星期六, 11月 01, 2014

RouterOS如何設定Vlan並和EdgeCore Es4308連接

當初NGN擴大內需配發一台Edgecore Es4308 POE8 埠交換器,近來各校都陸續改成MikroTik的RouterOS當作防火牆,有部學校是使用Rb450G或是利用一般的PC自己架設,但是有時會遇到內部網路或無線網路需要切割網段,但是又買不起Layer3的交換器,因此就測試如何利用RouterOS的某一埠,利用Vlan切割成不同的網段,再將這一埠的下層接到ES4308交換器,這樣就可以利用這台剩下的7埠作不同的網段運用。
本次環境以RouterOS的第10埠作為範例,使用者可以套用到RouterOS其他埠。
RouterOS:第10埠=>ether10,切成3個vlan,名稱分別為vlan111,vlan222,vlan333。

  • vlan111規畫為192.168.1.0/24的網段,VLAN ID為111,interface ip為192.168.1.1,此當作這個.1.0網段的gateway。
  • vlan222規畫為192.168.2.0/24的網段,VLAN ID為222,interface ip為192.168.2.1,此當作這個.2.0網段的gateway。
  • vlan333規畫為192.168.3.0/24的網段,VLAN ID為333,interface ip為192.168.3.1,此當作這個.3.0網段的gateway。
我們規畫的網路類似以下這樣:



步驟一:新增ROS的vlan界面


  • 進入Ros->Interfaces->VLAN,我們新增一個VLAN,Name為vlan111,VLAN ID為111,Interface為ether10。
  • VLAN ID只能設數字,這是定義你的封包通過這個VLAN時,封包的表頭會加入一個VLAN ID為111的資料,讓交換器判斷這是屬於哪個VLAN的封包,所以ID可以自行設定不一定設111,但只能設定數字,通常設定的值範圍為1-4096,而一般VLAN ID:1是保留為交換器初始預設的VLAN,所以最好不能再設1。
  • Name是VLAN的名稱,這是給自己看的,所以VLAN ID為111,Name不一定要設vlan111,你也可以設v111,v01…等,只要自己看得懂就好。
  • Interface:因為是利用ROS的第10埠來做,所以設ether10,如果你是用第5埠則要選ether5。




第二個VLAN ID我是設222,名稱設vlan222,Interface因為是與vlan111共用同一實體埠(ether10),所以一樣選ether10。接著VLAN 333,名稱:vlan333,interface選ether10。


到這個步驟為此我們已將實體的第10埠切成3個vlan的虛擬埠。




步驟二:設定vlan界面的IP
點選IP->Address->【+】,新增Interface:vlan111,vlan222,vlan333的address及Network,設定值如下:

Address:192.168.1.1/24
Network:192.168.1.0
Interface:vlan111

Address:192.168.2.1/24
Network:192.168.2.0
Interface:vlan222

Address:192.168.3.1/24
Network:192.168.3.0
Interface:vlan333



步驟三:配置DHCP(此步驟為假設動態分配IP是由ROS來分配)
(1)點選ip->pool->【+】,這邊我們要規畫三組DHCP Server可以分配的IP範圍,到時根據不同的VLAN給予不同的IP區段。vlan111預設由dhcp分配192.168.1.10-192.168.1.200,vlan222預設由dhcp分配192.168.2.10-192.168.2.200,vlan333預設由dhcp分配192.168.3.10-192.168.3.200。這邊的Name請自取,我是設定vlan1_pool~vlan3_pool。



(2)設定DHCP Server:我們設定
  1. vlan1_pool的IP區段分配給Interface vlan111。
  2. vlan2_pool的IP區段分配給Interface vlan222。
  3. vlan3_pool的IP區段分配給Interface vlan333。
點選IP->DHCP Server->【+】,Name自訂,我們這邊以vlan1_dhcp為示範,Ingterface選vlan111,Address Pool選vlan1_pool(這是我們之前自行定義的ip分配區段),其他的設定選項如:Lease Time、Authoritative等先照預設,再點按【Apply】。
vlan2_dhcp和vlan3_dhcp,則依此設定方式進行設定。


(3)接著要設定DHCP Server分配的IP要帶哪些資料
點選IP->DHCP Server->Networks->【+】,分別加入192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,及這三段分配IP的gateway,netmask,dns等。

步驟四:設定路由

再來要設定3個vlan 界面的路由,讓3個網段能彼此互通:
點按IP->Routes->Routes->【+】,增加3條路由
第1條路由:
Dst. Address:192.168.1.0/24,gateway:vlan111
第2條路由:
Dst. Address:192.168.2.0/24,gateway:vlan222
第3條路由:
Dst. Address:192.168.3.0/24,gateway:vlan333



步驟五:設定NAT對外連線

新增3條NAT規則,讓這3個網段能對外連線
語法如下:

/ip firewall nat
add action=src-nat chain=srcnat comment=vlan111 out-interface=依自身設定而定 \
    src-address=192.168.1.0/24 to-addresses=163.23.XXX.YY1
add action=src-nat chain=srcnat comment=vlan222 out-interface=依自身設定而定 \
    src-address=192.168.2.0/24 to-addresses=163.23.XXX.YY2
add action=src-nat chain=srcnat comment=vlan333 out-interface=依自身設定而定 \
    src-address=192.168.3.0/24 to-addresses=163.23.XXX.YY3
#############################################################################
以上為RouterOS新增3個VLAN並由ROS本身的DHCP Server提供的動態分配IP、路由及NAT的設定範例。

以下將示範EdgeCore ES4308的VLAN設定範例,
我們假設ES4308的port2和前述ROS的port10(ether10)對接,Es4308的port3要設為vlan111,下面接行政電腦,port4要設vlan222,下接電腦教室電腦,port5要設vlan333,下接教學區電腦。
首先要連進Es4308,根據原廠手冊說明(Edge-core Es4308 POE 使用手冊),該設備預設的IP為192.168.2.10,密碼為admin,但請注意,這個192.168.2.10雖然看起來和我們vlan222是同一網段,但不代表這個網段就可以連得進去,因為他們的vlan是不一樣的,所以你必須要找一台電腦先設與ES4308同一網段,再對接,這裡我們將電腦A與ES4308的port1對接再連入設備中進行以下的相關設定。

為了方便觀察設定是否生效,建議再找另一台電腦B接到es4308的port4,以觀察是否能順利取得vlan222所配的IP,及是否能正常連線。

電腦A連進ES4308的設定畫面後,點按VLANS->VLAN Membership,一般而言所有網管交換器都會至少有一個Vlan ID=1的設定,所以這台交換器的IP是vlan id=1的網段,因此和vlan id=222的網段是不同的,所以電腦B是連不進來這台的。
我們加入新的VLAN ID:222(這裡的ID:222和ROS vlan222的id:222是相同的,也就是封包都是帶vlan tag 222,也因此才能互通),以下所稱的vlan id:222會簡稱為VID:222


加入VID:222後,要再設定哪些埠是屬於VID:222,我們設定port2和port4,因為port2上面接ROS(這裡因為上面要接ROS或網管型的設備的埠,所以之後要設VID:222,tagged only),port4下面接電腦教室(這個port我們會設定VID:222 untagged,所以只能接電腦或無網管交換器),設定完後,點按【APPLY】


如果設定完後,還要再修改VID:222加入其他埠時,則點按VLAN Membership->222->Modify,就可再修改不同的埠號。


點按VLAN Port Config,這個設定是關鍵,PORT2的PacketType要選Tagged Only,PVID要選None,這樣Es4308的port2和ROS的port10的所有帶VID:222的封包才會互通,但其他VID的呢?因為我們剛剛在VLAN Membership只有設VLAN 222,當然目前只有這個vlan的會通,你可以如同前的步驟在port2加上VID 111和VID 333。
Port4因為要接電腦或無網交換器,所以Packet Type選All,然後PVID選222,如果設定無誤的話,接這個port的電腦B將會拿到ROS vlan 222所設定的IP區段的Ip。這時ROS->DHCP Server的Leases看是否有釋出192.168.2.0這個網段的Ip。



如果Port3所接的電腦要拿到ROS所配的192.168.1.0的網段,ES4308的VLAN Membership要再加上VLAN ID:111,群組的port要選擇port2和port3。
因為port我們已經在vlan port config設定Packet Type為Tagged Only,PVID為None。所以這裡我們只要設Port3的Packet Type為All,PVID為111,這樣Port3的電腦就會拿到ROS配的192.168.1.0的網段IP。

#################################################################################

前面提到這台交換器預設的IP為192.168.2.10,我們進入SYSTEM->LAN Settings,Management VLAN為1,所以它不屬於VLAN ID:111或222或333,因此一定要有一台電腦A接到PVID為1的埠才能管理。


但這樣如果上機架或機櫃時無法達到遠端管理,所以我們要修改這台交換器的Management VLAN 讓它可以加入到我們環境運作的VLAN中,因為原有IP是192.168.2.10,剛好和我們VLAN 222是同一網段,因此我們就修改為如下:

Switch IP Address:192.168.2.10
Subnet Mask 255.255.255.0
Gateway IP Address:192.168.1.1
Management VLAN:222




因為我們已經設定VLAN 111,VLAN222,VLAN 333這三個LAN的網段可以互相路由,所以不管我們在192.168.1.0或192.168.2.0或192.168.3.0的網段,都可以打開瀏覽器連到192.168.2.10這個交換器進行管理或修改設定。

如下圖,我將交換器IP設為192.168.1.10,gateway:192.168.1.1,Management VLAN:111,我們電腦是接Es4308的Port4,也就是PVID設定為222,所以是屬於192.168.2.0的網段,經測試是可以直接連到192.168.1.10的交換器進行管理。

#################################################################################

根據前面的網路規畫圖,192.168.2.10這台交換器VLAN設定會是如下:

192.168.2.10的PORT8所接的192.168.2.11這台交換器的VLAN 設定會是如下:

#############################################################################

星期三, 10月 15, 2014

RouterOS的進階應用相關網站

RouterOS Loading blance and policy route
http://itservice-bg.net/?p=230

不同的裝置如何自動配置Hotspot的登錄頁面
http://aacable.wordpress.com/2014/03/10/mikrotik-hotspot-different-login-page-for-mobile-users/

如何讓私接Ip分享器的使用者無法上網
http://aacable.wordpress.com/2014/03/07/blocking-client-router-access/

Routeros回流問題詳細解說
http://blog.163.com/szy8706@yeah/blog/static/627131852011610103746949/

Installing ntop on CentOS 6/Redhat with NetFlow
http://www.mikrotik-routeros.com/2012/03/installing-ntop-on-centos-6redhat-with-netflow-mikrotik-traffic-flow/

MikroTik Automatically Updated Address List-自動更新惡意網址清單
http://joshaven.com/resources/tricks/mikrotik-automatically-updated-address-list/

RouterOS如何實現在自動化流量監控下執行限速功能

參考:
http://blog.163.com/szy8706@yeah/blog/static/62713185201281755841167/

根據用戶數自動調整網路速度
http://blog.163.com/szy8706@yeah/blog/static/627131852012814105737876/

routeros如何限制某段時間可以上網
http://blog.163.com/szy8706@yeah/blog/static/627131852011523610554/

ros之家-很多script
http://www.roszj.com/category/scr

Windows重設網路設定後會一直出現網路1、網路2、網路3,如何刪除之…

參考:
http://blog.cscworm.net/?p=6315

星期三, 9月 24, 2014

SMC 8126L2 交換器不通,如何在交換器中下指令偵錯

一天早上,學校反應有一棟樓網路不通,第一反應是看機房主交換器的光纖是否有問題,這一棟的光纖當初因為主交換器的port不夠用,所以接到機房後,先接一台3com 4500交換器的光纖埠,再從3com 4500 的UTP埠接到上層主交換器。

因為機房光纖埠燈號有亮,所以這邊沒問題,接著到不通的那一棟機櫃看,裡頭的SMC 8126L2 光纖燈號也是亮著,直接接到switch,設定管理IP,可以直接連到該交換器的ip,但是切換回來,雖然直接接交換器,就是無法得到dhcp所分配的ip,再設固定IP也無法ping上一層。要深入瞭解原因,只能以console進交換器,才能知道,因為telnet進得去,所以就直接用telnet進交換器

首先,測試第24埠光纖埠的資料,看設定是是否有跑掉!

Vty-0#show interfaces switchport ethernet 1/24
Information of Eth 1/24
 Broadcast Threshold:           Enabled, 500 packets/second
 Multicast Threshold:           Disabled
 Unknown Unicast Threshold:     Disabled
 LACP Status:                   Disabled
 Ingress Rate Limit:            Disabled, 1000 Mbits per second
 Egress Rate Limit:             Disabled, 1000 Mbits per second
 VLAN Membership Mode:          Trunk
 Ingress Rule:                  Disabled
 Acceptable Frame Type:         All frames
 Native VLAN:                   1
 Priority for Untagged Traffic: 0
 GVRP Status:                   Disabled
 Allowed VLAN:                     1(t),   2(t),   6(t),,4093(t),
 Forbidden VLAN:
 Private-VLAN Mode:             NONE
 Private-VLAN host-association: NONE
 Private-VLAN Mapping:          NONE
 802.1Q-tunnel Status:          Disable
 802.1Q-tunnel Mode:            NORMAL

 802.1Q-tunnel TPID:            8100(Hex)


再測試是否捉到上層的mac資料:

Vty-0#show mac-address-table
 Interface MAC Address       VLAN Type
 --------- ----------------- ---- -----------------
  Eth 1/ 1 B8-6B-23-72-CD-20   11 Learned
  Eth 1/24 00-16-E0-0B-D6-81    1 Learned
  Eth 1/24 00-1E-C1-F7-E4-81    1 Learned
  Eth 1/24 00-1E-C1-F7-E4-9B    1 Learned

結果有吔,第24埠有學習到mac,再清除一遍,再測試一次
Vty-0#clear mac-address-table dynamic
Vty-0#show mac-address-table
 Interface MAC Address       VLAN Type
 --------- ----------------- ---- -----------------
Vty-0#show mac-address-table
 Interface MAC Address       VLAN Type
 --------- ----------------- ---- -----------------
  Eth 1/24 00-16-E0-0B-D6-81    1 Learned
  Eth 1/24 00-1E-C1-F7-E4-9B    1 Learned
  Eth 1/24 70-62-B8-9E-28-08    1 Learned
  Eth 1/24 00-15-F2-7D-88-6F   11 Learned
  Eth 1/24 00-C0-EE-91-67-6B   11 Learned
  Eth 1/24 74-27-EA-B7-54-AA   11 Learned

有捉到資料,代表,24埠可以學習到上層的mac,也就是光纖埠彼此是通的,這就要再測試上面串接的3com 4500交換器,回到機房端再測試。
ping 不到,web進不去,telnet到一半就沒資料了,可能當機,所以重開機。
再ping 一次,回應時好時壞,web還是連不進去,研判應該是交換壞掉,剛好有一台備用的交換器,趕緊換上,結果就通了!
今天學到了如何在交換器中下指令去確認問題。

星期日, 9月 07, 2014

ISG50-PSTN如何批次大量修改話機號碼

一、如果固定某個時期就要更換大量的話機號碼,則批次轉換是個很好的方式。進入ISG50後到Maintenance->File Manager->Shell Script,下載extension.zysh,並用文字編輯器打開。




二、修改extension.zysh,將要修改的號碼置換成新的話碼。


三、號碼改完後再重新上傳即可。






ISG50-PSTN如何修改話機號碼

一、移除舊有的分機號碼,到Configuration->PBX->Extension Management->Authority Group,移除舊有的號碼。



二、增加新的話機號碼,按Add,增加新的號碼,號碼註冊資料等。



三、如果話機沒有Auto Provision功能,則還要到話機本身修改註冊號碼的資料,將原有舊號碼的註冊資料,改成新的號碼,並讓話機能重新註冊到pbx上。若有Auto Provision功能,則在ISG50-PSTN上的PBX->Auto Provison->將已註冊成功的話碼加入話機的MAC Address以及話機型號,Active選Update automatically,則PBX會重新更正原有話機的資料,並重新註冊。



四、若有大量批次改號碼的需求,則要借助批次轉換功能,

星期六, 9月 06, 2014

Zyxel V310 如何增加第二個分機號碼

一、首先必須先到ippbx (ISG50)新增sip 分機帳號,



二、進入V310新增一組要註冊的sip 帳號,當然這邊的資訊要和前述建立在server端的 sip分機帳號資料一致,有時會出現註冊失敗,則可以重新啟動話機看看。




三、再到ISG50 ippbx->monitor->PBX->SIP Peer看是否有註冊成功,號碼顯示online的訊息。


四、完成後,再到話機進行撥出與撥的測試,看是否有異常。

星期三, 8月 27, 2014

windows7 裝置管理員有偵測到usb隨身碟,但是無法顯示出來

參考:
http://www.jinnsblog.com/2011/01/how-to-fix-usb-unkonwn-device.html
即可解決!

星期二, 8月 19, 2014

phantosys的操作記要

client端管理模式
開機畫面->F1->帳號,密碼--admin,123456

server端管理模式
server端程式->帳號,密碼--root,123456

星期一, 4月 28, 2014

合勤Zyxel NWA3160-N無線AP的安裝與設定

隨著智慧型手機、平板的普及,無線上網的功能對學校而言已愈來愈重要,學校之前已建置5台室內外型的AP,讓教室外的無線訊號覆蓋率已達到80%,未來要補足的就是教室內的無線訊號,因為學校的大樓位置為ㄇ字型配置,且棟距過大,就算功率大的AP也無法滿足教室內的無線上網需求。

所以目前規劃各棟大樓的每一層均配置一台無線AP,然而這樣就會遇到管理的問題,當AP過多,最好的解決方式就是規劃ThinAP的模式,由一台控制器控制所有的AP,然而這樣的模式光是控制器就是一筆不小的負擔,所幸最後找到了合勤Zyxel NWA3160-N,這款AP除了可以當一般AP外,最大的特色就是可以將一台AP轉換成簡易的控制器,最多可以控管24台AP,算一算這樣的規劃應該是目前學校可以負擔的起的方案。




原有環境:

  1. 參考以前的文章:D-Link DWL-3200AP 如何設定vlan,有說明
  2. 如上所述,每台AP會有兩組SSID,一組cses_G,設金錀認證加密, 位於vlan id 99,取得的ip為校內網段,由內部dhcp server配發,可連線校內服務。一組cses_NGN,vlan id 101設為Open system,網頁認證,取得的Ip由RouterOS防火牆的dhcp server配發10.xx.xx.xx網段,無法取得校內服務,即此網段之VLAN是由防火牆直接下接,無法透過內部Layer3 Swtich進行路由,只能直接由防火牆出去。


以下就以本校的需求進行設定的步驟:

有一台AP設為控制器管理模式,其餘設為Thin AP模式,所以設定會有兩種:

(1)控制器管理模式

  1. 以電腦直接接AP,並由預設的IP連線進NWA3160-N進行設定(預設的IP為192.168.1.2)
  2. 到【Configuration】-【LAN Setting】設定固定IP,並到【VLAN Settings】-【Management VLAN ID:】填入管理的vlan id,這邊我們設定99
  3. 設定完後,將此AP接到帶tag 99的port
  4. 連到新的IP,到【CONFIGURATION】-【MGNT Mode】將【Management Mode】設為【AP Controller】


(2)終端Thin AP被管理模式


  1. 連線進NWA3160-N進行設定(預設的IP為192.168.1.2)
  2. 到DHCP server設定IP與MAC綁定
  3. 進入NWA3160-N->configuration->LAN Setting->IP Address Assignment 設為Get Automatically,即以DHCP取得IP,但是為因為management vlan id要設為99,所以要找一台layer2交換器其中一個埠設為vlan untag 99,並將此AP重新接到此埠,由DHCP server重新給本網段的新IP
  4. 此時AP理應會得到dhcp server配的Ip,重新連線進入此AP進行設定,到NWA3160-N-【
  5. CONFIGURATION】-【MGNT Mode】設為【Managed AP】在【manual】-【Primary static AC IP:】填入控制器的IP,再【APPLY】
  6. 註:若Native VLAN 有勾,則接到的交換器的port 的vlan必須設untag,若Native VLAN沒勾,則則接到的交換器的port 的vlan必須設tag

註:在上述5.的manual選項中,還有一個【Auto (DHCP Server Option 138 setting required)】,可以在區網的DHCP server中加上 option 138的參數,這樣就可以由終端AP透過DHCP去找AP Controller,後來在網路上找到TELDAT網站有一份文件提到在Linux  DHCP Server中設定的範例

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Configuration of a DHCP server under Linux
In the configuration file /etc/dhcp/dhcpd.conf, add the following:


The lines beginning with option wifi-controller are the most crucial ones. The first line defines the data format of option 138, as it is not contained in the standard format definitions of the dhcpd. The second line specifies the IP address of the WLAN controller to which the individual slave AP's log in after they have received all data (own IP address, WLAN controller IP, etc.) from the DHCP server.
Any other information is standard for the definition of a DHCP pool: subnet, range, domain-name-servers, routers etc. need to be configured according to the customer's own requirements.
Once the configuration file is saved, restart the DHCP server with the command /etc/init.d/dhcp-server restart.


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


(3)管理終端AP

  1. 到【CONFIGURATION】-【Wireless】-【AP Management】看是否捉到終端的AP資訊
  2. 找到每一台AP,點選【Edit】,修改Management VLAN ID為99,As Native VLAN的打勾取消。
(4)管理被控端AP的SSID與Security mode



  1. 進入管理端畫面-【Configuration】-【Object】-【AP Profile】-【Radio】,這邊是控制天線及頻道的設定
  2. 進入管理端畫面-【Configuration】-【Object】-【AP Profile】-【SSID】,這邊是控制AP要有哪些SSID,及SSID所配合的Security Mode

星期六, 3月 29, 2014

如何設定Mikrotik 的RouterOS的Hotspot和User Manager溝通

參考原廠wiki資料--How to make HotSpot and User Manager on the same router
如果HotSpot和User Manager均位於同一台機器上則
HotSpot的設定為

 / radius add service=hotspot address=127.0.0.1 secret=123456

我們增加了一台Radius Client資訊向本機的User Manager請求查詢
127.0.0.1 代表本機,secret是一組密碼,用以讓radius server和radius client可以互相溝通交換訊息。

 / ip hotspot profile set hsprof1 use-radius=yes

User Manager的設定為
建立一位Subscriber(Customer的最高權限者)
/ tool user-manager customer add login="MikroTik" password="test" permissions=owner
增加一個router設定
/ tool user-manager router add subscriber=MikroTik ip-address=127.0.0.1 shared-secret=123456
ip-address因為是在本機上提供服務,所以填127.0.0.1 ,shared-secret要與hotspot所設定的secret一致


參考資料:
http://wiki.mikrotik.com/wiki/User_Manager/Hotspot_Example



Handlink WG-500P M 如何與Mikrotik的RouterOS中的User Mananger模組溝通,並同步化訪客臨時帳密

Handlink WG-500P可以結合RouterOS進行HotSpot的認證控管,但是要進行設定前,必須要完成幾個動作:

  1. RouterOS需要安裝UserManager模組
  2. Handlink WG-500P必須更新軔體變更成WG-500P M


 User Manager模組的安裝在之前已有安裝說明,這邊我們就說明如何更新WG-500P韌體。

-連線進WG-500P 目前的型號是WG-500P

-進入設定畫面後,到System tools-firmware,找到Local PC File Path。確認韌體的版本是WG-500PM_1.00.00 ,而不是WG-500P_v1.00.00,要有M的才是。
Local PC File Path指向韌體檔案所在,按APPLY以進行更新,按下APPLY時,畫面沒有韌體上傳進度,所以要等一下,直到下一個畫面出現


-這個書面出現後,即開始進行韌體更新動作,這個畫面大約要等個10分鐘,直到這個畫面結束,即完成韌體更新。但是更新完後必須要將之前在WG-500P的設定檔回復成出廠預設值,請拿一支迴紋針,按壓WG-500P屁屁的重置孔,直到機器的三個列印鈕燈號熄滅,機器會重新開機,這時就完成完整更新的動作。


韌體更新完成後,就變成了WG-500PM,將WG-500PM的ethernet和電腦相接,WG-500P預設的IP為169.254.1.250,帳密預設為admin,無線網路的SSID預設為Handlink

-進入WG-500PM後,出現系統的資訊頁面,目前可以看到Mikrotil RouterOS Connection是紅色的Fail


-我們開始設定這台WG-500PM的IP,看是要DHCP IP,還是Static IP,依個別環境需要設定。其餘的項目如802.11 Mode、ESSID等亦同。

除了Ethernet外。WG-500PM也可以當成一台無線終端設定,利用無線方式和現有網路環境連接,在INTERFACE SETTING下方有個Wireless to MikroTik RouterOS,按壓【AP SCAN】,會馬上掃出目前環境提供的無線網路訊息。



- AP SCAN掃出後,可選擇要連線的SSID,即可利用無線方式與現有網路相連接。

接著我們打開Winbox-IP-HotSpot到IP Bindings,其中Address即為WG-500PM的IP,Type要選by passed這樣WG-500PM就可以在不進行認證的狀況下和RouterOS溝通。

-我們接著回到WG-500PM 的【Account Generator】,這裡我們要設定RouterOS的IP,API Port預設為8728,還有RouterOS的管理帳密
-RouterOS的api預設的port number可以到RouterOS -IP-Services查詢,目前的設定值為8728 port

-以上設定完後,連到WG-500PM-System,查詢Mikrotik RouterOS Connection是否顯示【OK】

-RouterOS與WG-500PM的溝通設定完成後,開啟http://RouterOS/userman,登入後到Profiles頁面準備設定Profiles,這邊我們定義1個Profiles 的名稱為5min,這邊我們要示範定義一個只能上5分鐘的user profile,目前這個name只是名稱,並非真的只能使用5分鐘。Name for users是對這個profile名稱述敘或簡易說明,其他的照預設的就可以了。

Limitations是定義上網的流量及時間的管控,如果要設定使用者的上網時間,則在Uptime這裡設定,1d代表1天,1h代表1小時,1m代表1分鐘,1s代表1秒(可參考http://wiki.mikrotik.com/wiki/User_Manager/Character_constants)。這裡我們設定5m,代表只能使用5分鐘的時間。Limitation details可是設定很多不同的限制方式,以配合profiles的應用。



回到Profiles,我們點選下方【Add new limitation】找到剛剛建立【5min】加入到我們的profile中。



-回到WG-500PM的Account Generator,我們可以定義機器的A、B、C三個按鈕對映到User Manager的哪個profile,這邊我三個都設不同profile,以因應不同的上網需求。其中的Button C,就是我們前面示範的【5min】Profile。Length是定義帳號密碼要多少字元,預設為4個字元,您也可以視需求改變。



-按下WG-500PM的按鈕,會列印出一組隨機的帳號、密碼,同時也會與RouterOS溝通後,一併在User Manager的Users項目中同步這組帳號密碼。但實際測試,並不會馬上同步,大約要等1分鐘左右。
我們使用Button C印出帳密表單,除了Username及Password是隨機給之外,Usage Time是根據Profile的Limination所設定的。


連回到WG-500PM的Users可以看到表單印出的使用者。


以Winbox連到RouterOS-IP-Hotspot的Active可以看到使用者mhg5已經認證,可核可使用網路,等到Uptime 5分鐘到,RouterOS會自動將mhg5刪除。

回到User manager的Users中,雖然可以看到mhg5使用者,但是滑鼠點了之後會出現User does not exist的字樣,代表使用者被註銷了。


使用者再利用mhg5的使用者認證時,會出現【user not found】,所以使用者就無法再登入使用。



註:
這次的測試有遇到幾個問題
1.使用chrome或firefox登入User manager時,常會出現【Your sessions has been reset due to inactivity】這個訊息。使用IE則會出現下下面【The following client application.....】的訊息。


查了網路,似乎常有人出現這樣的錯誤訊息,而一直無法登入User manager,原廠似乎也還沒有解決,我試了幾個方式,清除瀏覽器的cookie,有時有用。另外一個方式是用IE,但要設【相容性檢視】就沒問題了,供參考。

2.雖然在HotSpot未認證前,電腦就會取得一組IP,但是經由HotSpot認證後,又會再給同一個網段的不同IP,見下面紅色框框,原本未認證過之前IP是10.1.1.200,可是認證過後Routeros會給一個新的IP-10.1.1.175,這個是目前我遇到的疑問。我試過這同一台電腦接到不同Interface,DHCP網段也不同,當認證過後,一樣是給10.1.1.175這個IP,而導致雖然有認證過,但是卻無法連線的問題。



參考資料: