networks settings are in complete mess | |
| Bridge goes through the MAC address table in order to find a match to destination MAC address of packet. When match is found — packet will be send out via corresponding bridge port. In case of no match — multiple copies of packet will be created and packet will be sent out via all bridge ports | |
| This is a workaround, allows to use «out-bridge-port» before actual bridge decision. | |
| Router goes through the route n order to find a match to destination IP address of packet. When match is found — packet will be send out via corresponding port or to the router itself . In case of no match — packet will be discarded. | |
| This is a workaround that allows to set-up policy routing in mangle chain output | |
| Indicates exact place where Time To Live (TTL) of the routed packet is reduced by 1. If it become 0 packet will be discarded | |
| Self explanatory | |
| Self explanatory | |
| Check if the actual output interface is a port for bridge OR checks if output interface is bridge | |
| Undo all that was done by hotspot-in for the packets that is going back to client. |
Сброс настроек
Если вы что-то перемудрили с настройками и не можете зайти в устройство, выполните его сброс к заводским настройкам.
- Отключите питание;
- Зажмите и держите кнопку Reset;
- Подайте питание;
- Дождитесь пока начнет мигать светодиод;
- Отпустите кнопку Reset;
- После перезагрузки подключитесь к устройству с помощью программы Winbox по MAC адресу, т.к. у устройства может быть IP адрес 0.0.0.0. В этом случае вы не сможете попасть в настройки через Web-интерфейс по стандартному IP адресу 192.168.88.1.
- В Winbox в появившемся окне нажмите кнопку OK, чтобы применить настройки по умолчанию. В некоторых прошивках данное окно может не появится, а сразу применится стандартная конфигурация.
После этого устройству присвоится стандартный IP адрес 192.168.88.1, и появится доступ к настройкам через Web-интерфейс.
MSTP Regions
MSTP works in groups called regions, for each region there will be a regional root bridge and between regions there will be a root bridge elected. MSTP will use Internal Spanning Tree (IST) to build the network topology inside a region and Common Spanning Tree (CST) outside a region to build the network topology between multiple regions, MSTP combines these two protocols into Common and Internal Spanning Tree (CIST), which holds information about topology inside a region and between regions. From CST’s perspective a region will seemingly be as a single virtual bridge, because of this MSTP is considered very scalable for large networks. In order for bridges to be in the same region, their configuration must match, BPDUs will not include VLAN mappings since they can be large, rather a computed hash is being transmitted. If a bridge receives a BPDU through a port and the configuration does not match, then MSTP will consider that port as a boundary port and that it can be used to reach other regions. Below is a list of parameters that need to match in order for MSTP to consider a BPDU from the same region:
- Region name
- Region revision
- VLAN mappings to MST Instance IDs (computed hash)
It is possible to create MSTP enabled network without regions, though to be able to do load balancing per VLAN group it is required for a bridge to receive a BPDU from a bridge that is connected to it with the same parameters mentioned above. In RouterOS the default region name is empty and region revision is 0, which are valid values, but you must make sure that they match in order to get multiple bridges in a single MSTP region. A region cannot exist if their bridges are scattered over the network, these bridges must be connected at least in one way, in which they can send and receive BPDUs without leaving the region, for example, if a bridge with different region related parameters is between two bridges that have the same region related parameters, then there will exist at least 3 different MSTP regions.
Topology of a MSTP enabled network with boundary ports
The downside of running every single bridge in a single MSTP region is the excess CPU cycles. In comparison, PVST(+) creates a Spanning Tree Instance for each VLAN ID that exists on the network, since there will be very limited paths that can exist in a network, then this approach creates a lot of overhead and unnecessary CPU cycles, this also means that this approach does not scale very well and can overload switches with not very powerful CPUs. MSTP solves this problem by dividing the network into MSTP regions, where each bridge inside this region will exchange and process information about VLANs that exist inside the same region, but will run a single instance of Spanning Tree Protocol in background to maintain the network topology between regions. This approach has been proven to be much more effective and much more scalable, this means that regions should be used for larger networks to reduce CPU cycles.
In regions you can define MST Instances, which are used to configure load balancing per VLAN group and to elect the regional root bridge. It is worth mentioning that in each region there exists a pre-defined MST Instance, in most documentations this is called as MSTI0· This MST Instance is considered as the default MST Instance, there are certain parameters that apply to this special MST Instance. When traffic is passing through a MSTP enabled bridge, MSTP will look for a MST Instance that has a matching VLAN mapping, but if a VLAN mapping does not exists for a certain VLAN ID, then traffic will fall under MSTI0.
Note: Since MSTP requires VLAN filtering on the bridge interface to be enabled, then make sure that you have allowed all required VLAN IDs in , otherwise the traffic will not be forwarded and it might seem as MSTP misconfigured, although this is a VLAN filtering misconfiguration.
Upgrading from RouterOS v3 (2009)
Since RouterOS 3.25 and 4.0beta3 new SoftID format is introduced. Your license menu will show both the old and the new SoftID. Even by upgrading to a new version, RouterOS will still work as before, but to use some of the new features, LICENSE UPDATE will be necessary. To do this, just click on «Update license key» button in Winbox (currently only in Winbox).
New SoftID’s are in the form of XXXX-XXXX (Four symbols, dash, four symbols).
The following actions will be taken:
- Winbox will contact www.mikrotik.com with your old SoftID
- www.mikrotik.com will check the database and see details about your key
- the server will generate a new key as «upgrade» and put it into the same account as old one
- Winbox will receive the new key and automatically License your router with the new key
- Reboot will be required
- New RouterOS features will be unlocked
Important Note!: If you see this button also in v3.24, don’t use it, it will not work.
If you ever wish to downgrade RouterOS, you will have to apply the OLD key before doing so. When RouterOS applies the NEW key, the OLD key is saved to a file, in the FILES folder, to make sure you have the old key handy.
Even more important: Don’t downgrade v4.0b3 to v3.23 or older. Use only v3.24 for downgrading, or you might lose your new format key.
Быстрая настройка интернета с помощью QuickSet.
В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:
- CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
- CPE: Режим клиента, который подключается к точке доступа AP.
- Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
- PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента PTP Bridge CPE и создания единой сети.
- PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
- WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.
Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.
Настраиваем WiFi.
Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.
Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.
Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.
Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.
В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.
WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.
WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».
Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.
Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed»
Wireless Clients: здесь можно увидеть подключенные в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)
Настраиваем интернет.
Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.
Port: Указываем физический порт, к которому подключен кабель провайдера
Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.
MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.
MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.
Discovery: позволяет распознавать роутер другими роутерами Mikrotik.
Настройка локальной сети.
IP Address: указываем ip-адрес устройства в нашей локальной сети.
Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.
Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.
DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.
NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.
UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.
Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.
Настройка и оптимизация wi-fi 2Ghz диапазона на Mikrotik
На всех утройствах Mikrotik настройки будут одинаковые. Я их испробовал на RB951, RB751 на hap AC и hap AC lite.
Для начала в программе Winbox, через которую мы подключаемся к Mikrotik перейдем в Wireless на вкладку Wireless.
Не забудьте выбрать Advaced Mode при настройке Wi-Fi, как показано на скриншоте выше.
Вкладка Wireless
Настройка wi-fi 2ghz на микротике
Вы можете сразу установить все настройки со скриншота, кроме SSID, Radio Name и Security Profile. Эти настройки индивидуальны и скорее всего у Вас уже настроен Security Profile и SSID, если Вы пытаетесь оптимизировать сигнал вай-фай. Опишу все действия.
Band: 2Ghz-B/G/N выбираем для того, чтобы к Вашему Wi-Fi могли подключиться как старые, так и новые устройства.
Channel Width: 20Mhz для максимального охвата. Данная ширина канала покрывает больше, чем остальные и проблем с тем, что девайс будет видеть микротик, а микротик не будет видеть девайса из-за слабого передатчика в нем не будет.
Frequency: auto Здесь программисты Mikrotik продумали всё за нас. Каждое включение интерфейса роутер или точка доступа будут сканировать каналы и выбирать менее загруженный. Поверьте, если Вы не хотите каждый месяц лазить в настройки — лучше установить auto.
Wireless Protocol: 802.11 для полной совместимости со всеми устройствами. Если выбрать any — в некоторых девайсах могут быть разногласия и точка доступа захочет использовать собственный протокол, из-за чего девайс подключится к сети не сразу.
WPS Mode: Disabled для безопасности. На данный момент многими признано, что использование WPS небезопасно и неудобно.
Frequency Mode: manual-txpower чтобы выбрать одну мощность сигнала для всех рейтов. Так сохранится доступность точки доступа или роутера по всему радиусу действия.
Country: russia3 чтобы не нарушать законы РФ по мощности передатчиков и доступных каналов Wi-Fi. С выбором russia3 будьте уверены, что все устройства будут работать с Вашим вай-фаем.
Installation: indoor даст понять устройству, что возможны помехи из-за стен и других устройств.
WMM Support: enabled для определения трафика и приоретизации. При просмотре видео или звонках через интернет приоритет будет отдаваться именно такому трафику.
Вкладка Advanced
Настройки Advanced для Wi-Fi Микротик
Можете сразу всё поставить как на скриншоте, а так же прочитать описание ниже, что именно Вы сделали.
Distance: dynamic с этим параметром Mikrotik будет сам определять дистанцию и подстраиваться под неё.
Hw. Protection Mode: rts cts для решения проблемы «скрытого узла». Тока будет сама решать, кого в данную секунду (миллисекунду) обслужить. Если не выбирать данный параметр, то при подключении 3 и более клиентов в локальной сети через Wi-Fi могут возникать проблемы, если один клиент не попадает под радиус действия другого.
Adaptive Noise Immunity: ap and client mode Данный параметр работает только с недавно выпущенными точками доступа и позволяет точке понимать собственный отраженный от различных поверхностей сигнал и игнорировать его. Происходит снижение шума и передача данных становится эффективней.
Preamble Mode: both для возможности подключения любых устройств. Short на данный момент поддерживается не всеми передатчиками, поэтому целесообразней использовать обе преамбулы.
Вкладка HT
Вкладка HT настройки wi-fi на микротик
Всё делаем как на скриншоте. Здесь нет смысла расписывать что-либо. Скорее всего в настройках по умолчанию у Вас уже всё настроено именно так. Просто проверьте, на всякий случай, что на всех «chain» стоят галочки.
Вкладка Tx Power
Выбор мощности сигнала Tx Power Mikrotik
На складке Tx Power лучшими значениями будет «all rates fixed» и сигнал от 14 до 19dBm в зависимости от Ваших условий, здесь лучше поэкспериментировать. Низкий dBm в нужном Вам радиусе действия будет давать отличное качество передачи данных. Если поставить выше — качество сигнала ухудшится, а если ниже — радиус действия.
Это все настройки, которые необходимо оптимизировать для работы wi-fi 2Ghz на микротиках. Оцените результат, напишите комментарий. И давайте переходить к настройке 5Ghz
Подготовка к настройке CAPsMAN
Для начала нужно переименовать дефолтный bridge1 в bridgeLAN для упрощения управления и чтения конфигурации, и создать дополнительные.
BridgeСоздаем:bridgeWorkbridgeLANbridgeHotSpotbridgeGuest
Экспорт:
bridgeLAN — это наша внутренняя основная сеть, в нее включены физические интерфейсы, кроме Wi-Fi
bridgeWork — отдельная внутренняя ограниченная сеть с ограниченным доступом к внутренней основной сетиbridgeGuest — сеть для гостей. Доступен только ИнтернетbridgeHotSpot — сеть для гостей с СМС авторизацией. Доступен только Интернет
IP — > AddressesВешаем на Bridge IP адреса
Экспорт:
Далее для каждой сети настраивается DHCP и правильный NAT
IP -> DHCP Server -> DHCP -> DHCP Setup
Экспорт
Применение и настройки Mikrotik SXT SA
Угол направленности антенны составляет 90°, против 25° у большинства AP этой серии, что означает приоритетное использование Mikrotik SXT SA в режиме базовой станции – для соединений точка-мультиточка. RouterOS 4-го уровня это позволяет. Объединив всего 4 SA, вы получите полноценную круговую сеть с радиусом покрытия 5 километров
Фирменная ОС Mikrotik также включает в себя:
- Прокси-сервер и DHCP-сервер;
- Инструменты для настройки VPN-сервера;
- Инструменты для организации HotSpot (протоколы RADIUS, поддержка UPnP и др.);
- Проприетарные протоколы Mikrotik для компрессии трафика и избежания простоев (M3P, Nstream, NV2);
- Стандарты QoS; 40/104-х битное шифрование алгоритмами WEP (и не только);
В целом ОС сравнима с сетевым стеком BSD-систем, то есть возможности её практически безграничны.
Технические характеристики
| Диапазон рабочих частот | 5150 MHz – 5875 MHz |
| Беспроводной стандарт | 802.11a/n |
| Процессор | AR9344 |
| Номинальная частота процессора | 600 MHz |
| Количество ядер процессора | 1 |
| Объем оперативной памяти | 64 MB |
| Размер хранилища данных | 128 MB |
| Тип хранилища данных | NAND |
| Сетевой интерфейс | 1 x 10/100/1000 Ethernet порт |
| Операционная система | RouterOS |
| Уровень лицензии | 4 |
| Усиление антенны | 14 dBi |
| Поддержка MIMO | 2×2 |
| Количество каналов | 2 |
| Источник питания | 24V, 0.8А адаптер; PoE in Passive PoE |
| Разъем питания | 1 (PoE-IN) |
| Поддерживаемые форматы входного напряжения | 6-30 V |
| Максимальное энергопотребление | 7W |
| Диапазон температур | -30C .. +80C |
| Размеры | 140x140x56 мм |
Быстрая настройка MikroTik Home AP Dual
Режим Quick Set Home AP Dual это второй по популярности режим для быстрой настройки роутера MikroTik. Его отличие от Quick Set Home AP в поддержке радиомодуля WiFi 5ГГц.
Поддержка настройки Quick Set Home AP Dual в MikroTik
- Задать имя WiFi сети(SSID) для 2ГГц и 5ГГц, параметр Network Name;
- Указать пароль WiFi, параметр WiFi Password;
- Выбрать тип интернет соединения, параметр Address Acquisition;
- Установить MAC адрес для порта провайдера, параметр MAC Address;
- Присвоить IP адрес типа LAN для роутера, параметр IP Address;
- Указать маску подсети для LAN порта роутера, параметр Netmask;
- Определить настройки DHCP сервера, параметр DHCP Server;
- Установить параметр NAT.
- Обновить прошивку роутера, кнопка Check For Updates;
- Указать пароль администратора для роутера, кнопка Password.
Режим Local-forwarding
Отдельно рассмотрю настройку local-forwarding. Если он активирован, то всем трафиком клиентов точки доступа управляет сама точка, не контроллер. И большинство настроек datapath не используются, так как до контроллера трафик не доходит. Если этот параметр не установлен, то весь трафик на wifi интерфейсах точек инкапсулируется и отправляется по сети на контроллер. Он виден на его виртуальных интерфейсах. Управляется (firewall, qos и т.д.) в зависимости от настроек.
Обработка трафика на точке более распространенный и простой вариант. В этом случае нагрузка на каналы связи с контроллерами и на сам контроллер минимальна. Так же отключать local-forwarding не рекомендуется, если клиенты wifi сети ходят на какие-то локальные ресурсы, а контроллер у вас совершенно в другом сегменте сети, возможно удаленном с не очень толстым каналом связи. Пускать на него весь трафик клиентов бессмысленно. Это увеличит отклик и забьет канал связи с контроллером. Например, сотрудник пришел в офис и работает за ноутбуком по wifi. При этом активно использует сетевой диск. Вам нет смысла этот трафик гонять на контроллер.
Другой вариант, когда у вас все клиенты wifi сети это обычные пользователи интернета, например, гостевой сети. Никакого локального трафика у них нет. Да еще и сам контроллер находится рядом со шлюзом в интернет. Тогда можно их всех пропускать через Capsman и удобно управлять всем трафиком.
F.A.Q
How is Quickset different from the Webfig tab, where a whole bunch of new s appear? If you need more options, do not use any Quickset settings at all, click on «Webfig» to open the advanced configuration interface. The full ality is unlocked. Can I use Quickset and Webfig together? While settings that are not conflicting can be configured this way, it is not ed to mix up these s. If you are going to use Quickset, use only Quickset and vice versa. What’s is difference between Router and Bridge mode? Bridge mode adds all interfaces to the bridge allowing to forward Layer2 packets (acts as a hub/switch). In Router mode packets are forwarded in Layer3 by using IP addresses and IP routes (acts as a router). In HomeAP mode, should the 2GHz and 5GHz network names be the same, or different? If you prefer that all your client devices, like TV, phones, game consoles, would automatically select the best preferred network, set the names identically. If you would like to force a client device to use the faster 5GHz 802.11ac connection, set the names unique.
STP Mikrotik.
Уже давно хотел разобраться, но все никак «руки не доходили». Но тут совсем недавно, довелось столкнуться со штормом в продакшине, в достаточно крупной сети, пришлось потратить не мало времени, чтобы понять, что все дело было в некорректной настройке одного из коммутаторов.
Общаюсь с сетевиками, многие из них признают, что дебаг L2, порой достаточно трудоемок, причины возникновения проблем бывают разными, как раз в продакшине, довелось увидеть это в живую, а проблемы могут быть не малыми.
Для начала, необходимо внимательно зачитать:
К сожалению, информации по данной теме не так много
Изображу вот такую избыточную сетку (в продакшине она врят ли встретится, там скорее древовидная структура, это больше для наглядности).
В продакшине, более возможна вот такая схема:
На каждом маршрутизаторе создаю bridge, и добавляю в него первые 4 порта, (пятый порт управления), на бридже уже посмотрю настройки. Так делаю на всех 5-ти маршрутизаторах.
Если посмотреть на бридж Mikrotik1, то можно увидеть, что сейчас он является корневым маршрутизатором:
Если взглянуть на порты, то можно видеть у всех статус designated port, так как это ROOT
Но если посмотреть на любой другой маршрутизатор, то картина будет несколько иной:
Например, как это выглядит на Mikrotik5
Теперь, надо детально познакомиться с настройками самого Микрота:
Внятной информации по данной теме именно, для Микрота, достаточно мало…
Попробую включить BPDU на Микротик5 на интерфейсе (ether1), в сторону root коммутатора.
После этого можно видеть, что порт перешел в положение disabled, а физический интерфейс тем не менее не выключен. Здесь же видно, что что root портом стал ether3, смотрящий в сторону Микротик2.
И логи сразу говорят о возможной петле:
Если мы хотим, чтоб к Микротик1 мы обращались не через 2-й Микротик, а через Микротик4 (то есть, через интерфейс ether2), то делаем следующее: уменьшаем Path Cost, например, с 10 на 1.
После этого сразу видим, что мы сразу стали обращаться к Микротик1, через Микротик4.
Вот тут описан продакшин пример, для чего это бывает необходимо:
Именно в этом примере, для резервирования каналов.
Или бывает, как нарисовано здесь:
Предположим FE0/1 это гигабитный линк, FE0/24, это сто мегабитный, уменьшаем Path Cost на линке FE0/1, он становится предпочтительным и логически отрубает FE0/24, соответственно, если FE0/1 вдруг становится недоступным, то линк FE0/24 автоматом поднимается, и как люди пишут, в приведенном посте, даже без потерь.
На сколько я понял, BPDU Guard, должен быть включен только в сторону конечных устройств коммутатора, но в Микроте есть особенность, если на конце петля, он в этом случае «кладет порт», но после того, как эта петля пропала, более его сам не поднимает, или я просто не знаю, как сделать так, чтобы поднимал его автоматом. Попробовали петлю в продакшине, без галки BPDU Guard, в этом случае порт не кладется, но сетка все равно толком не работает, в логах сразу видно, что что-то пошло не так…
Посмотрю, что происходит дальше, останавливаю Микротик1, который был root (предположим, он пал).
Теперь видим, что Микротик2 стал root.
Все это еще требует дальнейшего изучения, по возможности, в случае появления новой информации, буду дополнять пост…
Всем хорошей работы!!!
Обновление 08.06.2021.
На днях закончил просмотр, MikroTik Switching — Spanning Tree Protocol (2019)
Многое, но к сожалению, не все, стало более понятно. Рекомендую посмотреть…
