Wifi-to: Installare una nuova tratta
Indice |
Introduzione
Nella redazione di tale documento, si � tenuto in considerazione questo particolare scenario:
- gli apparati interessati dalla tratta in�esempio, presuppongono che sul sito "sorgente" era gi� precedentemente presente un altro apparato, mentre invece nel sito "destinazione" l'installazione � da considerarsi come la prima riferita al Link Nazionale Digitale CISAR;
- le procedure di configurazione sono riferite ad apparati Mikrotik con versione RouterOS 3.3; per le configurazioni lato server si riconduce alla situazione di installazione dell'Aprile 2010, con server basati su Linux distribuzione CentOS, Zebra/Quagga per il routing OSPF e Cacti per il monitoraggio della rete. I due dispositivi hanno ciascuna una sola interfaccia Ethernet (ether1) ed una sola interfaccia Radio (wl0).
Reperimento delle informazioni sui siti interessati
Tale attività è da considerarsi fondamentale per la buona riuscita dell'esecuzione, da effettuarsi preventivamente rispetto all'effettiva installazione e configurazione, a sostenimento della tesi che altrimenti nulla sarebbe più definitivo del provvisorio. Se pur qualche volta difficile per chi è abituato a puntare antenne e configurare sistemi, è la correttezza nel reperimento delle informazioni fondamentali che ci permettono di eseguire con probabile esito positivo tutte le parti successive dell'attività, coerentemente con quanto indirizzato dalle Linee Guida.
In tal senso, risulta d'ausilio la specifica tabella che ci aiuta nel reperimento delle relative informazioni:
Tabella 1. Informazioni sui siti interessati
|
|
|
|
Identificativo Sistema | Riferimento, mappatura SSID |
|
|
Provincia di installazione* | Decodifica Subnet da codice ISTAT |
|
|
Coordinate GPS | Radio Mobile, Mappatura Monitoraggio | ||
Manutentore | Riferimento |
|
|
| |||
Dispositivo | Riferimento |
|
|
Antenna (Guadagno) |
Radio Mobile, Dimensionamento |
|
|
Antenna (tipologia/apertura) | Radio Mobile, Dimensionamento |
|
|
- In caso di promiscuità tra provincie del sito di installazione, affidarsi all'enucleazione dell'assegnazione della zona radioamatoriale (per esempio, Bocca Trabaria è prevalentemente in provincia di Perugia, ma vista l'installazione effettuata proprio sul confine e l'assegnazione del nominativo con zona 6, si procede con l'assegnazione della provincia di Pesaro e Urbino).
Attività di verifica preventiva e dimensionamento
- Visibilità ottica, distanza
Il requisito della visibilità ottica è di fondamentale importanza, anche se tramite l'utilizzo di particolari soluzioni tecnologiche si potrebbero riuscire a collegare anche siti senza avere necessariamente soddisfatto questo requisito. Per la distanza, premesso che la tratta record di 304 Kilometri è un record mondiale appartenente alla nostra associazioni CISAR (relativa alla tratta Amiata-Limbara), le tratte di qualche decina di kilometri sono sicuramente alla portata di tutti, purchè ci si preoccupi di effettuare le opportune verifiche e si utilizzino delle antenne idonee. Le caratteristiche standard di dispositivi tipo Mikrotik, Ubiquiti ed altri, permettono quasi sempre alcuni aiuti per il corretto puntamento delle antenne e l'ottimizzazione dei protocolli di comunicazione di basso livello, relativamente ai timeout ed agli altri parametri.
- Antenne, cavi e numero di interfacce
- Radio Mobile
Radio Mobile è un software sviluppato da Roger Coudé (VE2DBE), molto utile per la determinazione del livello di copertura dei dispositivi radio e della determinazione dell'esistenza della visibilità ottica tra due apparati (Line of Sight). E' scaricabile gratuitamente dal sito http://www.cplus.org/rmw/english1.html
Esempi di utilizzo molto interessanti sono quelli rappresentati nelle due immagini a lato, dove per esempio si è verificata sulla carta, tramite proprio Radio Mobile, la non praticabilità della tratta Bocca Trabaria-Ingino per mancanza di visibilità ottica, a favore della tratta Poti-Ingino, perfettamente in linea di visibilità, con una distanza sicuramente traguardabile senza problemi di circa 50 Km.
Allocazione indirizzi IP e nominativi via IPPLAN
Tabella 2. Allocazione indirizzi IP e nominativi
|
|
|
Identificativo Apparato |
|
|
Indirizzo IP interfaccia LAN (ether1) |
|
|
Nome interfaccia LAN (ether1) |
|
|
Indirizzo IP interfaccia Radio PtP (wl0) | ||
Nome interfaccia Radio PtP (wl0) | ||
Indirizzo IP interfaccia Radio�Access (wl1) | ||
Nome interfaccia Radio Access (wl1) |
- Sito "Sorgente"
- Subnet LANMIX
- Subnet Point-to-Point
- Subnet WLAN Access
- Sito "Destinazione"
- Subnet LANMIX
- Subnet WLAN Access
Configurazione apparati
Configurazione interfacce
Di seguito l'export della configurazione relativamente alla configurazione delle interfacce. Da notare la gestione dell'interfaccia wlan2, relativa alla wlan che permette l'accesso via DHCP centralizzato, possibile solo sui dispositivi che funzionano in modalità AP. Si raccomanda la disabilitazione di ogni funzionalità di bridging. Ho omesso volutamente le parti soggette a configurazioni di default.
/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="" disabled=no full-duplex=yes \
l2mtu=1526 mac-address=00:0C:42:27:DB:CA mtu=1500 name=ether1 speed=\
100Mbps
/interface wireless
set 0 ack-timeout=dynamic adaptive-noise-immunity=none allow-sharedkey=no \
antenna-gain=0 antenna-mode=ant-a area="" arp=enabled band=5ghz \
basic-rates-a/g=6Mbps basic-rates-b=1Mbps burst-time=disabled comment="" \
compression=no country=no_country_set default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=\
yes dfs-mode=none disable-running-check=no disabled=no \
disconnect-timeout=3s frame-lifetime=0 frequency=5765 frequency-mode=\
manual-txpower hide-ssid=yes hw-retries=4 mac-address=00:0C:42:26:2C:E3 \
max-station-count=100 mode=ap-bridge mtu=1500 name=wlan1 \
noise-floor-threshold=default on-fail-retry-time=100ms \
periodic-calibration=default periodic-calibration-interval=60 \
preamble-mode=both proprietary-extensions=post-2.9.25 radio-name=ir0aw-2 \
rate-set=default scan-list=default security-profile=default ssid=\
IR0AW-IQ0RF station-bridge-clone-mac=00:00:00:00:00:00 \
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps \
supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps tx-power-mode=default \
update-stats-interval=disabled wds-cost-range=50-150 wds-default-bridge=\
none wds-default-cost=100 wds-ignore-ssid=no wds-mode=disabled \
wmm-support=disabled
add area="" arp=enabled comment="" default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=\
yes disable-running-check=no disabled=no hide-ssid=no mac-address=\
02:0C:42:26:2C:E4 master-interface=wlan1 max-station-count=2007 mtu=1500 \
name=wlan2 proprietary-extensions=post-2.9.25 security-profile=default \
ssid=wificisar_ir0aw-1 update-stats-interval=disabled wds-cost-range=0 \
wds-default-bridge=none wds-default-cost=0 wds-ignore-ssid=no wds-mode=\
disabled wmm-support=disabled
/interface wireless manual-tx-power-table
set wlan1 comment="" manual-tx-powers="1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,\
6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17,48Mbps:17,54Mbps\
:17,HT20-1:0,HT20-2:0,HT20-3:0,HT20-4:0,HT20-5:0,HT20-6:0,HT20-7:0,HT20-8:\
0,HT40-1:0,HT40-2:0,HT40-3:0,HT40-4:0,HT40-5:0,HT40-6:0,HT40-7:0,HT40-8:0"
set wlan2 comment=""
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
no
Di seguito la parte relativa all'assegnazioene degli indirizzi IP di ogni singola interfaccia.
/ip address
add address=10.54.243.2/28 broadcast=10.54.243.15 comment="" disabled=no \
interface=ether1 network=10.54.243.0
add address=10.54.241.5/30 broadcast=10.54.241.7 comment="" disabled=no \
interface=wlan1 network=10.54.241.4
add address=10.54.3.1/24 broadcast=10.54.3.255 comment="" disabled=no \
interface=wlan2 network=10.54.3.0
- Attivazione DHCP relay (per accesso WLAN, da associare sui Mikrotik con funzionalità AP)
Di seguito l'export della configurazione relativamente alla configurazione delle interfacce
/ip dhcp-relay
add delay-threshold=none dhcp-server=10.254.254.36 disabled=no interface=\
wlan2 local-address=10.54.3.1 name=relay1
Attivazione DNS
Sugli apparati devono essere configurati i server DNS; per i Mikrotik i comandi via telnet sono:
[admin@Zona0 IQ0RF Sez. Gubbio] > ip dns set primary-dns=10.254.254.34
[admin@Zona0 IQ0RF Sez. Gubbio] > ip dns set secondary-dns=10.254.253.34
Per testare il corretto funzionamento basta effettuare un semplice ping verso un nome server noto, tipo dns1.wifi.cisar.it.
[admin@Zona0 IQ0RF Sez. Gubbio] > ping dns1.wifi.cisar.it
10.254.254.34 64 byte ping: ttl=63 time=1 ms
10.254.254.34 64 byte ping: ttl=63 time=1 ms
10.254.254.34 64 byte ping: ttl=63 time=1 ms
10.254.254.34 64 byte ping: ttl=63 time=1 ms
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
Attivazione SNMP
Di seguito l'export del dispositivo configurato, relativamente alla parte SNMP. L'abilitazione del protocollo SNMP è fondamentale per permettere l'interrogazione del dispositivo da parte dei tool di monitoring. In questa fase rimane disabilitata la possibilità di inviare dei trap SNMP.
/snmp
set contact=IQ0RF-1 enabled=yes engine-boots=39 engine-id="" location=\
"Sez. Cisar Gubbio" time-window=15 trap-sink=0.0.0.0 trap-version=1
/snmp community
set public address=0.0.0.0/0 authentication-password="" \
authentication-protocol=MD5 encryption-password="" encryption-protocol=\
DES name=public read-access=yes security=none write-access=no
Attivazione NTP
Da notare che RouterOS nella versione 3.3 sembra non gestisce in maniera dinamica la gestione del daylight saving time (ora legale/solare), per cui ci si limita ad impostare un GMT-offset (Time-zone) che tiene conto anche dell'ora legale (al tempo della scrittura del presente documento). Tale parametro diventerà 1 durante l'ora solare. Di seguito i comandi:
[admin@Zona0 IQ0RF Sez. Gubbio] > system ntp client set primary-ntp=10.254.254.46
[admin@Zona0 IQ0RF Sez. Gubbio] > system ntp client set secondary-ntp=10.254.253.46
[admin@Zona0 IQ0RF Sez. Gubbio] > system clock manual set time-zone=+2
[admin@Zona0 IQ0RF Sez. Gubbio] > system ntp client set enabled=yes
Per verificare il corretto funzionamento:
[admin@Zona0 IQ0RF Sez. Gubbio] > system clock print
time: 22:38:58
date: mar/31/2010
time-zone-name: manual
gmt-offset: +02:00
Attivazione OSPF
Di seguito l'export del dispositivo configurato, relativamente alla parte OSPF. Chiaramente gli indirizzi IP sono riferibili al particolare dispositivo, così come l'interfaccia ether1. Pertanto si dovrà avere l'accortezza di non ridigitare i comandi esattamente a come indicati di seguito.
/routing ospf area
add area-id=0.0.0.254 authentication=none disabled=no name=backbone type=\
default
set backbone area-id=0.0.0.0 authentication=none disabled=no name=backbone \
type=default
/routing ospf
set distribute-default=never metric-bgp=4294967295 \
metric-connected=20 metric-default=1 metric-rip=20 metric-static=20 \
mpls-te-area=unspecified mpls-te-router-id=unspecified redistribute-bgp=\
no redistribute-connected=as-type-1 redistribute-rip=no \
redistribute-static=never router-id=10.54.243.34
/routing ospf interface
add authentication=none authentication-key="" authentication-key-id=1 cost=10 \
dead-interval=40s disabled=no hello-interval=10s interface=ether1 \
network-type=broadcast passive=no priority=1 retransmit-interval=5s \
transmit-delay=1s
/routing ospf network
add area=backbone disabled=no network=10.54.241.32/28
add area=backbone disabled=no network=10.54.241.4/30
NOTA BENE: abbiamo verificato l'esistenza di problemi nel caso le interfacce interessate dall'utilizzo dell'OSPF non hanno lo stesso MTU (standard 1500).
Attivazione SYSLOG
[admin@Zona0 IQ0RF Sez. Gubbio] > /system logging add topics=info action=remote
[admin@Zona0 IQ0RF Sez. Gubbio] >/system logging add topics=warning action=remote
[admin@Zona0 IQ0RF Sez. Gubbio] >/system logging add topics=error action=remote
[admin@Zona0 IQ0RF Sez. Gubbio] >/system logging add topics=critical action=remote
[admin@Zona0 IQ0RF Sez. Gubbio] >/system logging action set remote target=remote remote=10.254.254.42:514
NOTA BENE: differentemente da quanto indicato nei manuali Mikrotik, i comandi add topics devono essere uno per ogni topics.
Attivazione RADIUS
Di seguito la configurazione di base per permettere l'autenticazione via Radius per l'accesso al management.
/user aaa set accounting=yes default-group=read interim-update=0s use-radius=yes
/radius add accounting-backup=no accounting-port=1813 address=10.254.254.38 authentication-port=1812 called-id="" comment="" disabled=no domain="" realm="" secret=RadiusC1sar service=login timeout=900ms
NOTA BENE: viene concesso il privilegio "read", ma tramite server Radius è possibile passare all'account utente i privilegi full...configurazione server Radius per autenticazione sistemi CISAR
Sintesi comandi comuni configurazione tipo
I comandi di seguito indicati sono comuni a tutti i dispositivi Mikrotik che costituiscono il Link, indipendentemente dalla configurazione degli indirizzi e delle interfacce.
/ip dns set primary-dns=10.254.254.34 /ip dns set secondary-dns=10.254.253.34 /snmp community set public address=0.0.0.0/0 authentication-password="" \ authentication-protocol=MD5 encryption-password="" encryption-protocol=\ DES name=public read-access=yes security=none write-access=no /system ntp client set primary-ntp=10.254.254.46 /system ntp client set secondary-ntp=10.254.253.46 /system clock manual set time-zone=+2 /system ntp client set enabled=yes /system logging add topics=info action=remote /system logging add topics=warning action=remote /system logging add topics=error action=remote /system logging add topics=critical action=remote /system logging action set remote target=remote remote=10.254.254.42:514 /user aaa set accounting=yes default-group=read interim-update=0s use-radius=yes /radius add accounting-backup=no accounting-port=1813 address=10.254.254.38 \ authentication-port=1812 called-id="" comment="" disabled=no domain="" \ realm="" secret=RadiusC1sar service=login timeout=900ms
Configurazione Server di gestione
Configurazione DNS - Risoluzione diretta
Configurazione DNS - Risoluzione inversa
Configurazione DHCP
Configurazione monitoraggio
Collaudo complessivo
Aggiornamenti schede tecniche