Access лист на CAPsMAN контроллере

Acscess List – это правила, которые контролируют подключение клиентов к точкам доступа, работающим чрез CAPsMAN контроллера.

Через Access List возможно:

• При отсутствии на текущей версии MikroTik различных опций типа k, v и r (802.11) создать зону роуминга
• Заблокировать часть клиентов.
• Выдавать клиентам какие-либо уникальные настройки.

В разделе CAPsMAN – Access List можно создавать правила для клиентских точек доступа.

MAC Address
Access List может работать с уникальными mac –адресами, т.е. на какой-то конкретный mac – адрес можно выдать какие-то определенные настройки, например, можно выдать уникальный пароль на определенного wi-fi клиента.

MAC Mask
Позволяет задать маску mac-адресов, которая позволит различным устройствам определенного производителя получать те или иные настройки, связанные с подключением к точке доступа, напр. запрещать подключаться, если уровень сигнала от этих клиентских устройств вышел за какие-то разрешенные границы. Так же можно будет получать уникальные vlan на эти устройства если происходит работа с vlan на CAPsMAN контроллере (в случае режима datapath local-forwarding no).

Interface
В данном параметре указывается на какие CAPsMAN интерфейсы распространяется данная настройка. Настройка может распространяться на определенные CAPsMAN интерфейсы, на определенные interface-list или на все интерфейсы. В качестве примера мы настраиваем некую роуминговую зону, поэтому эта настройка будет распространена на все интерфейсы, поэтому опция пустая.

SSID Regexp
Регулярное выражение, согласно которому можно делать выборку по имени беспроводных сетей, например, если в наименовании нашей беспроводной сети присутствует гость, то уровень сигнала на гостевой сети может быть больше или меньше.

Signal Range
Связанная с уровнем сигнала опция, с помощью нее и появляется возможность сделать роуминговую зону. В среднем приемлемым уровнем сигнала считается диапазон от -75 до -30 Дб.

Allow Signal Out Of Range
Опция, влияющая на время, после которого будет применены ограничения к клиенту. Напр. если указано время в 10с, то лишь по истечении этого времени будет, например, игнорирование этой настройки. Это значит, что, например, если клиент вышел за дверь, произошло ухудшение сигнала, если клиент не успел вернуться за отведенное время, то он будет отключен от текущей точки доступа и переключен к другой. Можно указывать как конкретное время, так и переключить на постоянно (значение always)

Time
Позволяет настраивать работу правил в определенные промежутки времени.

Action
Действие, которое будет выполняться с клиентами, которые попали под указанные ограничения. Если созданное правило регулирует уровень приемлемого сигнала от клиентов, то действие указывается accept, т. е. мы применяем данное правило и разрешаем подключаться. Из других действий доступны: query radius – делегирование решения radius – серверу, reject – сброс клиента.

AP Tx Limit / Client Tx Limit
Настройки, связанные со скоростями, выдаваемые клиентам. Данную настройку не рекомендуется использовать, т. к. будет ломаться скорость передачи по беспроводной сети и происходить задержание клиентов при работе (вместо быстрой передачи какого-то объема информации за минимальное количество времени по беспроводной сети, произойдет искусственное ограничение по времени, а соответственно и растягивание самой передачи во времени). Часто настройка используется в провайдерских беспроводных сетях.

Private Passphrase
Уникальный пароль, который можно установить для клиентов, попавших под указанный Access List.

Client To Client Forwarding
Перенастройка опции из datapath – будут ли клиенты обмениваться трафиком между собой. Опция полезна в корпоративных сетях, где опция Client To Client Forwarding выключена глобально, но существуют устройства, которым нужен обмен с клиентскими устройствами (напр. принтеры или телевизоры).

RADIUS Accounting
Опция, позволяющая отправлять информацию о клиентском подключении на radius-сервер для учета и статистики.

VLAN Mode / VLAN ID
Возможно использование на конкретного клиента (напр. для установки vlan). Опция работает совместно с datapath local-forwarding no. После сохранения изменений получим разрешающее правило, те же действия можно выполнить командой:

/caps-man access-list add action=accept disabled=no signal-range= -75..-30 allow-signal-out-of-range=10s

В данном случае без запрещающего правила не обойтись, добавим его (Рис. 38.2). Итоговый вид правил видно на Рис 38.3.

Или командой:

/caps-man access-list add action=reject disabled=no signal-range= -120..120 allow-signal-out-of-range=10s

Получаем, что если сигнал клиента выйдет за пределы [-75 … -30], то клиент будет отключен, при чем не сразу, а по прошествии 10сек.

Через опцию Time можно настроить так, чтобы клиенты могли, например, подключаться только в рабочее время, в то время как опция с отключением будет работать перманентно.

Базовая настройка Access List в CAPsMAN закончена.