اتصال اولیه و آماده‌سازی (Reset، IP مدیریت، آپدیت‌ها)

برای اینکه از همان دقیقه اول به مشکل «قطع دسترسی بعد از تغییرات» نخورید، اول دستگاه را با یک مسیر مدیریت مطمئن بالا بیاورید: ترجیحاً از طریق کابل به پورت اترنت و با IP مدیریتی مشخص، نه با وای‌فای پیش‌فرض.

در پروژه‌های سازمانی، من همیشه قبل از هر تنظیم وایرلس، دو کار را انجام می‌دهم: 1) وضعیت پکیج‌های RouterOS و قابلیت‌های WiFi را چک می‌کنم، 2) نسخه و ساختار وایرلس را مشخص می‌کنم (در RouterOS 7 ممکن است با ساختار WiFi جدید/پکیج‌های مربوطه کار کنید).

اگر دستگاه شما از خانواده‌های Outdoor مثل wAP است، حتماً از همین مرحله تصمیم بگیرید که سناریو Indoor/Outdoor و محل نصب چیست؛ چون روی انتخاب کانال، توان خروجی، و حتی اینکه اصلاً این مدل مناسب پروژه هست یا نه اثر مستقیم دارد. نمونه‌ای مثل wAP ac ذاتاً یک اکسس پوینت دو بانده و Weatherproof برای نصب روی دیوار/سقف/دکل است، و در ریویژن جدید حتی 2 پورت گیگ و سخت‌افزار قوی‌تر دارد.

اگر در ابتدای مسیر هستید و هنوز خرید را نهایی نکرده‌اید، همین‌جا پیشنهاد می‌کنم مشخصات مدل مدنظر را با نیازتان تطبیق دهید (مثلاً گیگابیت بودن پورت‌ها، مصرف برق و PoE).

انتخاب سناریو: Standalone یا CAPsMAN (وقتی «یک AP» با «چند AP» فرق دارد)

اگر یک شعبه کوچک یا یک طبقه با یک اکسس‌پوینت دارید، سناریوی Standalone سریع‌تر و کم‌ریسک‌تر است؛ اما اگر چندین AP دارید و SSID/VLAN/Policy باید یک‌دست باشد، از روز اول به مدیریت متمرکز فکر کنید.

CAPsMAN در میکروتیک دقیقاً برای همین ساخته شده که Template بسازید و روی APها Provision کنید؛ یعنی «تنظیمات» را یک‌بار استاندارد می‌کنید و روی همه دستگاه‌ها Push می‌شود.

تجربه عملی من در پروژه‌های دولتی این بوده که Standalone برای فضاهای حساس (مثلاً اتاق جلسات VIP با یک AP مجزا) خوب است، اما برای ساختمان‌های چندطبقه معمولاً باعث Drift تنظیمات می‌شود؛ بعد از چند ماه هر AP یک کانال و یک Security Profile متفاوت پیدا می‌کند و Troubleshooting کابوس می‌شود،اینجاست که CAPsMAN ارزش واقعی‌اش را نشان می‌دهد.

تنظیم وای‌فای در حالت Access Point (SSID، Country، Channel، Security)

برای تبدیل دستگاه به AP در RouterOS، اصل ماجرا ساده است: اینترفیس WiFi را روی حالت AP بگذارید، SSID را تعیین کنید، کشور (Regulatory Domain) را درست انتخاب کنید و پروفایل امنیتی WPA2/WPA3 را ست کنید.

در مستند رسمی «Standalone access point» میکروتیک، صراحتاً اشاره شده که configuration.mode=ap دستگاه را در حالت اکسس‌پوینت قرار می‌دهد و SSID همان نام شبکه‌ای است که باید Broadcast شود.

در پروژه‌های واقعی، بیشترین خطاهایی که من دیده‌ام این‌هاست: کشور روی حالت پیش‌فرض/اشتباه می‌ماند، کانال 2.4GHz را روی 40MHz می‌گذارند و تداخل بالا می‌رود، یا DFS در 5GHz بدون برنامه فعال می‌شود و کاربران «قطع و وصل» را تجربه می‌کنند. برای همین، در 2.4 معمولاً 20MHz و در 5GHz بسته به محیط 40/80MHz را با احتیاط انتخاب می‌کنیم و اگر محیط پرریسک است، DFS را با سیاست مشخص مدیریت می‌کنیم.

اگر این مقاله را برای تصمیم خرید هم می‌خوانید: مدل‌هایی مثل wAP LTE kit برای سناریوهایی مناسب‌اند که اینترنت WAN از LTE می‌آید و می‌خواهید هم‌زمان وای‌فای محلی داشته باشید؛ این دستگاه‌ها ذاتاً یک AP کوچک Weatherproof با مودم LTE داخلی هستند و یک پورت اترنت (در برخی مدل‌ها 10/100) دارند.

در همین مرحله، اگر قرار است تجهیزات را از تامین‌کننده‌های پیمانکاری/بازرگانی سازمانی تهیه کنید، معمولاً کاربران به‌جای دیتاشیت خام دنبال «قیمت + تطبیق سناریو» هستند؛ این همان جایی است که یک صفحه مثل «قیمت اکسس پوینت میکروتیک WAP 4G kit» می‌تواند تصمیم‌گیری را سریع‌تر کند (به شرط اینکه فقط قیمت نباشد و سناریوی درست/غلط را هم بگوید).

اتصال به شبکه سازمان: Bridge، DHCP، VLAN و مهمان (جایی که 80٪ پروژه‌ها زمین می‌خورند)

اگر میکروتیک شما قرار است فقط AP باشد (نه روتر)، اصل معماری این است که Routing/NAT را بی‌جهت روی AP انجام ندهید؛ AP باید لایه 2 را تمیز و قابل پیش‌بینی به سوئیچ/هسته تحویل دهد و سیاست‌ها در جای درست اعمال شوند.

در پروژه‌های سازمانی، سناریوی رایج «SSID سازمان + SSID مهمان» است؛ از نظر طراحی، مهمان باید از شبکه داخلی جدا باشد (VLAN جدا، DHCP جدا، و فایروال/ACL جدا در لبه یا هسته). CAPsMAN این را با Provisioning استانداردتر می‌کند، اما حتی در Standalone هم می‌توانید با منطق Bridge/VLAN درست پیاده‌سازی کنید—فقط باید بدانید آخرین مرحله‌ای که VLAN Filtering را فعال می‌کنید، نقطه‌ای است که اگر اشتباه کنید ممکن است دسترسی مدیریت را از دست بدهید.

تجربه مدیریتی من در یکی از پروژه‌های چندساختمانی این بود که تیم اجرا، VLAN Filtering را وسط کار فعال کرد و چون یک پورت نجات (out-of-band) نداشتند، کل AP از دسترس خارج شد و مجبور به اعزام نیرو برای ریست فیزیکی شدند؛ از آن به بعد در استاندارد اجرایی‌مان شرط گذاشتیم: «تا زمانی که مسیر مدیریت جایگزین تأیید نشده، فیلترینگ VLAN فعال نشود».

تست نهایی و معیارهای تحویل (Roaming، پایداری، پوشش، و تصمیم خرید)

برای تحویل حرفه‌ای، تست را فقط با «وصل شد» تمام نکنید؛ باید معیار داشته باشید: دریافت IP درست، دسترسی به DNS/سرویس‌ها، پایداری در 30–60 دقیقه، و در صورت چند AP بودن، Roaming قابل قبول با یک SSID یکسان (همان نکته‌ای که مستند میکروتیک درباره یکسان بودن نام وای‌فای برای Roaming اشاره می‌کند).

در یک کیس واقعی که مدیر پروژه‌اش بودم، در ساختمانی با دیوارهای بتنی، روی کاغذ تعداد AP کافی بود اما به‌خاطر انتخاب کانال‌های نامناسب و توان خروجی بیش از حد، کلاینت‌ها به AP دورتر «می‌چسبیدند» و تجربه کاربر بد می‌شد؛ با کاهش توان، قفل کردن پهنای کانال 2.4 روی 20MHz و بازطراحی کانال‌های 5GHz (با توجه به سیاست DFS)، کیفیت تماس‌های VoIP و جلسات آنلاین به شکل محسوس بهتر شد.

اگر شما به دنبال یک «راه‌حل» هستید نه صرفاً خرید سخت‌افزار، معمولاً ارزش اصلی در سه چیز است: طراحی (Survey و ظرفیت)، اجرای استاندارد (VLAN/Policy/امنیت)، و پشتیبانی پس از تحویل (مانیتورینگ و تغییرات کنترل‌شده). در چنین مدل کاری، شرکت‌هایی مثل «وینو سرور» (در نقش پیمانکار زیرساخت و با تجربه کار سازمانی/دولتی) می‌توانند به‌صورت غیرمستقیم ریسک پروژه را کم کنند—حتی اگر در نهایت تصمیم بگیرید این مدل AP را نخرید و گزینه دیگری انتخاب کنید.

برای تصمیم مدیر IT یا مدیر خرید: اگر محیط شما تک‌نقطه‌ای و ساده است، یک اکسس پوینت میکروتیک در حالت Standalone با تنظیمات درست (AP mode، کشور، کانال، WPA2/WPA3) سریع‌ترین مسیر است؛ اگر چند AP، چند SSID و VLAN دارید یا استانداردسازی برایتان حیاتی است، از ابتدا CAPsMAN و طراحی VLAN را جدی بگیرید تا هزینه پنهانِ نگهداری را چند برابر نکنید.