Проектирование и настройка Wi-Fi сети на базе MikroTik для производственного комплекса

Задача

Клиент — предприятие с крупным производственным комплексом (площадь более 20 000 м², включая цеха, склады и административные зоны) — использовал фрагментарную Wi-Fi сеть на базе бытовых точек доступа. Это приводило к:

• полному отсутствию покрытия в цехах,
• постоянным обрывам связи у мобильных терминалов учёта,
• невозможности подключать IoT-устройства (сканеры, датчики, принтеры этикеток),
• отсутствию контроля над гостевым трафиком.

Требовалась надёжная, управляемая и защищённая беспроводная сеть, которая:

• обеспечит покрытие на всей территории,
• выдержит промышленные условия (температура, помехи, вибрации),
• будет сегментирована по типам устройств и ролям,
• не зависит от облачных сервисов,
• интегрируется с существующей сетевой инфраструктурой на базе MikroTik.

Решение

Мы спроектировали и внедрили централизованную Wi-Fi сеть на оборудовании MikroTik, с отказоустойчивой архитектурой и локальным управлением через CAPsMAN.

Этап 1. Обследование и проектирование

• Провели радиообследование: замеры уровня сигнала, выявление источников помех (промышленное оборудование, металлические конструкции).
• Разработали топологию: точки доступа — MikroTik wAP R-2nD, wAP 60g, cAP ac — с учётом требований к IP-защите (IP54 для цехов), температурному диапазону и монтажу на высоте.
• Спроектировали три VLAN:
• VLAN 10 — для сотрудников (с доступом ко всем внутренним ресурсам),
• VLAN 20 — для IoT-устройств (только доступ к учётным системам),
• VLAN 30 — гостевой Wi-Fi (изолированный, с прозрачным порталом и ограничением по трафику).

Этап 2. Развёртывание

• На центральном маршрутизаторе MikroTik CCR2004 настроили CAPsMAN — контроллер точек доступа, работающий локально, без облака.
• Все точки получают конфигурацию автоматически: SSID, VLAN, мощность сигнала, каналы.
• Настроили band steering и load balancing между 2.4 ГГц и 5 ГГц.
• Для гостевого доступа развёрнут прозрачный портал с авторизацией по SMS через локальный шлюз (без передачи данных во внешние сервисы).

Этап 3. Безопасность и мониторинг

• Интегрировали Wi-Fi с системой аутентификации: сотрудники подключаются через учётные записи в Active Directory (через RADIUS).
• Настроили изоляцию клиентов внутри VLAN 20 и 30 — устройства не видят друг друга.
• Все метрики Wi-Fi (сигнал, шум, количество клиентов, ошибки) собираются в Zabbix, а также дублируются в российскую систему мониторинга «Пульт».

Результат

• Стабильное Wi-Fi покрытие на 100% площади производственного комплекса, включая зоны с высокой металлизацией.
• Мобильные терминалы учёта теперь не теряют связь при перемещении между зонами — roaming работает без разрывов.
• IoT-устройства подключены в изолированную сеть — даже при компрометации сканера, злоумышленник не получит доступ к почтовому серверу.
• Гостевой трафик полностью отделён от корпоративной сети.
• Вся сеть управляется локально, без зависимости от MikroTik Cloud или других внешних сервисов.
• Администратор получает оповещения о падении точки или деградации сигнала — до того, как поступит жалоба от пользователя.

Сегодня Wi-Fi на предприятии — не «удобство», а часть производственной инфраструктуры, как электричество или сжатый воздух. И работает так же надёжно.