Содержание
- 1 Что такое SSID
- 2 Зачем он используется
- 3 Как составить имя сети
- 4 Базовая настройка беспроводной сети
- 5 Как узнать и изменить название сети на роутере
- 6 Находим SSID на телефоне
- 7 ESSID и BSSID
- 8 MultiSSID
- 9 Как скрыть SSID
- 10 Узнаем название скрытой сети и подключаемся
- 11 Организация отдельной независимой сети
- 12 Организация свободного гостевого доступа
- 13 Организация HotSpot с идентификацией доступа по ваучерам
- 14 Ограничение трафика
- 15 1. Настройка MikroTik VLAN
- 16 1.1 Сброс настроек роутера
- 17 1.2 Настройка WAN порта
- 18 1.3 Объединение LAN портов в Bridge
- 19 1.4 Добавление VLAN интерфейса
- 20 Назначение IP адресов локальным сетям
- 21 1.5 Настройка пула адресов
- 22 1.6 Настройка DHCP серверов
- 23 1.7 Настройка DNS сервера
- 24 1.8 Включение NAT
- 25 1.9 Изоляция подсетей
- 26 2 Настройка EnGenius VLAN
- 27 2.1 Создание двух виртуальных Wi-Fi точек
- 28 2.2 Настройка безопасности
- 29 2.3 Настройка VLAN виртуальной точки HotSpot
- 30 2.4 Настройка LAN
Автор статьиЮрий Санаев
При организации беспроводной сети на маршрутизаторе или при подключении к Wi-Fi пользователи часто сталкиваются с именем сети, или SSID. Мы расскажем, что значит термин «SSID», для чего используется и разберемся с другими вопросами, связанными с ним.
Содержание
Что такое SSID
Имя сети или SSID расшифровывается как «Service Set Identifier», что в переводе означает «сервисный идентификатор сети». Он отображает имя сети вайфай, чтобы пользователь мог получить к ней доступ со своих устройств.
Другими словами, SSID – это название или идентификатор, по которому можно установить доступную для соединения точку доступа. Он может состоять из 32 знаков (букв и цифр). У некоторых производителей роутеров можно встретить другое название этого термина – «имя сети».
SSID может иметь два рабочих режима:
- BSSID – MAC-адрес беспроводного устройства, действует в режиме активного подключения;
- ESSID – действует в режиме инфраструктуры и выделяется увеличенным набором служб.
В зависимости от настроек маршрутизатора, SSID сети может быть открытым или закрытым. В первом случае он виден другим устройствам, и они могут к нему подключиться. Во втором случае его невозможно обнаружить.
Зачем он используется
SSID сети требуется, чтобы подключить технику к беспроводному соединению. Точка доступа транслирует сведения о своем имени, которые обнаруживают и принимают прочие гаджеты – телевизоры, телефоны, ноутбуки и т.д. Сведения транслируются в виде пакетов со скоростью примерно 0,1 Мбит/с. Обнаружив их, Wi-Fi-приемник отправляет запрос для соединения.
Узнав название своей сети Wi-Fi, пользователь выберет верный вариант для подключения, если точек доступа несколько, введет пароль и получит доступ к Интернету.
Еще одно предназначение имени сети SSID на роутере – это защита Wi-Fi от возможного подключения со стороны посторонних. Если сделать название беспроводного соединения скрытым, то обнаружить его и присоединиться к нему не смогут даже те, кто решит это сделать целенаправленно.
Как составить имя сети
Правильно составленное название сети должно соответствовать определенным требованиям:
- состоять из цифр и букв латинского алфавита;
- в имени отсутствуют специальные символы (за исключением нижнего подчеркивания или дефиса);
- кириллица отсутствует.
В одном диапазоне невозможна работа двух устройств с идентичным названием, даже при условии различного шифрования.
Сетевое имя должно быть понятно человеку, а не технике, поэтому лучше использовать для этой цели слова, имеющие смысловую нагрузку. Запомнить название «Домашнее подключение» проще, чем случайную комбинацию цифр или символов.
Базовая настройка беспроводной сети
Базовая настройка беспроводного подключения выполняется на компьютере через веб-интерфейс маршрутизатора. Чтобы открыть его, нужно ввести в браузере IP-адрес, обычно – 192.168.0.1 или 192.168.1.1.
Посмотреть точный IP можно, перевернув роутер. На нижней стороне находится наклейка с указанием IP-адреса, логина и пароля для входа и SSID сети по умолчанию.
Первоначальная установка параметров беспроводного подключения выполняется через функцию быстрой настройки. Она запускается при первом входе в веб-интерфейс маршрутизатора. Если эта опция не включилась автоматически, ее можно активировать вручную непосредственно из личного кабинета роутера.
В ходе быстрой настройки пользователю потребуется указать тип подключения (чаще всего – PPPoE), ввести учетные данные, выданные провайдером. Далее откроются параметры беспроводного соединения. Здесь можно будет узнать свой текущий SSID и изменить его, а затем установить пароль. Если человеку не требуется Wi-Fi, он может пропустить этот шаг и вернуться к нему, когда возникнет потребность.
Как узнать и изменить название сети на роутере
Узнать имя сети на маршрутизаторе и сменить его на другое несложно. В технике различных брендов этот процесс схож, а разница заключается лишь в названии разделов, в которые нужно перейти для настройки.
TP-Link
Посмотреть SSID в настройках роутера TP-Link можно по-разному, в зависимости от установленной версии прошивки и интерфейса модели.
Инструкция для техники с синим интерфейсом:
- Нажать «Базовая настройка».
- Перейти в раздел «Беспроводной режим».
- Здесь можно посмотреть текущее имя подключения (или нескольких, если роутер двухдиапазонный), установить новое значение и изменить пароль.
Завершив изменения, нужно нажать «Сохранить», а затем перезапустить маршрутизатор, чтобы новые значения вступили в силу.
Модели с зеленым веб-интерфейсом:
- Открыть вкладку «Беспроводной режим».
- Выбрать «Настройки беспроводного режима».
- Установить название.
- Нажав «Защита беспроводного режима», можно выбрать тип шифрования и установить пароль.
Завершив действия, нужно кликнуть «Сохранить».
Роутеры с черным веб-интерфейсом (AX110000):
- Кликнуть «Wireless».
- В строке Network Name (SSID) установить новое имя.
- В поле «Password» ввести новый пароль.
- Сохранить изменения.
В зависимости от модели, года выпуска и версии прошивки встречаются и другие варианты веб-интерфейса роутеров TP-Link. Принцип действия будет одинаков: нужно найти раздел «Беспроводная сеть (режим)» и внести в нем соответствующие изменения.
Asus
Чтобы узнать имя сети на роутерах ASUS и сменить его, нужно:
- Открыть веб-интерфейс.
- В разделе «Дополнительные настройки» кликнуть «Беспроводная сеть».
- Перейти во вкладку «Общие».
- В поле «SSID» посмотреть и изменить имя.
- В поле «Предварительный ключ WPA» ввести новый пароль.
Сохранить изменения, нажав на кнопку «Применить».
D-link
Инструкция для роутеров D-Link:
- Открыть личный кабинет устройства.
- Выбрать вкладку «Wi-Fi», нажать «Основные настройки».
- В строке «SSID» изменить имя.
- Чтобы изменить пароль, перейти в «Настройки безопасности».
- Ввести новое значение в поле «Ключи шифрования».
Сохранить новые значения кнопкой «Применить».
Keenetic
Инструкция для роутеров Zyxel Keenetic:
- Открыть настройки маршрутизатора.
- Кликнуть «Сеть Wi-Fi».
- Нажать на «Соединение».
- Включить точку беспроводного доступа.
- В поле «Имя» ввести новое название.
- Во вкладке «Безопасность» можно установить или изменить пароль.
Кнопкой «Применить» сохранить изменения.
Tenda
Инструкция для роутеров Tenda:
- Открыть интерфейс устройства.
- Перейти в раздел «Wireless Settings».
- Включить Wi-Fi.
- В поле «Wi-Fi Name» указано имя соединения. Его можно изменить или отставить в прежнем виде.
Для сохранения новых значений нужно нажать «Ок».
Находим SSID на телефоне
Чтобы узнать SSID Wi-Fi сети на телефоне с Android, iOS или иной ОС, нужно на устройстве открыть список доступных беспроводных сетей. Гаджет обнаружит все активные подключения на дистанции 20-30 метров. Если отображается несколько, нужно посмотреть на свой модем или роутер: обычно имя соединения по умолчанию состоит из названия модели, цифр или символов. Выбрав нужное, потребуется нажать на него и ввести пароль.
Если SSID скрыт, его вводят вручную. Для этого нужно:
- Включить Wi-Fi.
- Перейти в «Настройки».
- Выбрать «Добавить».
- Ввести название, тип защиты и пароль.
- Сохранить данные.
Теперь мобильное устройство будет автоматически подключаться к добавленному беспроводному соединению. На разных ОС и различных версиях одной операционной системы названия разделов могут отличаться, но принцип общий.
Если на смартфоне с ОС Андроид открыты ROOT-права, выяснить название Wi-Fi можно в приложении «ES Explorer». Нужно запустить утилиту, перейти в корень встроенной памяти и последовательно открыть «DATA» – «MISC» – «Wi-Fi». Здесь находится файл «wpa_supplicant.conf». Нужно отправить его в другой каталог и открыть текстовым редактором. В нем находятся сведения о беспроводной сети.
Еще один способ выяснить пароль и имя – это приложение Wi-Fi Key Recovery. Оно совершает действия, описанные выше, но автоматически, после команды пользователя.
ESSID и BSSID
Беспроводные сети могут иметь базовый или увеличенный набор служб. Идентификатор для подключений первого типа называют BSSID (Basic Service Set Identification), он представляет собой MAC-адрес устройства, раздающего сигнал.
Соединения второго типа имеют идентификатор ESSID (Extended Service Set Identification), предназначенный для распознавания определенной точки доступа из нескольких, а не для обычного обозначения. Оба значения – это служебная информация скорее для техники, чем для самих пользователей.
MultiSSID
Технология MultiSSID (Multi Broadcast Service Set Identifier) позволяет создавать несколько беспроводных подключений на одном роутере, например, одну основную и несколько гостевых. Эта функция позволяет разделить несколько групп пользователей на разные сети и снизить нагрузку, которая могла быть на одном беспроводном соединении.
Так, например, в офисе можно создать подключение с именем «Руководство» и несколько сетей для сотрудников. Для первой можно установить повышенную защиту шифрованием, для остальных поставить минимальную скорость, чтобы работники не отвлекались от выполнения своих обязанностей на развлечения.
Другой способ применения – создать для сотрудников общую сеть и настроить для нее файловый сервер для обмена документами по локальной сетке. Для посетителей можно создать гостевое подключение и ограничить доступ к общим файлам.
Функция доступна на большинстве новейших маршрутизаторов.
Как скрыть SSID
Чтобы защитить свою беспроводную сеть от доступа со стороны посторонних, нужно скрыть трансляцию SSID от доступа посторонних. При активации этой функции беспроводные точки доступа не будут видны в списке доступных при поиске Wi-Fi на ноутбуках, телефонах или иных устройствах. При этом человек, который знает SSID соединения и пароль к нему, сможет подключиться, указав вручную информацию для входа.
Активировать эту функцию можно в интерфейсе маршрутизатора, на странице настройки беспроводной сети. Если включить опцию, все устройства, подключенные к Wi-Fi, будут отключены, т.к. роутер перестанет передавать им свой идентификатор. Для подключения нужно вручную ввести имя и пароль.
На роутерах различных марок отключение трансляции SSID выполняется по-разному:
На роутерах D-Link на странице настройки Wi-Fi нужно установить галочку в строке «Скрыть точку доступа».
На технике TP-Link с зеленым веб-интерфейсом нужно удалить галочку в строке «Включить широковещание SSID».
На роутерах с синим веб-интерфейсом нужно поставить метку в поле «Скрыть SSID».
Для маршрутизаторов ASUS нужно выбрать «Да» в строке «Скрыть SSID» в разделе «Беспроводная сеть».
На роутерах Zyxel Keenetic нужно открыть раздел «Wi-Fi», кликнуть «Соединение» и поставить галочку в поле «Скрывать SSID».
На технике других моделей принцип действия тот же: нужно открыть раздел «Беспроводная сеть» или иной, с похожим названием и установить или, наоборот, убрать галочку в поле «Скрывать SSID».
Узнаем название скрытой сети и подключаемся
Чтобы присоединиться к чужой скрытой сети, требуется ее обнаружить. Для этого используются специальные утилиты – Airmagnet, Wildpackets Aeropeek, CommView for Wi-Fi для Windows 10 или младшей версии, Kismet для Линукс и прочее специализированное ПО. После запуска они показывают, есть ли вокруг скрытые сети, и сообщают их название.
Недостаток в том, что они не указывают пароль к обнаруженным беспроводным подключениям, поэтому его потребуется подбирать отдельно. Имейте ввиду: владельцы беспроводных сетей могут обнаружить, что вместе с ними их Интернетом пользуется кто-то посторонний, и сменят пароль и имя соединения.
Если требуется подключиться к собственной скрытой сети, зная ее название, нужно:
- Кликнуть в трее по кнопке подключений к Интернету, чтобы увидеть все обнаруженные беспроводные сети.
- Нажать на скрытую сеть.
- Установить метку в строке «Подключаться автоматически» и нажать «Подключиться».
- Ввести вручную имя SSID Wi-Fi подключения.
- Ввести пароль.
Если все сделано верно, соединение с Интернетом будет установлено.
Читайте о том, как поменять пароль на Wi-Fi через телефон.
К скрытой беспроводной сети можно будет подключить и другие устройства, например, телевизор, смартфон, планшет и т.д. Потребуется добавить вручную точку доступа, указав сначала имя, а затем пароль, после чего кликнуть “подключить”. Если данные указаны верно, устройство подключится к беспроводному соединению.
Зная, что такое SSID Wi-Fi сети и где его можно посмотреть, пользователь сможет подключиться к беспроводному соединению для доступа к Интернету. Если сеть скрыта, потребуется добавить ее вручную, указав имя, а затем пароль. Чтобы защитить свое домашнее Wi-Fi подключение от доступа посторонних, рекомендуется скрыть его название в веб-интерфейсе маршрутизатора.
В сети, построенной на основе точек доступа и контроллера UniFi часто возникает необходимость создать несколько независимых подсетей с различными настройками безопасности. Это может потребоваться с целью организации:
- бесплатной Wi-Fi сети для гостей, покупателей или посетителей;
- HotSpot в развлекательных заведениях или местах отдыха (санаториях, гостиницах, кинотеатрах) с ограниченным доступом по карточкам или ваучерам;
Организация отдельной независимой сети
UniFi поддерживает настройку до 4-х WLAN в системе и до 4-х VLAN. Для их создания необходимо зайти в меню Settings => Wireless Networks и нажать кнопку Create.
Далее присваиваем сети имя (SSID), устанавливаем пароль доступа, шифрование. Настройки WLAN зависят от ее предназначения — открытый доступ, ограниченный доступ для клиентов, внутрикорпоративный доступ с приоритезацией трафика.
Каждая WLAN может быть транслирована в отдельную VLAN для обеспечения защиты информации и изоляции трафика в сети. Создание и настройка VLAN производится на уровне сетевого коммутатора или роутера с поддержкой VLAN.
Организация свободного гостевого доступа
Здесь все предельно просто. Создаем отдельную подсеть и в настройках Security отмечаем Open (без шифрования).
Система предусматривает возможность просмотра информации по каждому подключенному клиенту (на вкладке Users) — скорость передачи и приема данных, время подключения и т.д., а также общей статистики на вкладке Statistics (в меню вверху).
Организация HotSpot с идентификацией доступа по ваучерам
В системе UniFi предусмотрена возможность создания хотспот и генерации карточек (ваучеров) доступа.
На практике это выглядит так. Клиент (гость, постоялец и т.д.) свободно подключается к сети WiFi, но для использования Интернет система предлагает ввести номер ваучера на странице авторизации. Клиент обращается к администратору и получает ваучер (карточку, талон) — платно или бесплатно, согласно правилам заведения, — и вводит код доступа на портале HotSpot. Ваучеры могут быть многоразовые и одноразовые, а также иметь различный срок действия. После подключения контроллер UniFi контролирует время доступа к сети каждого клиента.
Настройки HotSpot:
- Создаем открытую гостевую сеть.
- В настройках ставим галочку в пункте Guest Policy (обратите внимание, в примере выше эта галочка в пункте меню не стоит).
- Идем в меню Settings → Guest Control и отмечаем галочкой пункт Guest Portal.
- Здесь же в пункте Authentification выбираем вариант — Hotspot.
- Галочкой отмечаем пункт Voucher.
Генерация ваучеров:
- В этом же меню Settings → Guest Control кликаем по ссылке Go to Hotspot Manager и идем на вкладку Vouchers.
- Внизу расположены настройки генерации ваучеров (в левом углу). Можно установить — одноразовыми или многоразовыми они будут, а также время их действия.
- Жмем кнопку справа — Create Vouchers.
- Печатаем ваучеры — кнопка вверху Print All Unused Vouchers.
Все, распечатанные и разрезанные карточки можно выдавать клиентам.
Ограничение трафика
В любой корпоративной сети может возникнуть необходимость предоставлять разную скорость пользователям — неограниченную сотрудникам и ограниченную — гостям, или отдать приоритет трафика какому-то из отделов. Для этого в программном обеспечении UniFi предусмотрена возможность создания групп пользователей с настройками скорости получени и отправки данных.
- В меню открываем Settings — User Groups, создаем группу пользователей и выставляем лимиты скорости на прием и отправку.
- Открываем Settings — Wireless Networks и сеть, которую мы включим в созданную группу.
- В списке User Group выбираем название группы и применяем настройки.
Ограничение скорости будет распространяться на каждого участника группы.
- 1 Настройка MikroTik VLAN
- 1.1 Сброс настроек роутера
- 1.2 Настройка WAN порта
- 1.3 Объединение LAN портов в Bridge
- 1.4 Добавление VLAN интерфейса
- 1.5 Настройка пула адресов
- 1.6 Настройка DHCP серверов
- 1.7 Настройка DNS сервера
- 1.8 Включение NAT
- 1.9 Изоляция подсетей
- 2 Настройка EnGenius VLAN
- 2.1 Создание двух виртуальных Wi-Fi точек
- 2.2 Настройка безопасности
- 2.3 Настройка VLAN виртуальной точки HotSpot
- 2.4 Настройка LAN
Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.
В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.
Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.
Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:
- роутер MikroTik RB750;
- Wi-Fi точка доступа EnGenius EAP150.
Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.
Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.
1. Настройка MikroTik VLAN
Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.
1.1 Сброс настроек роутера
Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:
- Откройте в меню New Terminal;
- Введите команду systemreset;
- Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.
После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.
1.2 Настройка WAN порта
Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:
- Откройте меню IP — DHCP Client;
- В появившемся окне нажмите красный плюсик;
- В новом окне в списке Interface: выбираем WAN интерфейс ether1;
- Нажимаем кнопку OK для сохранения настроек.
После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.
Проверяем наличие соединения с интернетом:
- Откройте New Terminal;
- Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.
Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.
Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.
1.3 Объединение LAN портов в Bridge
Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.
Добавляем интерфейс Bridge:
- Откройте меню Bridge;
- Нажмите «красный плюсик»;
- В поле Name укажите название интерфейса bridge_main;
- Нажмите кнопку ОК.
Добавляем LAN порты в Bridge:
- Перейдите на вкладку Ports;
- Нажмите «красный плюсик»;
- В списке Interface выберите второй порт роутера ether2;
- В списке Bridge выберите интерфейс bridge_main;
- Нажмите кнопку ОК.
Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.
1.4 Добавление VLAN интерфейса
Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.
- Откройте меню Interfaces;
- Перейдите на вкладку VLAN;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name указываем название интерфейса vlan2;
- В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
- В списке Interface выбираем интерфейс bridge_main;
- Нажимаем кнопку OK для создания VLAN интерфейса.
Назначение IP адресов локальным сетям
Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.
Настройка IP адреса сети предприятия:
- Откройте меню IP — Addresses;
- Нажмите «красный плюсик»;
- В поле Address введите 192.168.88.1/24;
- В списке Interface выберите интерфейс bridge_main;
- Нажимаем кнопку OK.
Настройка IP адреса гостевой сети:
- Откройте меню IP — Addresses;
- Нажмите «красный плюсик»;
- В поле Address введите 192.168.10.1/24;
- В списке Interface выберите виртуальный интерфейс vlan2;
- Нажимаем кнопку OK.
1.5 Настройка пула адресов
Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.
Добавляем диапазон IP адресов предприятия:
- Откройте меню IP — Pool;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_pool_main;
- В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
- Нажмите кнопку OK для сохранения пула адресов.
Добавляем диапазон IP адресов гостевой сети аналогичным образом:
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
- В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
- Нажимаем кнопку OK для сохранения пула адресов.
1.6 Настройка DHCP серверов
Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
Настраиваем DHCP сервер внутренней сети предприятия:
- Откройте меню IP — DHCP server;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_main;
- В списке Interface выберите интерфейс офисной сети bridge_main;
- В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
- Нажмите кнопку OK.
Настраиваем DHCP сервер гостевой сети аналогичным образом:
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_vlan2;
- В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
- В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
- Нажмите кнопку OK.
Теперь переходим на вкладку Networks и добавляем наши сети:
Добавляем сеть предприятия:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.88.0/24;
- В поле Gateway укажите адрес шлюза 192.168.88.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
- Нажмите кнопку OK.
Добавляем гостевую сеть:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.10.0/24;
- В поле Gateway укажите адрес шлюза 192.168.10.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
- Нажмите кнопку OK.
1.7 Настройка DNS сервера
- Откройте меню IP — DNS и нажмите кнопку Settings;
- Поставьте галочку Allow Remote Request;
- Нажмите кнопку OK.
1.8 Включение NAT
Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.
Настройка NAT для внутренней сети предприятия:
-
- Откройте меню IP — Firewall;
- Перейдите на вкладку NAT;
- Нажмите «красный плюсик»;
-
- В списке Chain выберите srcnat;
- В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
- В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
- Перейдите на вкладку Action;
- В списке Action выберите masquerade;
- Нажмите кнопку OK.
Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:
- Нажмите «красный плюсик»;
- В списке Chain выберите srcnat;
- В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
- В списке Out Interface выберите WAN порт vlan2, на который приходит интернет от провайдера;
- Перейдите на вкладку Action;
- В списке Action выберите masquerade;
- Нажмите кнопку OK.
1.9 Изоляция подсетей
Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.
- Откройте меню IP — Routes;
- Перейдите на вкладку Rules;
- Нажмите «красный плюсик»;
- В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
- В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
- В списке Action выберите unreachable;
- Нажмите кнопку OK.
Добавляем второе правило аналогичным образом, только меняем местами подсети.
- Нажмите «красный плюсик»;
- В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
- В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
- В списке Action выберите unreachable;
- Нажмите кнопку OK.
Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.
2 Настройка EnGenius VLAN
Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.
Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.
2.1 Создание двух виртуальных Wi-Fi точек
Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.
Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.
- В списке Enabled SSID выберите цифру 2, чтобы можно было ввести два названия точки доступа;
- В поле ESSID1 вводим название Wi-Fi точки Office — это будет беспроводная сеть предприятия;
- В поле ESSID2 вводим название Wi-Fi точки HotSpot — это беспроводная сеть для подключения гостей;
- AutoChannel оставьте Enable, если хотите чтобы точка сама выбирала Wi-Fi канал, на котором будет работать. У нас на других каналах есть много других Wi-Fi точек, создающих помехи. Поэтому мы выбрали AutoChannel: Disable и в списке Channel вручную указали более свободный канал 11;
- Нажмите кнопку Apply для применения настроек.
2.2 Настройка безопасности
На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.
- Откройте меню Wireless — Security;
- В списке ESSID Selection выберите название точки Office;
- В списке Encryption выберите шифрование WPA pre-shared key;
- В WPA Type выберите тип шифрования WPA2 Mixed;
- В списке Pre-shared Key Type выберите тип ключа Passphrase;
- В поле Pre-shared Key введите пароль для подключения к Wi-Fi точке Office;
- Нажмите кнопку Apply для применения настроек.
Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.
Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.
2.3 Настройка VLAN виртуальной точки HotSpot
Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.
- Откройте меню Wireless — VLAN;
- Выберите Virtual LAN: Enable;
- Напротив SSID 1 Tag: уберите галочку Tag, поскольку первая точка доступа Office не вынесена в отдельный VLAN;
- Напротив SSID 2 Tag: поставьте галочку Tag и укажите идентификатор 2 — это VLAN идентификатор второй точки доступа HotSpot, вынесенной в отдельный VLAN;
- Нажмите кнопку Apply для применения настроек.
2.4 Настройка LAN
Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.
- Откройте меню Network — LAN;
- Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
- IP Address вводим 192.168.88.100;
- IP Subnet Mask указываем маску подсети 255.255.255.0;
- Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
- First DNS Address указываем первичный DNS сервер 192.168.88.1;
- Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
- Применяем настройки кнопкой Apply.
Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.
Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.
Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.
Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.
Огромное спасибо: http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php#vlan_setup_hotspot
Смотрите также:
Как установить Mikrotik Cloud Hosted Router на SSD VDSMikrotik User Meeting (MUM) 2016 Russia, Moscow.Бланки доверенностей на получение материальных ценностей (ТМЦ или товара). Формы М-2 и М-2аРазвертывание шаблонов Windows 7/8 и кастомизацияИспользуемые источники:
- https://help-wifi.ru/tekh-podderzhka/ssid-chto-ehto/
- https://lantorg.com/article/nastrojka-gostevogo-dostupa-i-vlan-v-seti-unifi
- https://adminotes.ru/razdelenie-lokalnoj-seti-s-pomoshhyu-vlan/