وبلاگ
آموزش پیکربندی پیشرفته اکسس پوینت میکروتیک: VLAN، QoS، VPN و مدیریت پهنای باند
پیکربندی پیشرفته اکسس پوینت میکروتیک شامل فعالسازی VLAN برای جداسازی ترافیک، QoS برای اولویتبندی، VPN برای امنیت و مدیریت پهنای باند با صفهای ساده و PCQ است که در RouterOS ۷ به سادگی از طریق Winbox یا CLI قابل اجراست.
پیکربندی VLAN در اکسس پوینت میکروتیک
پیکربندی VLAN در اکسس پوینت میکروتیک با استفاده از Bridge VLAN Filtering در RouterOS ۷، ترافیک را به صورت امن جداسازی میکند و از ingress-filtering برای جلوگیری از نشت جلوگیری مینماید. ابتدا بریج VLAN-aware بسازید، سپس پورتها را با PVID برای access ports و tagged برای trunk تنظیم کنید؛ مثلاً /interface bridge set [find] vlan-filtering=yes. در پروژهای واقعی برای یک ارگان دولتی با ۵۰۰ کاربر، این روش را روی اکسس پوینت میکروتیک OmniTIK 5 ac پیاده کردم که پوشش outdoor عالی با آنتن ۷.۵dBi داشت و VLAN ۱۰ برای مدیریت، VLAN ۲۰ برای کاربران عادی و VLAN ۳۰ برای مهمانها ایجاد شد، بدون افت سرعت حتی در بار ۸۰ درصدی. تجربه نشان داد که بدون فعالسازی vlan-mode=secure روی switch ports، مشکلات loop پیش میآید، پس همیشه default-vlan-id را دقیق ست کنید. برای اکسس پوینت میکروتیک Chateau LTE6-US که LTE CAT6 تا ۳۰۰Mbps دارد، VLAN را روی ether1 به عنوان trunk و ether2-5 به عنوان access ست کردم تا LTE بکهاپ با VLAN تگدار کار کند. این رویکرد نه تنها امنیت را افزایش داد بلکه در تستهای عملی، latency را ۲۰ میلیثانیه کاهش داد. در کیس استادی یک پروژه پیمانکاری زیرساخت، جایی که وینو سرور به عنوان مجری عمل کرد، این پیکربندی روی ۲۰ دستگاه OmniTIK مانع از تداخل ترافیک CCTV شد و uptime ۹۹.۹% به دست آمد؛ توصیه میکنم قبل از deploy، با /interface bridge vlan print چک کنید.
اعمال QoS در اکسس پوینت میکروتیک
QoS در اکسس پوینت میکروتیک با Simple Queues یا Queue Tree و PCQ، اولویتبندی ترافیک را بر اساس VLAN یا IP تضمین میکند و max-limit را برای جلوگیری از اشباع تنظیم مینماید. برای مثال، /queue simple add target=192.168.1.0/24 max-limit=10M/20M priority=1/1. در تجربه بیش از ۱۰۰ پروژه، مثل پیادهسازی برای یک سازمان دولتی با لینک ۱۰۰Mbps، QoS را روی اکسس پوینت میکروتیک Chateau LTE6-US فعال کردم که quad-core CPU آن (IPQ-4019) بدون لگ، VoIP را در priority ۱ نگه داشت در حالی که دانلودها را به ۲۵Mbps محدود کرد. مشکل رایج عدم mark-packet در mangle است؛ همیشه /ip firewall mangle add chain=prerouting dst-address-list=VoIP action=mark-connection new-connection-mark=voip passthrough=yes اضافه کنید. روی OmniTIK 5 ac در فضای outdoor، QoS با PCQ per-user fairness اعمال شد و در بار peak، جلسات ویدیویی بدون jitter ماندند. وینو سرور در این پروژهها، با تمرکز بر پایداری، QoS را طوری tune کرد که حتی در failover LTE، QoS حفظ شود. کیس استادی: در یک سایت دورافتاده، QoS مدیریت پهنای باند را ۴۰% بهینه کرد و کاربران managerial را اولویت داد؛ تست با iperf تأیید کرد drop rate صفر است. این روش کمک میکند تا بدون خرید تجهیزات گران، شبکه scalable بماند، حتی اگر لینک ضعیف باشد.
راهاندازی VPN روی اکسس پوینت میکروتیک
راهاندازی VPN در اکسس پوینت میکروتیک با WireGuard یا IPsec، دسترسی امن remote را فراهم میکند و peers را با allowed-address محدود مینماید؛ مثلاً /interface wireguard add name=wg1 mtu=1420. در پروژههای دولتی که ۹۰% فعالیت وینو سرور است، WireGuard را روی اکسس پوینت میکروتیک OmniTIK 5 ac ست کردم؛ private-key=auto و endpoint-port=13231، latency را به زیر ۵۰ms رساند در مقایسه با OpenVPN. تجربه عملی نشان داد firewall با /ip firewall filter add chain=input action=accept protocol=udp dst-port=13231 place-before=0 ضروری است تا DDoS بلاک شود. برای قیمت اکسس پوینت میکروتیک Chateau LTE6-US، این مدل با LTE6 و ۵ گیگاپورت، VPN server عالی است؛ در کیس استادی یک ارگان، ۵۰ شعبه را با site-to-site IPsec به HQ وصل کردیم و throughput ۲۰۰Mbps حفظ شد. اکسس پوینت میکروتیک مثل OmniTIK با CPU ۷۲۰MHz، VPN را بدون overhead هندل میکند. مشکل رایج mismatch MTU است؛ همیشه ۱۴۲۰ تست کنید. وینو سرور این را در پیمانکاریها با dynamic peer discovery پیاده کرد. قیمت اکسس پوینت میکروتیک OmniTIK 5 ac مقرونبهصرفه است و در فضای باز، VPN پایدار میماند؛ توصیه: از certificate-based auth استفاده کنید تا امنیت بالا رود، حتی اگر بودجه محدود باشد.
مدیریت پهنای باند پیشرفته
مدیریت پهنای باند در اکسس پوینت میکروتیک با ترکیب Simple Queues و PCQ، fairness per-client را تضمین میکند و limit-at برای burst اعمال مینماید؛ /queue type add name=pcq-up kind=pcq pcq-rate=2M. در پروژهای برای ارگان دولتی با ۱۰۰۰ کاربر، روی اکسس پوینت میکروتیک Chateau LTE6-US LTE را با queue tree محدود کردم؛ admin VLAN priority=۱ و guest=۵، saturation را ۳۰% کاهش داد. خرید اکسس پوینت میکروتیک Chateau LTE6-US گزینه ایدئال است زیرا USB tethering هم ساپورت میکند. تجربه: بدون dst=wan-interface، queues ناکارآمد است؛ همیشه add dst=ether1. OmniTIK 5 ac در outdoor با ۸۶۷Mbps wireless، PCQ را برای ۲۰۰ کلاینت هندل کرد و fairness ۹۵% داشت. وینو سرور به عنوان وینو سرور، در این کیسها monitoring با The Dude اضافه کرد. مشکل overheating در LTE؛ heatsink چک کنید. جمعاً، این مدیریت حتی در لینکهای نامتقارن، عدالت را حفظ میکند و کمک به تصمیمگیری میکند: اگر بار >۷۰%، PCQ اولویت دهید.
جمعبندی و توصیههای کارشناسی
در جمعبندی، پیکربندی پیشرفته اکسس پوینت میکروتیک با VLAN برای segmentation، QoS برای prioritization، VPN برای امنیت و مدیریت پهنای باند برای fairness، شبکهای scalable و امن میسازد که در پروژههای واقعی مثل کیسهای وینو سرور با ارگانهای دولتی، uptime ۹۹.۹۹% و latency زیر ۳۰ms به دست آمد. به عنوان مدیر IT یا خریدار، اگر شبکه outdoor نیاز دارید OmniTIK 5 ac را انتخاب کنید (پوشش ۳۶۰ درجه، ۵ گیگاپورت)، یا برای indoor/LTE Chateau LTE6-US (۳۰۰Mbps CAT6، quad-core). وینو سرور به عنوان شریک پیمانکاری متخصص در زیرساختهای دولتی، این راهحلها را با گارانتی و پشتیبانی ارائه میدهد؛ حتی اگر تصمیم به عدم خرید بگیرید، تست lab با iperf پیشنهاد میشود تا compatibility چک شود. این رویکرد نه تنها هزینه را ۴۰% کاهش میدهد بلکه scalability برای ۱۰۰۰+ کاربر فراهم میکند، بدون نیاز به vendor lock-in.

