合勤Zyxel NWA3160-N無線AP的安裝與設定

隨著智慧型手機、平板的普及，無線上網的功能對學校而言已愈來愈重要，學校之前已建置5台室內外型的AP，讓教室外的無線訊號覆蓋率已達到80%，未來要補足的就是教室內的無線訊號，因為學校的大樓位置為ㄇ字型配置，且棟距過大，就算功率大的AP也無法滿足教室內的無線上網需求。

所以目前規劃各棟大樓的每一層均配置一台無線AP，然而這樣就會遇到管理的問題，當AP過多，最好的解決方式就是規劃ThinAP的模式，由一台控制器控制所有的AP，然而這樣的模式光是控制器就是一筆不小的負擔，所幸最後找到了合勤Zyxel NWA3160-N，這款AP除了可以當一般AP外，最大的特色就是可以將一台AP轉換成簡易的控制器，最多可以控管24台AP，算一算這樣的規劃應該是目前學校可以負擔的起的方案。

原有環境：

1. 參考以前的文章：D-Link DWL-3200AP 如何設定vlan，有說明
2. 如上所述，每台AP會有兩組SSID，一組cses_G，設金錀認證加密， 位於vlan id 99，取得的ip為校內網段，由內部dhcp server配發，可連線校內服務。一組cses_NGN，vlan id 101設為Open system，網頁認證，取得的Ip由RouterOS防火牆的dhcp server配發10.xx.xx.xx網段，無法取得校內服務，即此網段之VLAN是由防火牆直接下接，無法透過內部Layer3 Swtich進行路由，只能直接由防火牆出去。

以下就以本校的需求進行設定的步驟：

有一台AP設為控制器管理模式，其餘設為Thin AP模式，所以設定會有兩種：

（1）控制器管理模式

1. 以電腦直接接AP，並由預設的IP連線進NWA3160-N進行設定（預設的IP為192.168.1.2)
2. 到【Configuration】-【LAN Setting】設定固定IP，並到【VLAN Settings】-【Management VLAN ID:】填入管理的vlan id，這邊我們設定99
3. 設定完後，將此AP接到帶tag 99的port
4. 連到新的IP，到【CONFIGURATION】-【MGNT Mode】將【Management Mode】設為【AP Controller】

（2）終端Thin AP被管理模式

1. 連線進NWA3160-N進行設定（預設的IP為192.168.1.2)
2. 到DHCP server設定IP與MAC綁定
3. 進入NWA3160-N->configuration->LAN Setting->IP Address Assignment 設為Get Automatically，即以DHCP取得IP，但是為因為management vlan id要設為99，所以要找一台layer2交換器其中一個埠設為vlan untag 99，並將此AP重新接到此埠，由DHCP server重新給本網段的新IP
4. 此時AP理應會得到dhcp server配的Ip，重新連線進入此AP進行設定，到NWA3160-N-【
5. CONFIGURATION】-【MGNT Mode】設為【Managed AP】在【manual】-【Primary static AC IP:】填入控制器的IP，再【APPLY】
6. 註：若Native VLAN 有勾，則接到的交換器的port 的vlan必須設untag，若Native VLAN沒勾，則則接到的交換器的port 的vlan必須設tag

註：在上述5.的manual選項中，還有一個【Auto (DHCP Server Option 138 setting required)】，可以在區網的DHCP server中加上 option 138的參數，這樣就可以由終端AP透過DHCP去找AP Controller，後來在網路上找到TELDAT網站有一份文件提到在Linux  DHCP Server中設定的範例

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Configuration of a DHCP server under Linux

In the configuration file /etc/dhcp/dhcpd.conf, add the following:

The lines beginning with option wifi-controller are the most crucial ones. The first line defines the data format of option 138, as it is not contained in the standard format definitions of the dhcpd. The second line specifies the IP address of the WLAN controller to which the individual slave AP's log in after they have received all data (own IP address, WLAN controller IP, etc.) from the DHCP server.

Any other information is standard for the definition of a DHCP pool: subnet, range, domain-name-servers, routers etc. need to be configured according to the customer's own requirements.

Once the configuration file is saved, restart the DHCP server with the command /etc/init.d/dhcp-server restart.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

（3）管理終端AP

1. 到【CONFIGURATION】-【Wireless】-【AP Management】看是否捉到終端的AP資訊
   
2. 找到每一台AP，點選【Edit】，修改Management VLAN ID為99，As Native VLAN的打勾取消。
   

（4）管理被控端AP的SSID與Security mode

1. 進入管理端畫面-【Configuration】-【Object】-【AP Profile】-【Radio】，這邊是控制天線及頻道的設定
   
2. 進入管理端畫面-【Configuration】-【Object】-【AP Profile】-【SSID】，這邊是控制AP要有哪些SSID，及SSID所配合的Security Mode
   
   

Handlink WG-500P M 如何與Mikrotik的RouterOS中的User Mananger模組溝通，並同步化訪客臨時帳密

Handlink WG-500P可以結合RouterOS進行HotSpot的認證控管，但是要進行設定前，必須要完成幾個動作：

1. RouterOS需要安裝UserManager模組
2. Handlink WG-500P必須更新軔體變更成WG-500P M

 User Manager模組的安裝在之前已有安裝說明，這邊我們就說明如何更新WG-500P韌體。

-連線進WG-500P 目前的型號是WG-500P

-進入設定畫面後，到System tools-firmware，找到Local PC File Path。確認韌體的版本是WG-500PM_1.00.00 ，而不是WG-500P_v1.00.00，要有M的才是。

Local PC File Path指向韌體檔案所在，按APPLY以進行更新，按下APPLY時，畫面沒有韌體上傳進度，所以要等一下，直到下一個畫面出現

-這個書面出現後，即開始進行韌體更新動作，這個畫面大約要等個10分鐘，直到這個畫面結束，即完成韌體更新。但是更新完後必須要將之前在WG-500P的設定檔回復成出廠預設值，請拿一支迴紋針，按壓WG-500P屁屁的重置孔，直到機器的三個列印鈕燈號熄滅，機器會重新開機，這時就完成完整更新的動作。

韌體更新完成後，就變成了WG-500PM，將WG-500PM的ethernet和電腦相接，WG-500P預設的IP為169.254.1.250，帳密預設為admin，無線網路的SSID預設為Handlink

-進入WG-500PM後，出現系統的資訊頁面，目前可以看到Mikrotil RouterOS Connection是紅色的Fail

-我們開始設定這台WG-500PM的IP，看是要DHCP IP，還是Static IP，依個別環境需要設定。其餘的項目如802.11 Mode、ESSID等亦同。

除了Ethernet外。WG-500PM也可以當成一台無線終端設定，利用無線方式和現有網路環境連接，在INTERFACE SETTING下方有個Wireless to MikroTik RouterOS，按壓【AP SCAN】，會馬上掃出目前環境提供的無線網路訊息。

- AP SCAN掃出後，可選擇要連線的SSID，即可利用無線方式與現有網路相連接。

接著我們打開Winbox-IP-HotSpot到IP Bindings，其中Address即為WG-500PM的IP，Type要選by passed這樣WG-500PM就可以在不進行認證的狀況下和RouterOS溝通。

-我們接著回到WG-500PM 的【Account Generator】，這裡我們要設定RouterOS的IP，API Port預設為8728，還有RouterOS的管理帳密

-RouterOS的api預設的port number可以到RouterOS -IP-Services查詢，目前的設定值為8728 port

-以上設定完後，連到WG-500PM-System，查詢Mikrotik RouterOS Connection是否顯示【OK】

-RouterOS與WG-500PM的溝通設定完成後，開啟http://RouterOS/userman，登入後到Profiles頁面準備設定Profiles，這邊我們定義1個Profiles 的名稱為5min，這邊我們要示範定義一個只能上5分鐘的user profile，目前這個name只是名稱，並非真的只能使用5分鐘。Name for users是對這個profile名稱述敘或簡易說明，其他的照預設的就可以了。

Limitations是定義上網的流量及時間的管控，如果要設定使用者的上網時間，則在Uptime這裡設定，1d代表1天，1h代表1小時，1m代表1分鐘，1s代表1秒(可參考http://wiki.mikrotik.com/wiki/User_Manager/Character_constants)。這裡我們設定5m，代表只能使用5分鐘的時間。Limitation details可是設定很多不同的限制方式，以配合profiles的應用。

回到Profiles，我們點選下方【Add new limitation】找到剛剛建立【5min】加入到我們的profile中。

-回到WG-500PM的Account Generator，我們可以定義機器的A、B、C三個按鈕對映到User Manager的哪個profile，這邊我三個都設不同profile，以因應不同的上網需求。其中的Button C，就是我們前面示範的【5min】Profile。Length是定義帳號密碼要多少字元，預設為4個字元，您也可以視需求改變。

-按下WG-500PM的按鈕，會列印出一組隨機的帳號、密碼，同時也會與RouterOS溝通後，一併在User Manager的Users項目中同步這組帳號密碼。但實際測試，並不會馬上同步，大約要等1分鐘左右。
我們使用Button C印出帳密表單，除了Username及Password是隨機給之外，Usage Time是根據Profile的Limination所設定的。

連回到WG-500PM的Users可以看到表單印出的使用者。


以Winbox連到RouterOS-IP-Hotspot的Active可以看到使用者mhg5已經認證，可核可使用網路，等到Uptime 5分鐘到，RouterOS會自動將mhg5刪除。

回到User manager的Users中，雖然可以看到mhg5使用者，但是滑鼠點了之後會出現User does not exist的字樣，代表使用者被註銷了。

使用者再利用mhg5的使用者認證時，會出現【user not found】，所以使用者就無法再登入使用。

註：
這次的測試有遇到幾個問題
1.使用chrome或firefox登入User manager時，常會出現【Your sessions has been reset due to inactivity】這個訊息。使用IE則會出現下下面【The following client application.....】的訊息。

查了網路，似乎常有人出現這樣的錯誤訊息，而一直無法登入User manager，原廠似乎也還沒有解決，我試了幾個方式，清除瀏覽器的cookie，有時有用。另外一個方式是用IE，但要設【相容性檢視】就沒問題了，供參考。

2.雖然在HotSpot未認證前，電腦就會取得一組IP，但是經由HotSpot認證後，又會再給同一個網段的不同IP，見下面紅色框框，原本未認證過之前IP是10.1.1.200，可是認證過後Routeros會給一個新的IP-10.1.1.175，這個是目前我遇到的疑問。我試過這同一台電腦接到不同Interface，DHCP網段也不同，當認證過後，一樣是給10.1.1.175這個IP，而導致雖然有認證過，但是卻無法連線的問題。

參考資料：

• Mikrotik User Manager as Radius Server
• Configure Mikrotik as a Hotspot Server
• How to Create Voucher in Mikrotik User Manager
• mikrotik-hotspot-configuration-guide
• Mikrotik PPPoE Server with User Manager Pre Paid Billing System 
• MIKROTIK RADIUS AND USER MANAGER
• User Manager/4/PPP Setup
• Manual:RADIUS Client

Handlink WG-500P HotSpot無線路由器設定

依據WG-500P的快速設定步驟說明書，本機器預設的IP為10.59.1.1，建議用無線網路連上該機器的SSID，預設分配的網段是10.59.1.0，所以筆電連上後，瀏覽器直接打該IP就可以連上了，預設帳密為admin。

連進去後，馬上就進入了設定精靈，這邊選擇目前的網路環境，因本校內部是使用DHCP分配IP，所以就選【DHCP Client】，讓這台機器的Ethernet Port直接取得IP，當然如果要方便管理，就選【Static IP Setting】設固定IP亦可。

下一步，進入無線模式的設定，其中Country有ETSI(Federal Communications Commission)和FCC(European Telecommunications Standards Institutes )二個選項，（二者的差別可以參考http://www.extremenetworks.com/understanding-fccetsi-dfs-regulations-for-802-11ac-deployments/）基本上選哪一個都可以。
Channel可以視環境改變，如果AP所在位置有其他的AP，則要避免相同頻道，以避免干擾。
802.11 Mode建議不要選有+802.11b，因為如果所在位置真的有人使用802.11b連線，則所有人的無線網路都會降速到11Mb，這邊我是選802.11n+802.11g。

Authentication Service 部分，因為我們要求無線網路的使用者均要認證，因此就選第一個選項Yes,The users ......

Billing Profile有兩個主要的功能設定，一種是Time to Finish：使用者可以登入一次，一旦登入後，就開始計時，例如設定只能使用30分鐘，則登入後30分鐘後就無法使用。另一種是Accumulation也就是累計計時，例如設定可使用30分鐘，如果你使用10分鐘後登出，則還有20分鐘的時間可以使用此服務。

Billing Profile的下方有個Service and Price Plan，這是用於計費，因為我們不需要用到，所以將No Billing Mode打勾。

Accounting是用來設定當我們按下wg-500p的列印鈕（有A ,B ,C三個）以本圖為例，當按下A鈕時，就會印出只能用30分鐘的隨機帳密，按C鈕時，就會印出可以使用2小時的的隨機帳密。Printout則可設定要印一式1份或一式2份或3份。

Account Printout Customization是用來設定印出隨機帳密表單的用語，可參考本圖下方實際印出的表單。

我們實際連線看看，速度有到144Mbps，可見有支援802.11n。

連外網時，會跳出認證畫面，輸入帳密後，即可連線。

System Status畫面中會顯示登入的使用者訊息。

如何設定SMC 2888W與 2555w為WDS橋接模式

假設2888W為A基地台，2555W為B基地台

A基地台的Radio Channel（在radio settings中）要和B基地台一樣，

Security中的SSID也要設定一樣，

假設我們要利用這兩台的802.11a來作WDS

 

A的設定中

WDS Settings中的設定，Bridge Role要選【Root-Bridge】，Bridge Child的MAC要設B基地台的Radio A的MAC

 

B的設定中

WDS Settings中的設定，Bridge Role要選【Bridge】，Bridge Parent的MAC要設A基地台的Radio A的MAC