8/17/2019 TREINAMENTO MIKROTIK - MTCWE
1/161
TREINAMENTO MIKROTIK
CERTIFICAÇÃO – MTCWE
Produzido por: Alive Solutions
www.guilhermeramires.comInstrutor: Guilherme Ramires
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
2/161
AGENDA
Treinamento diário das 09:00hs às 19:00hs
Coffe break as 16:00hs
Almoço as 13:00hs – 1 hora de duração
2
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
3/161
Algumas regras importantes
• Por ser um curso oficial, o mesmo não poderáser filmado ou gravado
• Procure deixar seu aparelho celular desligadoou em modo silencioso
• Durante as explanações evite as conversasparalelas. Elas serão mais apropriadas noslaboratórios
• Desabilite qualquer interface wireless oudispositivo 3G em seu laptop
3
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
4/161
Algumas regras importantes
• Perguntas são sempre bem vindas. Muitas
vezes a sua dúvida é a dúvida de todos.
• O acesso a internet será disponibilizado para
.evite o uso inapropriado.
• O certificado de participação somente seráconcedido a quem obtiver presença igual ousuperior a 75%.
4
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
5/161
Apresente-se a turma
• Diga seu nome;
• Sua empresa;• Seu conhecimento sobre o RouterOS;
• Seu conhecimento com redes;• O que você espera do curso;
• Lembre-se de seu número: XY
5
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
6/161
Objetivo do Curso• Proporcionar conhecimento e treinamento
prático para Mikrotik RouterOS comrecursos avançados sem fio para redes de
6
pequeno e m o por e.• Introduzir a rede sem fios 802.11n• Após a conclusão do curso, você será
capaz de planejar, implementar, ajustar edepurar problemas em redes wireless no
MikroTik RouterOS.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
7/161
Tópicos• Visão geral dos padrões Wireless
• Ferramentas Wireless• Solução de problemas dos clientes
7
wreess• Opções Avançadas Wireless
– DFS e country regulation
– Data Rates e TX-power – Virtual AP
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
8/161
Tópicos (cont.)• Segurança na Wireless
– Access List e Connect List – Gerenciamento de Frame Protection – RADIUS MAC Authentication – Encr tion
8
• Wireless WDS e MESH• Bridges Wireless Transparentes
– WDS
– VPLS/MPLS• Protocolo Wireless Nstreme• 802.11n
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
9/161
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
10/161
Setup na RouterBoard• Modifique seu System Identity e Radio Name por
seu “XY – SEU_NOME”
• Verifique se seu Mikrotik RouterOS está com aversão 4.14 ou superior
10
• Modifique seu NTP client – use a.ntp.br paraprimário e b.ntp.br para secundário
• Cheque a conectividade com internet e faça um
backup da configuração
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
11/161
Padrões Wireless• 802.11b – 11Mbps, 2.4Ghz
• 802.11g – 54Mbps, 2.4Ghz• 802.11a – 54Mbps, 5Ghz
11
• 802.11n – 300Mbps, 2.4/5Ghz
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
12/161
Bandas Wireless• 2Ghz
– B, B/G, Only-G, G-Turbo, Only-N, B/G/N,5mhz, 10mhz
12
– A, A-Turbo, Only-N, A/N, 5mhz, 10mhz
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
13/161
Bandas Suportadas por chipset
• AR5213/AR5414 – A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz•
13
– A/B/G/N, 5Mhz*, 10Mhz*
*não suportado completamente
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
14/161
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
15/161
Scan List• Frequências padrão da lista de verificação serão
mostradas em negrito no campo de freqüência(Somente no Winbox)• Valores padrão do scan-list serão mostrados
' '
15
• Faixas de freqüência podem ser especificadas
por um traço. Ex.: 5500-5700• Frequências exatas são especificadas por
virgulas. Ex.: 5500,5520,5540• É possível mesclar também.
Ex.: Default,5520,5540,5600-5700
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
16/161
Ferramentas de Site Survey• Scan
• Frequency Usage• Spectral Scan/History
16
• Snooper• Align
• Sniffer
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
17/161
Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
• Escaneia o meio.
Obs.: Qualquer operação de site survey causaqueda das conexões estabelecidas.
17
N -> Nstreme
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
18/161
Uso de frequênciasMostra o uso das
frequências em todo oespectro para site
banda selecionada nomenu wireless.
18
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
19/161
Scan de spectro• Possível somente em Chipsets Atheros
802.11n• Alcance
19
– g z, g z, cana a ua ou a xa• Valores – média, pico médio, interferência, máximo,
mínimo• Exemplos classificavéis
– wifi, bluetooth, microondas, etc
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
20/161
Historico Spectral• Representa o espectrograma em lote
• Mostra níveis de potência impressos emdiferentes cores
20
• pç o e u o - execuç es e ca a n aconforme impresso – Cada linha é tocada da esquerda para a
direita, com freqüências mais elevadascorrespondendo aos valores mais elevadosno espectrograma
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
21/161
Historico Spectral
21
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
22/161
Spectral-scan
22
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
23/161
Spectral-scan• Monitora continuamente os dados espectrais
• Cada linha representa um bloco doespectrograma conforme abaixo: – Fre uência
23
– Valor numérico médio de rx – Características do gráfico de barras
• Valor médio da potência - ':'
• Pico médio sustentado - '.'• Máxima flutuação única- ':'
• Também é possível mostrar opções de
interferência
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
24/161
Alinhamento
• Ferramenta de alinhamento com sinal sonoro – Colocar o MAC do AP remoto no campo Filter MAC
Address e Audio Monitor.
Rx Quality: Potência em dBm do último pacote recebido
Avg. Rx Quality: Potência média dos pacotes recebidos
Last Rx: Tempo em segundos do último pacote recebido
Tx Quality: Potência do último pacote transmitido
Last TX: Tempo em segundos do último pacote transmitido
Correct: Número de pacotes recebidos sem erro 24
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
25/161
Sniffer
Ferramenta parasniffar o ambientewireless captando e
decifrando pacotes.
Muito útil para
tipo deauth emonkey jack.
Pode ser arquivado
no próprio Mikrotikou passado porstreaming para outroservidor comprotocolo TZSP.
25
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
26/161
Snooper
Com a ferramenta snooper é possível monitorar a cargade tráfego em cada canal por estação e por rede.
Scaneia as frequências definidas em scan-list da interface
26
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
27/161
DFS
• no radar detect: escaneia o meioe escolhe o canal em que forencontrado o menor número deredes
• radar detect: escaneia o meio e
operação no canal escolhido senão for detectada a ocupação docanal
• Obs.: O modo DFS é obrigatóriono Brasil para as faixas de 5250-5350 e 5350-5725
27
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
28/161
DFS Lab• Setor 1 habilita modo AP em 5180Mhz
• Setor 2 e habilita modo AP em 5280Mhz• Habilite o DFS mode em “no radar detect”
28
• serve os sa os e requ nc a
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
29/161
Frequency Mode - Potências
default: Não altera a potência original do cartão
cards rates: Fixa mas respeita variações das taxas para cada velocidadeall rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potências diferentes para cada velocidade
29
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
30/161
Frequency Mode - Potências
Quando a opção “regulatory domain” está habilitada, somente as
frequências permitidas para o país selecionado em “Country”estarão disponíveis. Além disso o Mikrotik ajustará a potência dorádio para atender a regulamentação do país, levando em conta ovalor em dBi informado em “Antenna Gain”.
Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.1330
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
31/161
Analisando a tabela de registropara solucionar problemas na
31
conexão
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
32/161
Solução de problemas de
clientes wireless• ACK-timeout• CCQ•
32
• Frames x HW-frames• Data-rate flapping
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
33/161
Tabela Registration
33
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
34/161
CCQ – Client Connection Quality• Valor em porcentagem que mostra o quão
eficaz a largura de banda é usada emrelação à largura de banda máxima teóricadisponível
34
• Média ponderada de valores de Tmin/Trealcalculada para cada frame transmitido – Tmin é o tempo que seria necessário para
transmitir determinado frame na taxa maiselevada, sem re-transmissões – Treal é o tempo real tomado para transmitir o
frame
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
35/161
Frames x HW-frames• Retransmissões são quando a placa envia um
frame e você não recebe de volta oreconhecimento (ACK), então você envia oframe mais uma vez até você receber a
35
confirmação• Se o valor hw-frames é maior que o valor deframes, então isso significa que o enlace está
fazendo retransmissões• No caso do Nstreme você não pode compararos quadros com hw-frames
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
36/161
Usando as configuraçõesavançadas para solução de
problemas e ajustes finos aconexão sem fio
36
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
37/161
Opções Wireless Avançadas• Aba Advanced no menu Wireless
• HW-retries• HW-protection
37
– RTS/CTS – CTS to self
• Adaptive-noise-immunity
• Configuration Reset• WMM
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
38/161
Wireless Advanced
38
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
39/161
Advanced Wireless Tab• Area – string que descreve o AP, utilizado na
connect list de clientes que se conectamescolhendo o AP pela área de prefixo
• Ack-timeout – tempo limite de confirmação de" "
39
,• Periodic-calibration – para garantir o
desempenho do chipset em casos de excessode temperatura e mudanças ambientais
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
40/161
HW-retries• Número de tentativas de envio de framesaté que a transmissão seja considerada
falha• Data rate é diminuido a cada falha
40
,falhas seqüenciais ativa a pausa datransmissão on-fail-retry então o tempo e ocontador são reiniciados
• O frame será retransmitido até o sucessoou até que o cliente seja desconectado
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
41/161
HW-protection• Frame protection ajuda a conter o
problema do nó escondido• Proteção CTS/RTS
“ ”
41
• hw-protection-threshold – limite detamanho do frame em que a proteção
deve ser usada; 0 - utilizado para todos osframes
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
42/161
RTS/CTS based protection• Proteção baseada no RTS/CTS
– Quando o dispositivo está disposto a enviarframes, inicialmente envia RequestToSend ea uarda ClearToSend do destino
42
– Recebendo frames RTS ou CTS dedispositivos 802.11 é possível saber quandoiniciar uma transmissão e consequentemente
quando não se deve iniciar uma transmissão.
Proteção baseada em
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
43/161
Proteção baseada em
“CTS to self”• Proteção baseada em "CTS to self"
– Dispositivo dispostos a enviar frames enviamframe CTS "para si“. – Conforme o protocolo 802.11, dispositivos
43
que recebem este frame sabem que nãopodem transmitir. – A proteção "CTS to self" causa menos
overhead, porém é importante lembrar que aproteção só funcionará para os dispositivosque receberem o frame CTS do AP.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
44/161
“CTS to self” ou RTS/CTS• Se houver duas ou mais estações
“escondidas” a proteção "CTS to self" nãoterá efeito, porque elas não serão capazes
44
estações – neste caso as estações devemutilizar a proteção RTS/CTS para que asoutras estação não transmitam quandoreceberem frames CTS enviados pelo AP.
• Você deve optar por utilizar somente um
tipo de proteção.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
45/161
HW-fragmentation-threshold• É o tamanho máximo do fragmento em bytes,transmitido pela mídia sem fio
• Este recurso permite que pacotes sejamfragmentados antes da transmissão sobre omeio sem fio para aumentar a probabilidade de
45
• Somente fragmentos que não foramtransmitidos corretamente serão retransmitidos.
• Envio de pacote fragmentado é menos eficiente
que a transmissão de pacotes nãofragmentados devido à sobrecarga de protocoloe uso de recursos em ambos lados -transmissão e recepção
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
46/161
Adaptive-noise-immunity• Ajusta vários parâmetros do receptor
dinamicamente para minimizar interferências e
ruídos sobre a qualidade do sinal• Recurso proprietário presente em Chipsets
Atheros 5212 ou superiores
46
• Utiliza mais CPU• São 3 opções: – None – desabilitado – Client-mode – é utilizado somente no modo station ou
station-wds – Ap-and-client-mode – Habilitado em qualquer modo
(ponto-a-ponto ou ponto-multi-ponto).
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
47/161
Wireless Configuration reset• Algumas vezes
quando fazemosdiversas alteraçõesavançadas é
47
cenário padrão.• Para isso use o botão
“Reset Configuration”
para zerar todasconfigurações docartão.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
48/161
Wireless MultiMedia (WMM)• São 4 filas de transmissões com
prioridades:• 1,2 – background
48
, –
• 4,5 – video• 6,7 – voice
• Prioridades podem ser setadas por:• Bridge ou IP firewall• Ingress (VLAN ou WMM)
• DSCP
WMM P E t i
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
49/161
WMM e Prop. Extensions
• WMM Support: QoS no meiofísico(802.11e)
– enabled: permite que o outro dispositivouse wmm
–
use wmm
– disabled: desabilita a função wmm
• Proprietary Extensions: Opção coma única finalidade de darcompatibilidade com chipsets
Centrino. 49
Data Rates
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
50/161
Data Rates
• A velocidade em uma redewireless é definida pelamodulação que os dispositivosconseguem trabalhar.
Supported Rates: São asvelocidades de dados entre o APe os clientes.
Basic Rates: São as velocidadesque os dispositivos secomunicam independentementedo tráfego de dados (beacons,
sincronismos, etc...) 50
Opções de mudança nos
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
51/161
Opções de mudança nos
Data rates• Baixar o maior supported data rates em clientes
com problema de sinal, diminui o número de
flaps• Baixar o maior supported data rates no AP, caso
a maioria dos clientes estejam com problemas
51
pra conectar em velocidades superiores, diminuia capacidade da célula porém aumenta suaestabilidade.
• Não é recomendado desabilitar todos os data
rates baixos, deixando somentes os altos, poispode ocorrer diversas desconexões.• Observe que tanto o AP como o Cliente devem
suportar os mesmos Basic rates para que o linkwireless seja estabelecido.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
52/161
Data rates• Configure o AP para permitir data rates de
até 24Mbps e teste o máximo throughput
52
• on gure o para perm t r somente54Mbps e teste o máximo throughput e aestabilidade da conexão.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
53/161
Virtual AP• Usado para criar um novo AP com base
nas informações físicas do cartão wireless• Funciona em cartões Atheros AR5212 esu eriores
53
• Limitado a 128 APs por cartão.• Usa diferentes endereços MAC• Pode ter seu próprio SSID, security profile,
Access/Connect-list, extenções WDS , etc.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
54/161
Exemplo de AP Virtual
54
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
55/161
Virtual AP Lab• Trabalho em grupo• Conectem 2 routers por cable ethernet• Configurações do primeiro router:
– Crie duas interfaces VLAN na ethernet – Crie 2 hotspots – um em cada VLAN – Em um Hotspot altere a cor do fundo da tela de login
• Adicionem a linha background-color: #A9F5A9; no corpo do arquivo login.html
55
– Crie duas interfaces VLAN na ethernet com os mesmos VLAN ID doprimeiro router – Crie 2 APs Virtual com diferentes SSID – Coloque em bridge a primeira VLAN com o primeiro AP Virtual – Coloque em bridge a segunda VLAN com o segundo AP Virtual
• Conecte em cada AP virtual e verifique a página de login• Em seguida resetem as configurações e troquem as tarefas
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
56/161
Gerenciamento de Acesso• default-forwarding (no AP) – Define se osclientes conectados ao mesmo cartão podem ter
conectividade direta.• default-authentication – No caso do AP define
56
u u u
somente os que estiverem na access list. Nocaso da station o que estiver na connect list.
• Sempre que houver uma access list ouconnect list, prevalece o que estiver nessaslistas.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
57/161
Access/Connect Lists• Access List é o filtro de autenticação do AP
• Connect List é o filtro de autenticação do cliente• As entradas nesta lista são ordenadas, assimcomo no firewall, cada re uisi ão de autentica ão
57
terá que passar desde a primeira entrada até aque atenda suas necessidades.
• Pode existir várias entradas para o mesmo
endereço MAC e uma única entrada para osdemais endereços MAC.
• Cada registro pode ser especificado para cada
cartão ou para qualquer cartão do roteador.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
58/161
Access List• Podemos especificar uma política de
autenticação para uma range de nível de sinal.• Exemplo: permitir somente conexões de clientes com
bom nível de sinal
58
autenticação para um determinado período.• Exemplo: permitir somente conexões no horáriocomercial
• Podemos especificar uma política deautenticação conforme o perfil de segurança:• Exemplo: permitir que “aquele” cliente se conecte ao
AP somente com a senha escolhida para ele.
Wireless Access List
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
59/161
Wireless Access List
59
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
60/161
Wireless Connect List• Permite ou nega conexão ao AP baseado em:
• SSID
• MAC address do AP
• Prefixo de Area do AP
60
• Range de níve de sinal
• Security Profile
• É possível priorizar conexão a um AP em relação
ao outro somente trocando a ordem de entradana lista.
• A Connect list em redes WDS, quando você quer
priorizar conexão com um determinado AP
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
61/161
Access/Connect List• APs: Pessoas do Setor1 alterem o modo
da wireless para “AP Bridge”• Clientes: Pessoas do Setor2 vão conectar
61
• Garanta que você esteja conectado ao AP
correto
• Em seguida o Setor1 permitirá somenteconexões do seu parceiro equivalente.
• Em seguida apaguem as entradas e
invertam os papéis.
Segurança de Acesso em redes
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
62/161
g ç
sem fio
62
Segurança na Wireless
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
63/161
Segurança na Wireless
• Autenticações
– PSK – EAP
63
• ncr p aç es – AES
– TKIP
– WEP• Segurança por EAP RADIUS
Falsa segurança
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
64/161
g ç
• Nome da rede escondido: – Pontos de acesso sem fio por
padrão fazem o broadcast de seu
SSID nos pacotes chamados“beacons”. Este comportamentopode ser modificado no Mikrotik
“ ”.
• Pontos negativos: – SSID deve ser conhecido pelos
clientes
– Scanners passivos o descobremfacilmente pelos pacotes de“probe request” dos clientes.
64
Falsa segurança
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
65/161
g ç
• Controle de MACs:
–
Descobrir MACs que trafegam no ar émuito simples com ferramentasr ri in l iv Mikr ik m
sniffer.
– Spoofar um MAC é bem simples. Tanto
usando windows, linux ou Mikrotik.
65
Falsa segurança
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
66/161
g ç
• Criptografia WEP: – “Wired Equivalent Privacy” – Foi o sistema de
criptografia inicialmente especificado no padrão802.11 e está baseado no compartilhamento de umsegredo entre o ponto de acesso e os clientes,usando um algoritmo RC4 para a criptografia.
– r as rag a es a oram reve a as ao ongo
do tempo e publicadas na internet, existindo váriasferramentas para quebrar a chave, como:AirodumpAirreplay
Aircrack• Hoje com essas ferramentas é bem simples
quebrar a WEP.
66
WEP (obsoleto)
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
67/161
WEP (obsoleto)
67
Fundamentos de Segurança
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
68/161
g ç
PrivacidadeAs informações não podem ser legíveis para
terceiros.
Integridade
em transito.
AutenticaçãoAP Cliente: O AP tem que garantir que o cliente
é quem diz ser.Cliente AP: O cliente tem que se certificar que
está conectando no AP correto. Um AP falsopossibilita o chamado ataque do “homem do meio”.
68
Privacidade e Integridade
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
69/161
Tanto a privacidade como a integridade sãogarantidos por técnicas de criptografia.
O algoritmo de criptografia de dados em WPA éo RC4, porém implementado de uma forma bem
-.
AES.
Para a integridade dos dados WPA usaTKIP(Algoritmo de Hashing “Michael”) e WPA2 usaCCM(Cipher Chaining Message AuthenticationCheck – CBC – MAC)
69
TKIP
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
70/161
TKIP
• Temporal Key Integrity Protocol é oprotocolo de segurança usado em redeswireless do tipo IEEE 802.11
•
70
baseadas no algoritmo RC4• Ao contrário da WEP a TKIP fornece
• Mistura de chave por pacote,• Mensagem de verificação de integridade,
• Mecanismo de re-criação de chave
AES-CCM
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
71/161
AES CCM
• AES - Advanced Encryption Standard é
um codificador em bloco que funciona comum tamanho de bloco fixo de 128 bits e
71
,
Unicast Cipher
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
72/161
Unicast Cipher
• Tanto no AP como na Station pelo menos
um tipo de criptografia deve ser escolhidapara que seja estabelecida conexão entre
72
.
Group Cipher
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
73/161
Group Cipher
• Para o AP
– Se um AP estiver utilizando grupos decriptografia (AES e TKIP), o método maisse uro será escolhido – AES
73
• Para a Station – Se uma Station usa ambos grupos de
criptografia ela irá conectar em qualquer AP
que suporte qualquer método.
Chave WPA e WPA2 - PSK
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
74/161
• A configuração da chaveWPA/WAP2-PSK é muitosimples no Mikrotik.
• Configure o modo de chavedinâmico e a chave pré-
combinada para cada tipode autenticação.
Obs.: As chaves sãoalfanuméricas de 8 até 64caracteres.
74
Segurança de WPA / WPA2
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
75/161
• Atualmente a única maneira conhecida para sequebrar a WPA-PSK é somente por ataque de
dicionário.
• Como a chave mestra PMK combina umacontra-senha com o SSID, escolhendopalavras fortes torna o sucesso de força brutapraticamente impossível.
• A maior fragilidade paras os WISP’s é que achave se encontra em texto plano noscomputadores dos clientes ou no próprioMikrotik.
75
Configurando EAP-TLS – Sem
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
76/161
CertificadosCrie o perfil EAP-TLS e associe ainterface ireless cliente!
76
Segurança de EAP-TLS semcertificados
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
77/161
ce t cados• O resultado da negociação anônima resulta em
uma chave PMK que é de conhecimentoexclusivo das duas partes. Depois disso toda a
comunicação é criptografada por AES(WPA2) e oRC4(WPA).
a possibilidade de um atacante colocar umMikrotik com a mesma configuração e negociar achave normalmente como se fosse um cliente.
• Uma idéia para utilizar essa configuração deforma segura é criando um túnel criptografadoPPtP ou L2TP entre os equipamentos depois defechado o enlace.
77
Trabalhando com certificados
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
78/161
• Certificado digital é um arquivo queidentifica de forma inequívoca o seu
proprietário.• Certificados são criados or institui ões
emissoras chamadas de CA (CertificateAuthorities).
• Os certificados podem ser:
– Assinados por uma instituição “acreditada”(Verisign, Thawte, etc...) – Certificados auto-assinados.
78
Passos para implementação deEAP-TLS com certificados auto
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
79/161
Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisições de Certificados
3. Assinar as requisições na CA
4. Importar os certificados assinados para os
Mikrotiks
5. Se necessário, criar os certificados paramáquinas windows
79
EAP-TLS sem Radius emambos lados
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
80/161
• O método EAP-
TLS tambémpode ser usado
80
EAP-TLS sem Radius emambos lados
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
81/161
• Métodos TLS
dont verify certificate: Requer umcertificado, porém não verifica.
negociados dinamicamente com oalgoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foiassinado por uma CA.
81
WPAx com radius
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
82/161
82
EAP-TLS com certificado
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
83/161
• EAP-TLS (EAP – Transport Layer Security)
– O Mikrotik suporta EAP-TLS tanto como cliente comoAP e ainda repassa esse método para um ServidorRadius.
– Prover maior nível de segurança e necessita decertificados em ambos lados(cliente e servidor).
– O passo a passo completo para configurar um servidorRadius pode ser encontrado em:http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-mikrotik
83
EAP-TLS com Radius emambos lados
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
84/161
• A configuração da partedo cliente é bem
simples. – Selecione o método
-
– Certifique-se que oscertificados estãoinstalados e assinadospela CA.
– Associe o novo perfil desegurança a interfacewireless correspondente.
84
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
85/161
Segurança de EAP-TLS comRadius
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
86/161
• Sem dúvida este é o método mais seguro quepodemos obter. Entretanto existe um ponto quepodemos levantar como possível fragilidade:
– Se um atacante tem acesso físico ao link entre oAP e o Radius ele pode tentar um ataque de forçabruta para descobrir a PMK.
– Uma forma de proteger este trecho é usando um
túnel L2TP. 86
Ponto de fragilidade
Resumo dos métodos de
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
87/161
implantação e seus problemas.WPA-PSKChaves presentes nos clientes e acessíveis aos
operadores.
Método sem certificados
opere nesse modo.Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS
Método seguro porém inviável economicamente e deimplantação praticamente impossível em redesexistentes.
87
Resumo dos métodos de
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
88/161
implantação e seus problemas.Mikrotik com Radius
EAP-TLS e EAP-PEAP:Sujeito ao ataque do “homem do meio” e poucodisponível em equipamentos atuais.
EPA-TLS
Método seguro, porém também não
disponível na maioria dos equipamentos.Em placas PCI é possível implementá-lo.
88
Método alternativo com Mikrotik
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
89/161
• A partir da versão 3 o Mikrotik oferece a possibilidade dedistribuir uma chave WPA2 PSK por cliente. Essa chave éconfigurada na Access List do AP e é vinculada ao MAC
Address do cliente, possibilitando que cada um tenha suachave.
89
"#s!$ Cadastrando as PS na access list,
voltamos ao pro#lema da c)ave ser
vis.vel a 's'(rios do Mikrotik!
Método alternativo com Mikrotik
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
90/161
• Por outro lado, o Mikrotik permite queessas chaves sejam distribuídas por
Radius, o que torna esse método muitointeressante.
• Para isso é necessário: – Criar um perfil no modo NONE; – Habilitar a autenticação via MAC no AP; – Ter a mesma chave configurada tanto no
cliente como no Radius.
90
RADIUS MAC Authentication
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
91/161
91
Método alternativo com Mikrotik
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
92/161
92
RADIUS MAC Authentication
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
93/161
• Opção de autenticação remota através de umservidor RADIUS
• É possível utilizar este recurso para autenticar edesautenticar um cliente em um determinado AP
93
• MAC mode – username ou username andpassword
• MAC Caching Time – quanto tempo a resposta
de autenticação RADIUS para autenticação deendereços MAC, se considerados válidos para ocache
Configurando o cliente RADIUS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
94/161
• Crie um clienteRADIUS no menu
‘Radius’• Especifique o serviço,
94
servidor RADIUS esenha• A aba Status mostra
os andamento dasrequisições.
Configurando o Radius
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
95/161
Arquivo users: (/etc/freeradius)
#Sintaxe:# MAC Cleartext-Password:=“MAC”
# Mikrotik-Wireless-Psk = “Chave_Psk” _
000C42000001 Cleartext-Password:=“000C42000001”
Mikrotik-Wireless-Psk = “12341234”
000C42000002 Cleartext-Password:=“000C43000002”Mikrotik-Wireless-Psk = “2020202020ABC”
95
Corrigindo o dicionário de atributos/0'sr0s)are0freeradi's0dictionar1!mikrotik2
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
96/161
VENDOR Mikrotik 14988
ATTRIBUTE Mikrotik-Recv-Limit 1 integer
ATTRIBUTE Mikrotik-Xmit-Limit 2 integer
ATTRIBUTE Mikrotik-Group 3 stringATTRIBUTE Mikrotik-Wireless-Forward 4 integer
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer
- - -
ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string
ATTRIBUTE Mikrotik-Rate-Limit 8 stringATTRIBUTE Mikrotik-Realm 9 string
ATTRIBUTE Mikrotik-Host-IP 10 ipaddr
ATTRIBUTE Mikrotik-Mark-Id 11 string
ATTRIBUTE Mikrotik-Advertise-URL 12 string
ATTRIBUTE Mikrotik-Advertise-Interval 13 integerATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer
ATTRIBUTE Mikrotik-Wireless-Psk 16 string
96
Segurança na Wireless
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
97/161
• Estabeleça um link entre você e seuparceiro:• Escolham e combinem entre si um perfil de
97
.
• Utilizem a access list para testar o métodowpa-psk com senhas individuais.
Management Frame Protection
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
98/161
• RouterOS implementa uma chave degerenciamento de proteção de frame.
• Dispositivos wireless RouterOS podemverificar a veracidade da ori em do frame
98
e confirmar se este frame particular émalicioso ou não.
• Isso previne o atacante de lançar o típico
ataque de desautenticação.
Management Protection SettingsC fi d fil d
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
99/161
• Configurada no perfil de segurança – disabled - desabilita o recurso
– allowed - habilita o recurso caso o outro lado suporte• Para o AP – permite ambos metodos - com ou sem recurso• Para o cliente- conecta em APs com ou sem o método
99
– required - estabelece conexões com dispositivos
remotos somente se eles suportarem o método• Para o AP – aceita somente cliente que suportam o método• Para o client – conecta somente em APs que suportam o
método.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
100/161
Wireless WDS and MESH
100
WDS and MESH
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
101/161
• Modos WDS:
– Dynamic WDS – Static WDS
101
• r ge
• HWMP+ MESH – Modo Reactive
– Modo Proactive – Portais
WDS – Wireless Distribution
System
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
102/161
System• WDS permite criar uma grande coberturawireless personalizada usando vários
APs. O que seria impossível fazer apenascom um AP
102
• WDS permite que os pacotes passem deum AP para outro, como se os APsfossem portas de um switch Ethernet
• Os APs devem usar mesma banda,mesmo SSID e operar no mesmo canal.
Wireless Distribution System
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
103/161
• O AP (modo bridge/ap-bridge) pode criar linksWDS com:
• Outro AP em modo bridge/ap-bridge• Outro AP em modo wds-slave
103
-
• Você deve desabilitar o DFS caso você tenhamais de um AP em modo bridge/ap-bridge esua rede WDS
• A implementação do WDS pode diferenciar defabricamente para fabricamente – portanto podeser que não haja compatibilidade WDS entrediferentes fabricantes.
Configuração do WDS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
104/161
• Existem 4 modos de operação do WDS• Dynamic – as interfaces WDS são criadas
automaticamente conforme se conecta a outrodispositivo compatível
104
–
manualmente• Dynamic-mesh – o mesmo que o modo dinâmico,porém com suporte HWMP+ (proprietário Mikrotik enão compatível com outros fabricantes.)
• Static-mesh – mesmo que o modo estático, porémcom suporte HWMP+ (proprietário Mikrotik e nãocompatível com outros fabricantes.)
Configuração WDS• WDS Default Cost –
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
105/161
• WDS Default Cost –custo padrão das portasda bridge para linksWDS
• WDS Cost Range –
105
margem de custo
ajustável conforme othroughput• WDS Ignore SSID – se
deve se conectar aoutros AP WDS queestiverem no mesmocanal
Dynamic WDS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
106/161
• Criada por demanda, irá adicionar ainterface WDS no menu interfaces com a
“flag” (D).• Quando um link WDS cai os endere os IP
106
a ele associado irão ficar inativos e asportas da bridge serão removidas.
• Especifique o parâmetro “wds-default-
bridge” e atribua o endereço IP a estainterface bridge para resolver esteproblema.
Static WDS Interface
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
107/161
• Exige que você especifique manualmenteo endereço MAC do destinatário e ainterface ao qual será feita a conexão.
107
,
não ser que você remova ou desabilite-as• O parâmetro WDS-default-bridge deve ser
alterado para “none”
Interface Static WDS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
108/161
108
Link WDS Point-to-point
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
109/161
109
Single Band Mesh
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
110/161
110
Dual Band Mesh
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
111/161
111
WDS Mesh e Bridge• WDS Mesh não é possível sem uso de bridge
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
112/161
WDS Mesh não é possível sem uso de bridge
• Para criar o WDS mesh todas interfaces WDS do
roteador devem ser colocadas na mesma bridge,inclusive todas interfaces que os clientes estejam
112
• Para evitar possíveis loops na rede WDS énecessário o uso do (Rapid) Spanning TreeProtocol ((R)STP)
• RSTP funciona mais rápido com mudanças detopologia do que o STP, porém ambos temmesma funcionalidade.
(Rapid) Spanning Tree Protocol• (R)STP elimina a possibilidade do mesmo MAC
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
113/161
( ) paddress ser visto por múltiplas portas da mesma
bridge desabilitando portas secundárias paraeste MAC address•
113
na bridge ID
• Em seguida o (R)STP usa o algoritmo de breadth-first search tomando a root bridge com ponto departida
• Se o algoritmo encontra o MAC address pela primeira vez –tornará o link ativo
• Se o algoritmo encontra o MAC address pela segunda vez –tornará o link inativo
(R)STP em ação
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
114/161
114
Topologia (R)STP
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
115/161
115
Estado das porta na bridge
(R)STP• Disabled port para portas em loop
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
116/161
(R)STP• Disabled port – para portas em loop
• Root port – caminho para a root bridge• Alternative port – backup da root (só existe
116
no
• Designated port – porta ativa de passagem• Backup port – backup da designated port
(só existe no RSTP)
Admin MAC Address
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
117/161
• A Bridge usa o endereço MAC da porta ativa com menornúmero de porta.
• A porta wireless está ativa somente quando existem hosts
conectados a ela.
• Para evitar que os MACs fiquem variando, é possível atribuirum MAC manualmente.
117
Configuração das portas RSTP
• Cost – permite
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
118/161
Cost permitepriorizar um caminho
• Priority – caso o custoempate, a prioridade
118
caminho
• Horizon – recursoutilizado pelo MPLS• Não encaminha o
pacote para as portascom mesmo rótulo
Configuração de portas RSTP
• Existem 3 opções para otimizar o
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
119/161
• Existem 3 opções para otimizar odesempenho do protocolo RSTP:• Edge port – indica se esta porta está
119
• Point-to-point – indica que esta porta estaconectada a somente um dispositivo de rede(WDS, wireless em modo bridge)
• External-fdb – permite o uso da tabela deregistro, em vez da base de dados deencaminhamento (somente no AP)
Roteamento Layer-2 para redes
Mesh• MikroTik oferece uma alternativa ao RSTP - o
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
120/161
esMikroTik oferece uma alternativa ao RSTP oHWMP+
• HWMP+ é um protocolo Mikrotik de roteamentoem Layer-2 para rede wireless mesh
120
• O protocolo HWMP+ por ser proprietário não temcompatibilidade com outros dispositivos wirelessIEEE 802.11s
• HWMP+ funciona somente com:• wds-mode=static-mesh
• wds-mode=dynamic-mesh
HWMP+• Para configurar o HWMP+ você deve usar
/i f h fi
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
121/161
o menu “/interface mesh” – a configuração
é bem similar a da bridge.• HWMP+ provê um roteamento otimizado
121
• Para links Ethernet a métrica é configuradaestaticamente• Para links WDS a métrica é atualizada
dinamicamente dependendo do nível de sinale qualidade do link
Modo Reactive Discover
• Todos os caminhos
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
122/161
Todos os caminhossão descoberto por
demanda atravésde broadcasts de
122
mensagens Path
Request (PREQ) narede.
Modo Reactive Response
• O nó ou roteador de
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
123/161
O nó ou roteador dedestino irá
responder commensagem Path
123
Response (PREP)
Modo Proactive Announcement
• Os portais irão
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
124/161
Os portais irãoanunciar sua
presençaenviando
124
mensagens de
RootAnnouncement(RANN) para
toda rede.
Modo Proactive Response
• Os nós internos
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
125/161
irão responder com
mensagens dePath Registration
125
(PREG)
• Resultado –árvores deroteamento com
origem nosroteadores portais
Portais
• Rotas para os portais servirão como um tipo de
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
126/161
p p prota padrão
• Se um roteador interno não conhece o caminhopara um determinado destino, ele irá enviar todo
126
–descobrir o caminho pelo roteador, senecessário. Em seguida todo tráfego irá fluirpelo portal
• Isto leva a um roteamento pouco eficiente, a nãoser que o tráfego seja endereçado ao portal ououtra rede que esteja ligada diretamente aoportal.
Opções de configuração Mesh• Reoptimize paths – envia periodicamente mensagensPREQ solicitando endereços MAC conhecidos
S h t d PREQ f bid i h t l
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
127/161
– Se nenhuma resposta de PREQ for recebida, o caminho atualserá mantido (até que atinja o timeout)
– Melhor para o modo Proactive e para redes mesh moveis• hwmp-preq-destination-only – se ‘no’ for setado então os
127
pelos roteadores destinatários mas também por algum
roteador no caminho para o roteador de destino.• hwmp-preq-reply-and-forward – funcional somente
quando hwmp-preq-destination-only=no; Roteador nocaminho após a resposta passa adianta a mensagensPath Request para o destino (com flags que somente odestino poderá responder)
WDS/MESH Lab
• Configure seu cartão wireless no modo AP Bridge com oSSID SetorX substitua o “X” pelo n° do seu setor
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
128/161
SSID SetorX – substitua o “X” pelo n do seu setor• Habilite o modo Static WDS mesh• Crie um link WDS com o AP do servidor• –
128
• Use o MESH traceroute para checar as rotas para os
roteadores próximos
• Crie um link WDS link com seu vizinho e adicione sua
porta ao MESH• Verifique novamente o MESH traceroute para seuvizinho
Bridge Wireless Transparente
• Colocar em bridge clientes Ethernets
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
129/161
gusando WDS
• Utilizar AP Bridge e Station WDS
129
• o o seu o r ge com ou sem
Cloning• Colocar em bridge clientes Wireless
usando WDS
Colocando em bridge clientes
Ethernet
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
130/161
130
Link AP-Station WDS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
131/161
131
Station-WDS
Selecione o modo
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
132/161
station-wds
WDS – a station
132
desabilitadoO modo Station-WDS pode ser
colocado em bridge
Modo Pseudobridge
• Usa um tipo de MAC-NAT – Traduz o MAC address paratodo o tráfego
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
133/161
todo o tráfego• Ele inspeciona os pacotes e cria uma tabela
correspondente com o IP e MAC addresses• Todos os acotes são enviados ao AP com o MAC
133
address usado pela pseudobridge, em seguida os MAC
addresses dos pacotes recebidos serão restaurados apartir da tabela de tradução• Existe somente uma entrada na tabela de tradução de
endereços para todos os pacotes não-IP - mais de um
host na rede bridge não pode usar protocolos não-IP(pppoe por exemplo)• IPv6 não funciona com Pseudobridge
Modo Pseudobridge Clone
• station-bridge-clone-mac – usa od MAC lhid t
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
134/161
endereço MAC escolhido para se conectar
ao AP• Caso escolha 00:00:00:00:00:00 a station
134
usará o MAC da interface wireless
• Assim que o pacote com o endereço MACde um outro dispositivo necessita sertransmitido, a estação irá reconectar aoAP usando esse endereço
Clientes Wireless em Bridge
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
135/161
135
Bridge Transparente
• Crie uma bridge entre você e seu vizinho
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
136/161
• Teste os 3 métodos – WDS
136
– o o seu o r ge
– Modo Pseudobridge clone• Cheque a comunicação entre os
notebooks atrás dos roteadores.
MikroTik Nstreme• Nstreme é um protocolo wireless
proprietário MikroTik (incompatível com
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
137/161
outros fabricantes) criado para melhorar odesempenho de links wireless ponto-a-
137
- .
Protocolo Nstreme
• Benefícios do protocolo Nstreme:
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
138/161
• Client polling• Disable CSMA
138
• A distância do link não afeta o protocolo
• Pequeno overhead por frame o quepermite atingir altos data rates
Protocolo Nstreme: Frames
• framer-limit – tamanho máximo do frame• framer-policy – método para combinar os
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
139/161
framer policy método para combinar os
frames. Existem 4 modos:• none – não combina pacotes
139
• est- t – preenc e o rame com a quant a emáxima de pacotes, até atingir o limite estabelecido,sem fragmentar
• exact-size - preenche o frame com a quantidademáxima de pacotes mesmo que seja necessário
fragmentar o último pacote• dynamic-size – seleciona o melhor tamanho de frame
dinamicamente.
Nstreme Lab
• Estabeleça um link com seu vizinho e testeo tro ghp t
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
140/161
o troughput
• Em seguida habilite o Nstreme e teste
140
de agrupamento de frames.
Nstreme Dual Protocol• Protocolo Wireless proprietário MikroTik (nãocompatível com outros fabricantes) que funciona com
pares de cartões (somente chipsets Atheros) – um
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
141/161
para transmitir e outro para receber
141
Interface Nstreme Dual• Coloque ambos
cartões em modo“nstreme dual slave”
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
142/161
nstreme_dual_slave
• Crie a interfaceNstreme dual
142
MAC address – O
MAC address dainterface nstreme dualda outra ponta
• Selecione uma políticade frame caso queira
802.11n
• MIMO• 802 11n Data Rates
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
143/161
• 802.11n Data Rates
• Channel bonding
143
•
• Configuração dos cartões Wireless• TX-power em cartões N• Bridges Transparente em links N usando
– MPLS/VPLS
Recursos do 802.11n
• Altos data rates – até 300MbpsS t i d 20Mh 2 20Mh
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
144/161
• Suporte para canais de 20Mhz e 2x20Mhz• Funciona em 2.4 e 5ghz
144
• Usa múltiplas antenas pra receber e
transmitir• Agregação de Frames
MIMO
• MIMO – Múltiplos Input e Múltiplos Output• SDM Spatial Division Multiplexing
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
145/161
• SDM – Spatial Division Multiplexing
• Múltiplas streams espaciais através de
145
• Configuração de múltiplas antenas parareceber e transmitir: – 1x1, 1x2, 1x3
– 2x2, 2x3 – 3x3
802.11n Data Rates
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
146/161
146
N card Data Rates
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
147/161
©MikroTik 2010 147
Channel bonding – 2x20Mhz
• Adiciona um canal de 20Mhz ao canalexistente
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
148/161
existente
• Adicionado acima ou abaixo do canal
148
• Compatível com clientes “legados” de20Mhz – conexão feita através do canalprincipal
• Permite utilizar altos data rates
Agregação de Frames
• Combinando múltiplos frames de dados em umúnico frame – o que diminui o overhead
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
149/161
• Aggregation of MAC Service DataUnits (AMSDU)
149
• ggregat on o rotoco ata n ts
(AMPDU) – Utiliza Reconhecimento em Bloco – Pode aumentar a latência, por padrão é habilitado
somente para tráfego de melhor esforço
– Envio e recebimento de AMSDUs incrementa o usode CPU
Configuração do cartão Wireless
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
150/161
150
Configuração do cartão Wireless
• ht-rxchains/ht-txchains – qual conector docartão será usado para transmitir e receber
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
151/161
cartão será usado para transmitir e receber
• ht-amsdu-limit – máximo AMSDU que o
151
• ht-amsdu-threshold – máximo tamanho deframe permitido a ser inserido no AMSDU
Configuração do cartão Wireless
• ht-guard-interval – permitir utilizar um intervalode guarda curto
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
152/161
• ht-extension-channel – permitir utilizar o canalde 20MHz adicional
152
• ht-ampdu-priorities – prioridades do frame para
cada AMPDU
TX-power para cartões N
• Quando se usa doiscanais ao mesmo
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
153/161
tempo o tx-power éincrementado em 3db
153
– veja a coluna total-
tx-power• Quando se usa trêscanais ao mesmo
tempo o tx-power éincrementado em 5db
Bridge transparente emenlaces N
• WDS não suporta agregação de framese portanto não provê a velocidade totalda tecnologia “n”
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
154/161
da tecnologia n
• EoIP incremente overhead
• Para fazer bridge transparente com
velocidades maiores com menosoverhead em enlaces “n” devemosutilizar MPLS/VPLS.
154
Bridge transparente emenlaces N
•
Para se configurar a bridge transparente em enlaces“n”, devemos estabelecer um link AP Station econfigure uma rede ponto a ponto /30.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
155/161
–
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)– Habilitar o LDP (Label Distribution Protocol) em ambos
.
– Adicionar a wlan1 a interface MPLS
155
Bridge transparente emenlaces N
•
Configurar o túnel VPLS em ambos os lados• Crie uma bridge entre a interface VPLS e a ethernet
conectada
• Confira o status do LDP e do túnel VPLS
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
156/161
156
Bridges VPLS - Considerações
• O túnel VPLS incrementa o pacote. Se estepacote excede o MPLS MTU da interface desaída, este será fragmentado.
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
157/161
• Se a interface ethernet suportar MPLS MTUde 1522 ou superior, a fragmentação podeser ev a a a eran o o a n er aceMPLS.
• Uma lista completa sobre as MTU dasRouterBoards pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
157
Setup Outdoor para enlaces “N”
• Recomendações segundo a Mikrotik:
– Teste de canal separadamente antes de
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
158/161
– Teste de canal separadamente antes deusá-los ao mesmo tempo.
– Para operação em 2 canais, usarpolarizações diferentes
– Quando utilizar antenas de polarizaçãodupla, a isolação mínima recomendada daantena é de 25dB.
158
Enlaces “n”
Estabeleça um link “N” com seu vizinho
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
159/161
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
159
Laboratório Final
• Abram um terminal
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
160/161
• Executem: /system reset-configuration no-e au ts=yes
160
OBRIGADO!
8/17/2019 TREINAMENTO MIKROTIK - MTCWE
161/161
Guilherme Marques Ramires.
E-mail para contato: [email protected]