Apostila - Curso Mikrotik



Comments



Description

Curso MikrotikRevisão de conceitos básicos: TCP/IP ENDEREÇAMENTO ROTEAMENTO Modelo OSI e TCP/IP • • • Camada 1 – conexões físicas: cabos, wireless etc o Ethernet, 802.11 a/b/g Camada 2 – detecta/corrige erros, controla fluxo, end. físico o Endereçamento MAC Camada 3 – responsável pelo endereçamento lógico: o IP, IPX/SPX, NETBEUI, Apple Talk ... O Mikrotik RouterOS é um dispositivo de camada 3 do modelo OSI. O endereço IP é formado por 4 octetos binários. Endereçamento e Roteamento IP Quando um dispositivo de rede envia um pacote ao outro, o protocolo IP precisa saber: • • Se estão na mesma rede física o envia o pacote para o barramento de rede o Se estão em redes diferentes o envia para o roteador (gateway padrão ou outra rota) Gateway = “portão” de saída - toda a rede que precisa se comunicar com outra precisa de um caminho de saída. Entendendo a Máscara Sub-redes 1 2 4 8 16 32 64 XX XX Hosts 254 126 62 30 14 6 2 XX 1 Máscara Decimal 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 XX 255.255.255.255 Máscara Binária (11111111.11111111.11111111.00000000) (11111111.11111111.11111111.10000000) (11111111.11111111.11111111.11000000) (11111111.11111111.11111111.11100000) (11111111.11111111.11111111.11110000) (11111111.11111111.11111111.11111000) (11111111.11111111.11111111.11111100) (11111111.11111111.11111111.11111110) (11111111.11111111.11111111.11111111) Bits /24 /25 /26 /27 /28 /29 /30 /31 /32 Tráfego • • • Unicast o Tráfego destinado a apenas um host Broadcast o Tráfego destinado a todos os hosts da mesma rede. Redes remotas podem ser unidas através de túneis e serem parte do mesmo “domínios de broadcast”. Multicast o Tráfego destinado a hosts previamente “inscritos” para receberem o tráfego multicast. Os dispositivos de rede devem ter capacidade de propagar o tráfego multicast. Protocolos • • Protocolo ARP o Serve para associar IP’s com endereços físicos: IP > Mac Protocolo TCP o Utilizado para controle de transporte dos dados (datagramas IP). o Garante que estes sejam entregues de maneira confiável, sem serem alterados ou corrompidos. o Faz a segmentação e reagrupação de grandes blocos de dados de forma ordenada. o Permite o funcionamento de vários serviços simultâneos, através de portas: 21 – FTP 23 – Telnet 80 – HTTP ... etc Protocolo UDP o Utilizado para o transporte rápido entre dispositivos. o Ao contrário do TCP, o UDP é um protocolo sem conexão, portanto não garante a entrega do datagrama. o Também utiliza portas: 53 – DNS • Conceitos básicos do RouterOS Características: • • Roteamento o Estático e Dinâmico o Políticas de Roteamento Bridging o Protocolo Spanning Tree, rstp o Múltiplas interfaces na bridge o Bridge com firewall – filtro Servidores e Clientes o DHCP, PPtP, PPPoE, Ipsec etc... Servidores o Cache, Web Proxy, DNS etc Gateway de Hotspot Linguagem interna de Scripts • • • • utilizando o “netinstall” o Comando “dd” do Linux o Aplicativos semelhantes para Windows (Ex.Funcionalidades: • • • • • • • • Access Point e Station Wireless Roteador dedicado Bridge Firewall Controlador de Banda e QoS Concentrador PPPoE.: Physdiskwrite) . L2TP etc Roteador de Borda – BGP! Hotspot Estrutura: • • • • • Baseado em kernel Linux Pode ser instalado em HD’s ou flash Instalação modular Módulos atualizáveis Interface gráfica amigável Como acessar o RouterOS? • • • • • • Monitor e teclado Porta Serial – 8 / N / 1 / 9600 Telnet Telnet de MAC SSH Winbox (Windows ou Linux com Wine) Ferramentas de Diagnóstico: • • • • Ping – Traceroute Medidor de banda Torch SNMP Instalação: • Pode ser instalado usando: o Disquete o CD ISO “bootável” – gravado com imagem o Via rede. IPSec. PPtP. o Selecione modo binário.Licenciamento: • • A chave é gerada sobre um software-id fornecido pelo próprio Mikrotik IMPORTANTE: A licença fica vinculada ao HD ou Flash. Acesso Via Terminal • • Primeiro acesso o Winbox. o Depois. o Reinicie o roteador com o comando “/system reboot” ou ctrl+alt+del no console. Time Zone e NTP Desativar ou configurar serviços que podem ser inseguros (Telnet e SSH) Usando Torch Amarrando IP ao MAC . o Portanto este disco pode ser utilizado em outra placa. Atualização • Instruções: o Conecte ao Mikrotik via FTP com um software apropriado. mantendo a licença original. serial. o Faça o upload dos pacotes.Prática • • • • • • • • • Colocando uma senha para acesso Colocando um nome no roteador Configurar Endereços IP Configurar Default Gateway Configurar DNS’s Configurar Data/Hora. SSH ou Telnet o Usuário “admin” – senha em branco Ajuda o “?” mostra um help para o diretório em que esteja [Mikrotik] > ? o “?” Após um comando incompleto mostra as opções disponíveis para este comando [Mikrotik] > interface ? Administração do RouterOS Utilizando Menus do WINBOX . o Porém a formatação do disco com ferramentas de terceiros faz PERDER a licença. o Depois do reboot verifique se os pacotes foram instalados corretamente com o comando “/system package print”. para verificar utilize o comando “/file print”. Anotações . Elas já têm suas chains próprias: srcnat e dstnat • As regras são sempre processadas por canal. Existem 3 pré-definidos: 1. outras serão rejeitadas. O firewall estará programado para distinguir pacotes legítimos para diferentes tipos de conexões. aceito. de cima para baixo. As regras são organizadas em canais (chains). Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote. range de portas.Princípios de Firewall Estrutura de firewall do Mikrotik Características da implementação de Firewall no Mikrotik • Filtragem de pacotes “stateful” Firewall Stateful: pode acompanhar o estado das conexões de rede (tais como sessões TCP. o Se um pacote atende à condição e é tomada uma ação com ele. por default. como veremos mais tarde. não importam as regras que estejam abaixo deste canal. Encontra o fluxo de tráfego que se enquadra em uma condição pré-definida. UDP comunicação). • . por mais que pareçam ser – pois o tráfego estaria passando pelo roteador. tamanho do pacote etc etc etc Princípios Básicos de Firewall • Um firewall opera por meio de regras. 2. portas. 2. tipos de tráfego (multicast. ou seja. Porém. pois não serão processadas. Elas entram nas chains de INPUT e OUTPUT. Diz a ação que deve ser tomada com os pacotes que satisfazem a condição. no Mikrotik as regras de NAT já são separadas das regras de filter. broadcast etc). Apenas pacotes combinados com uma conexão conhecida serão autorizados pelo firewall. endereços IP. Um pacote que não se enquadre em qualquer regra do canal será. INPUT – responsável pelo tráfego que vai PARA o roteador. 3. OUTPUT – responsável pelo tráfego que SAI do roteador. na ordem que estão listadas. Cada regra é constituída de 2 partes: 1. • • Atenção: regras de NAT não são FORWARD. FORWARD – responsável pelo tráfego que PASSA pelo roteador. protocolos. • • Filtragem de pacotes P2P (camada aplicação – “layer 7”) Classificação de tráfego por MAC address. Laboratório de Firewall Exemplos diversos implementados na prática • • • • • • Fazer um NAT simples Bloquear acesso DE UM IP / RANGE Bloquear acesso PARA UM IP / RANGE Bloquear acesso a uma PORTA / RANGE de PORTAS Bloquear acesso de um MAC Bloqueios utilizando Address Lists Anotações . Neste caso a classe pede a classe “pai” para usar mais banda. subnet. Com apenas uma entrada é possível configurar as velocidade de donwload e upload. Os parâmetros que controlam o burst são: o o o o burst-limit: limite máximo que alcançará burst-time: tempo que durará o burst burst-threshold: patamar onde começa a limitar max-limit: MIR . Amarelo: a classe está com velocidade maior do que limit-at. e assim por diante.HTB (Hierarchical Token Bucket) é a disciplina de enfileiramento utilizada pelo RouterOS. O QoS não é necessariamente utilizado para limitação. Se a classe pai estiver “verde” permitirá o uso. ou dependendo da carga do canal. Filas Simples A maneira mais fácil de fazer o controle de velocidade de clientes é usando as “simple queues”. As queues “enxergam” a direção dos pacotes IP da mesma forma que apareceriam no firewall. se tiver. Abaixo algumas features do mecanismo de Controle de Banda do RouterOS: o o o o o o Limitar a banda de um IP. Aplicar queues em intervalos fixos de tempo Compartilhar o tráfego disponível para os usuários de forma justa. Para o shaping os parâmetros são: o o o • limit-at: banda garantida (CIR) max-limit: banda máxima permitida (MIR) priority – ordem em cada classe que serve ao mesmo nível (onde 8 é a prioridade mais baixa e 1 é a mais alta) Cores: o o Verde: a classe está com a velocidade igual ou menor do que limit-at. protocolo. portas e outros parâmetros. mas principalmente para proporcionar qualidade. Limitar o tráfego P2P Priorizar alguns tráfegos específicos em relação a outros “Queue Burst” para navegação mais rápida.Princípios de Qualidade de Serviço (QoS) e Controle de banda (Shaping) QoS As regras de QoS (Quality of Service) fazem com que o roteador priorize e limite o tráfego de rede. se estiver em amarelo enviará a solicitação para a sua classe pai. e menor ou igual do que a max-limit. o Burst • Bursts são usados para permitir altas taxas de dados por um curto período de tempo. Vermelho: a classe excedeu o max-limit. e não pode mais “pedir banda” para a classe pai. Com elas é possível construir uma hierarquia de classes sob medida. Os filtros de árvores são aplicados na interface especificada. Os filtros são apenas marcas que o Firewall faz nos fluxos de pacotes na opção “Mangle”. Os filtros enxergam os pacotes na ordem em que eles chegam ao roteador. contabiliza também aquele que é dirigido também para ele Global-in Global-total Roteador Global-out As árvores de filas são configuradas em: /queue tree Laboratório de QoS Implementando um conjunto de regras pré-configuradas para QoS de serviços Usando Firewall / Mangle / Queue Tree para implementar QoS / ip firewall mangle add chain=forward protocol=tcp dst-port=80 action=mark-connection \ new-connection-mark=conexao_http passthrough=yes comment="" disabled=no add chain=forward connection-mark=conexao_http action=mark-packet \ new-packet-mark=pacotes_http passthrough=no comment="" disabled=no add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=conexao_p2p \ passthrough=yes comment="" disabled=no add chain=forward connection-mark=conexao_p2p action=mark-packet new-packet-mark=pacotes_p2p \ passthrough=no comment="" disabled=no .Gráficos de Tráfego • Disponibilizando gráficos de tráfego para clientes Árvore de Filas – Queue Tree Trabalhar com árvore de filas é a maneira mais elaborada de administrar o tráfego. Para o uso de árvores de filas lançamos mão de interfaces virtuais denominadas: o o o Global-in: contabiliza todo o tráfego que entra no roteador pelas interfaces de entrada Global-out: contabiliza todo o tráfego que sai do roteador pelas interfaces de saída Global-total: que além do tráfego que passa pelo roteador. / queue tree add name="Todos Marcados" parent=Computech packet-mark="" limit-at=0 queue=default priority=8 \ max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no add name="HTTP" parent="Todos Marcados" packet-mark=pacotes_http limit-at=0 queue=default \ priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no add name="P2P" parent="Todos Marcados" packet-mark=pacotes_p2p limit-at=2000000 queue=default \ priority=8 max-limit=3000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no Anotações . Elas são: o o o o o Point to Point Tunneling Protocol (PPtP) Point to Point over Ethernet (PPPoE) Layer 2 Tunneling Protocol ( L2TP ) Ethernet over IP (EoIP) Túneis IP over IP (IPIP) Neste curso.Internet ou não. a Internet)..) Túnel: estabelecido entre as 2 interfaces WAN usando PPtP – criando uma nova interface: Túnel EoIP Bridge: LAN + Tunel EoIP . Túneis e VPN’s no Mikrotik • O RouterOS trabalha com diversos protocolos de túneis. LAN: Interface privada interna – ethernet local física (wlan2 ou ether2.. para criarmos a bridge transparente Laboratório de VPN e Túneis Interligando remotamente 2 redes como bridge transparente Prática • Conceitos importantes: “WAN” .VPN) é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições... estes protocolos podem assegurar comunicações seguras através de redes inseguras.Bridge o o o o WAN: interface pública física – (wlan1 ou ether1.Túnel . construída em cima de uma rede de comunicações pública (como por exemplo.) .. e o EoIP. utilizaremos o PPtP. Quando adequadamente implementados. O tráfego de dados é levado pela rede pública utilizando protocolos padrões.Túneis e VPN Conceitos de VPN's e suas aplicações VPN Uma Rede Particular Virtual (Virtual Private Network . As VPN’s seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade.“LAN” .. autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. para estabelecer a conexão segura. Anotações . converte um argumento em um endereço IP toip6 . se o hardware suportar len – retorna o número de elementos no valor local – atribui um valor para uma variável local log – manda mensagens para os logs nothing – não faz nada e não retorna nada – comando extremamente útil :-) pick – retorna um range de caracteres de strings ou valores de arrays put – mostra um argumento na tela resolve – DNS lookup set – muda o valor da variável terminal – comandos relacionados ao terminal time – retorna o tempo que o comando levou para ser executado toarray .converte um argumento em um número de valor interno toip . respectivamente. Uma variável pode ser referenciada pelo sinal "$" seguida do nome da variável. A lista completa das ICE pode ser acessada digitando “:” e em seguida dois tab’s: [admin@MikroTik] > : environment do terminal error beep execute delay find for foreach global if led len local log nothing parse pick put resolve set time toarray tobool toid toip toip6 tonum tostr totime typeof while • • • • • • • • • • • • • • • • • • • • • • • • • • • • • environment – lista de todas as variáveis terminal – configura o terminal beep – produz um sinal audível se for suportado pelo hardware delay – pausa a execução por determinado tempo do – executa um comando execute – roda um script separado find – localiza itens por valor for – executa um comando para um range de valores inteiros foreach . A variável deve ser composta por letras.converte um argumento para um valor de array tobool – converte um valor para verdadeiro toid . Neste caso.Linguagem de Script no Mikrotik Noções e aplicações de Scripting Variáveis O RouterOS suporta dois tipos de variáveis.converte um argumento em um endereço IPv6 ktonum . números e o sinal "-“. use o comando :unset seguido do nome da variável. Existem quatro tipos de declaração: • global • local • variáveis indexadoras de loop – “for” e “foreach” com bloco “do” • variáveis de monitor com “do” Para atribuir um novo valor a uma variável. Devem ser declaradas antes de serem utilizadas em scripts. mas são úteis para automatizar vários processos de manutenção. com exceção dos comandos set e unset que obtêm o nome da variável sem preceder do sinal de cifrão. esta remoção funciona apenas no script atual. Estes comandos não mudam as configurações diretamente.executa um comando para cada um dos argumentos de uma lista global – declara e atribui um valor para uma variável global if – executa um comando se uma condição for verdadeira led – controla LED’s. se a variável é global. Para remover uma variável. use o comando :set seguido do nome da variável sem o sinal $ e o seu novo valor. que são global (todo o sistema) e local (acessível apenas dentro do script atual).converte um argumento para um número inteiro tostr – converte um argumento para um valor de string . Comandos O RouterOS tem alguns comandos de console e expressões que não dependem do nível de menu onde se está. mikrotik.com/wiki/Scripts .• • • totime – converte um argumento para um valor de interval de tempo typeof – retorna o tipo do valor while – executa comandos enquanto uma condição for verdadeira Scripts prontos podem ser baixados no site: http://wiki. • Redes Wireless Usando Mikrotik Significado dos ícones: Adicionar novas entradas Remover entradas existentes Habilitar o item Desabilitar o item Acrescentar ou adicionar comentários Desfazer a ação Refazer a ação . : Ao utilizar esta opção.Align Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo Filter e campo Áudio) Obs. a conexão estabelecida é interrompida.INTERFACE WIRELESS Botão – Scan Escaneia o meio (causa queda das conexões estabelecidas) A – Ativa B – BSS P – Protegida R – Rede Mikrotik N – Nstreme Botão – Freq. Botão . Usage Mostra o uso as freqüências em todo o espectro.: Ao utilizar esta opção. para site survey Obs. a conexão estabelecida é interrompida. Rx Quality – Potência média dos pacotes recebidos Last Rx – Tempo em segundos do último pacote recebido Tx Quality – Potência do último pacote transmitido Last Tx – Tempo em segundos do ultimo pacote transmitido . Rx Quality – Potência (dBm) do último pacote recebido Avg. por estação ou por rede. Esta opção escaneia as freqüências definidas em scan-list da interface. Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP Botão – Snooper Com a ferramenta Snooper é possível monitorar a carga de tráfego em cada canal.Botão – Sniff Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes Muito útil para detectar ataques do tipo deauth attack e monkey jack. . MTU: Unidade máxima de transferência (bytes). Type: wireless. Endereços de vizinhos são resolvidos estaticamente. MAC Address: Endereço MAC da interface. ARP: -disable: não responde a solicitações ARP. -reply-only: somente responde as requisições. Chip Info / PCI Info: Informações da placa.Guia – General Name: Nome da Interface. . Clientes tem que acessar tabelas estáticas -proxy-arp: passa o seu próprio MAC quando há uma requisição para algum host interno ao roteador. -wds-slave: trabalha como ponto de acesso escravo. SSID: Nome de rede. -station wds: estação que pode ser “bridgeada”. -5Ghz: 802. -alignment-only: modo para alinhar antenas e monitorar sinal. -5Ghz-turbo: Modo proprietário Atheros até 108mbps. -2. -2. AP precisa estar em WDS.11g até 54mbps (modo misto).Ghz-10Mhz: Modo “cloacking”. adaptando-se a um WDS mestre (adapta-se às configurações da mestre).nstreme-dual-slave: para enlaces em modo nstreme dual.Ghz-10Mhz: Modo “cloacking”. utiliza canal de 10Mhz. -5. . -2.11g até 54mbps (somente clientes g). Mode: Modo de operação. .modo ponto de acesso para suportar um cliente somente (links ponto a ponto). -2. -5.4Ghz-g-turbo: modo proprietário Atheros até 108mbps. -ap-bridge: Modo Access Point normal. .4Ghz-b/g: 802.4Ghz-only-g: 801.Ghz-5Mhz: Modo “cloacking”. . utiliza canal de 5Mhz.4Ghz-b: 802.2. -2. Não pode ser “bridgeado”. utiliza canal de 10Mhz.Ghz-5Mhz: Modo “cloacking”. Não passa os MACs internos. passando transparentemente os MACs.11b até 11mbps e 802. -station: modo cliente de AP.1b até 11mbps. Band: Banda e modo de operação.Guia – Wireless Radio Name: apelido usado para identificar a interface.11a até 54mbps. utiliza canal de 5Mhz. mas somente o seu. 50 da resolução 365/2004 da Anatel). também. DFS Mode: Modo de seleção dinâmica de freqüência. deixa o cliente se associar.pré-2.Por default. .25: Inclui extensões da forma aceita por versões mais antigas do RouterOS. -none: Não usa DFS. Scan List: lista de freqüências a serem escaneadas. associa-se a qualquer AP. Default AP Tx Rate: estabelece a taxa máxima. colocando-as separadas por vírgula. Yes: Como AP. considerando-se o ganho de antena indicado no campo Antenna Gain. sendo que a potência máxima de transmissão EIRP será limitada de acordo com a legislação.Pode-se forçar o escaneamento de freqüências especificas. Como cliente. Observação: No Brasil é necessário DFS para operar de 5250-5350 e 54705725 e existem valores mínimos em dBm que. serão “procuradas” APs que estiverem nessa lista. Antenna Gain: Ganho da antena em dBi. serão buscadas as freqüências do domínio regulatório. Default Forward: (default-forwarding) Determina se poderá haver comunicação entre clientes conectados na mesma interface Wireless. ela começa a operar nesse canal. Default Authenticate: (default-authentication) Especifica a ação padrão a ser adotada pela AP para os clientes Wireless que não estejam declarados nas access lists (controle de MAC). -superchannel: somente possível com a licença superchannel. . Para os equipamentos configurados como clientes. -post-2.9. Todos os canais e potências suportados pelo hardware serão permitidos. Default Client Tx Rate: Estabelece a taxa máxima. mesmo que não esteja na Connect List.25: Extensões aceitas a partir dessa versão e compatível com todos os clientes conhecidos até o momento.Frequency: Freqüências de trabalho em função da banda escolhida e do domínio regulatório. -no-radar-detect: O AP escaneia os canais da “scan-list” e escolhe para operar na menor freqüência detectada. Se durante 60 segundos não é detectado nesse canal. Perfis de segurança podem ser criados/alterados em Wireless/Security profiles. caso contrário continua escaneando sempre pelos canais menos ocupados. Proprietary extensions: Método para inserir informações adicionais (proprietárias Mikrotik) nos pacotes Wireless a fim de contornar problemas de compatibilidade com versões antigas (antes da 2.9. -Yes (marcado): permite a comunicação. -radar-detect: O AP escaneia a partir da “scan-list” e escolhe a menos freqüência detectada. mesmo se não estive declarado na Access List. Country: País de operação. .25) com novos cartões Intel – Centrino.Quando a interface está configurada como cliente. -No (desmarcado): Não permite a comunicação. se detectados não é permitida a operação nesses canais (art. Mikrotik. . Incompatível com clientes Centrino. .9. Secutity Profile: Perfil de segurança. em bps que cada cliente pode ter de download. Frequency Mode: -Regulatory domain: somente são permitidas o uso das freqüências do país indicado no campo Country. especifica a ação a ser adotada para os APs que não estejam na Connect List. Esse bloqueio é feito na camada 2 de enlace e portanto independente de IP (alguns APs tem esse recurso como IntraBSS relay). -Manual-tx-power: os canais permitidos são os do país selecionado mas a potência é informada pelo operador. em bps que cada cliente pode enviar ao AP – Só funciona para cliente. -Yes (marcado): não divulga. Guia – Data Rates Nesta tela é possível configurar as Taxas de transmissão suportadas e as Taxas Básicas. somente respondendo aos clientes que enviarem os “probe requests”. -Taxas Básicas (Basic Rates): São as taxas mínimas suportadas por todos os dispositivos Wireless presentes na rede Observação: recomenda-se deixar sempre as taxas básicas no mínimo (1mbps) .Observação: Quando as interfaces estão em Bridge. -No (desmarcado): divulga o nome da rede. sendo que: -Taxas Suportadas (Supported Rates): São todas as taxas que o cartão que está sendo configurado suporta. Hide SSID: Determine se o AP vai divulgar o nome da Rede em broadcast através de “beacons”. pode haver comunicação entre clientes de interfaces diferentes. mesmo com esse recurso habilitado. Range 0Km 5Km 10Km 15Km 20Km 25Km 30Km 35Km Ack-timeout 5Ghz-turbo default 30 48 67 89 111 137 168 5Ghz default 52 85 121 160 203 249 298 2. Limite teórico de 2007.pode ser ajustado manualmente (valor inteiro em microssegundos). e se a string toda ou pelo menos os primeiros caracteres coincidirem é estabelecida a associação. Ack Timeout: Tempo de expiração (timeout) do pacote de confirmação de recebimento (acknowledgment) enviado por uma estação . -indoors: para redes indoor. O roteador manda pacotes variáveis e em função da resposta procura ajustar ao timeout ideal. . Max Station Count: Número máximo de estações que podem se conectar no AP.dynamic: ajuste dinâmico. Os clientes comparam esse valor com o que estiver configurado em sua Área Prefix.Guia – Advanced Área: String alfanumérica utilizada para descrever um Access Point.4Ghz-G default 62 96 133 174 219 268 320 . Esta opção não .40Km 45Km 350 405 5Ghz Default Max 190 5Ghz-turbo Default Max 375 2Ghz-b Default Max Chipset version 5000 (5. acessível via terminal mostra a capacidade ou não do suporte a essa opção.11. A variável de leitura burst-support. Em princípio deve trabalhar com cartões que tenham a opção de detecção de noise floor – noise-floorcontrol Periodic Calibration: Para assegurar a performance do chipset sob diversas condições de temperatura ambiente o Mikrotik faz calibrações periódicas. . . Antena Mode: Permite a escolha da antena.antena a/b: escolhe uma das antenas a ou b .11a/b/g) 2Ghz-g Default Max 30 30 25 204 409 409 22 22 22 102 204 204 n/a 109 30 n/a 409 409 n/a n/a 52 n/a n/a 409 Observação: Esses valores são meramente referenciais e devem ser ajustados em função do hardware empregado e do ambiente.long: padrão compatível com 802.short: padrão suportado por alguns cartões mais modernos. Default = 60 segundos.2Ghz only) 5211 (801. Utilizando short. Essa opção só é válida para chipset Atheros AR5000.11a/b) 5212 (802.tx-b/rx-a: usa a antena B para TX e a A para RX Preamble Mode: escolhe o modo do preâmbulo (comunicação inicial e de sincronização). Calibration Interval: Intervalo em segundos entre as calibrações periódicas.both: ambos são suportados Compression: Quando habilitada a compressão (em modo AP-bridge ou bridge).11 em geral (mais antigo) . . Burst Time: Tempo em microssegundos que o cartão wireless pode transmitir continuamente. há aumento (pequeno) de performance. AR5001X e AR5001X+. permite que um cliente que tenha a mesma capacidade de compressão habilitada comunique-se com o AP comprimindo os dados (compressão de hardware) melhorando a performance. Noise Floor Threshold: Piso de ruído do ambiente (em dBm). Observação: Não localizamos documentação suficiente para esclarecer a utilidade prática desta opção.tx-a/rx-b: usa a antena A para TX e a B para RX . porem não compatível com 801. static: As estações WDS ficam atreladas umas às outras de forma estática. Default = 10s Guia – WDS das WDS Mode: Neste modo de operação todos os APs tem que estar configurados com o mesmo nome de rede e utilizando o mesmo canal. com cada uma referenciando o MAC de sua parceria. Disconnect Timeout: Valor em segundos acima do qual um cliente é considerado desconectado. Default = 3 segundos On Fail Retry Time: Intervalo de tempo após o qual é repetida a comunicação para um dispositivo wireless cuja comunicação tenha falhado. o WDS permite que se conectem em qualquer dos APs estações wireless .disabled: WDS desabilitado . Além da comunicação entre APs. Default: 100ms Update Stats Interval: Periodicidade de atualização estatísticas da interface.afeta clientes que não tenham capacidades de compressão A capacidade ou não de compressão de um dispositivo wireless pode ser vista em Interface wireless info print. . WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir custos diferentes para diversos trajetos.dynamic: Uma vez estabelecido o enlace. o estado desta é mudado para “unknown”. Ao invés disso. bastando indicar neste combo. um dispositivo perde o link. Tendo em vista que WDS pressupõe mesmo canal em todos os APs. os APs configurados em WDS podem fazer parte desta. os APs irão criar links com qualquer outro AP que esteja configurado na mesma freqüência. Por isso não se aconselha a colocar IPs em interfaces WDS dinâmicas. independente do SSID configurado nas mesmas. a rede WDS é criada automática e dinamicamente. WDS Ignore SSID: Uma vez habilitada essa opção. WDS Cost Range: Indicação da faixa de custos que serão empregados na rede Mesh.. . dando preferências a determinadas rotas de forma manual. fica incompatível o uso de DFS. utilize a default bridge para permitir que quando o link volte à interface. Quando em modo dinâmico. Quando o link volta esse estado não muda permanecendo “unknown”. WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add. a interface dinâmica desaparece e se há algum endereço IP configurado nessa interface. seja colocada automaticamente na Bridge. Default = No. Para WDS dinâmico é recomendável que todas as interfaces estejam sobre a mesma Bridge. dynamic-size: escolhe o melhor tamanho do quadro. Não é utilizado o metido CSMA/CA comum das redes Wi-fi.Guia – Nstreme Nstreme é um protocolo proprietário Mikrotik (não 802. . . desde que todos tenham nstreme habilitado (obviamente todos Mikrotik). . aumentando consequentemente a performance.11) que tem por objetivo estabelecer links de desempenho melhorado quando comparado ao padrão Wi-fi Normal. Framer Limit: Tamanho máximo do quadro. até que o limite estabelecido em framer-limit seja atingido. mesmo que seja necessário fragmentar. Framer Policy: Método utilizado para combinar pacotes em um quadro maior e com isso diminuir o overhead da comunicação. Não fragmenta pacotes. Destinado principalmente a links ponto-a-ponto. até que o limite estabelecido em framer-limit seja atingido.none: não combina os pacotes . Default = 3200 bytes .besti-fit: coloca o maior número de pacotes possíveis em um frame.exact-size: põe quantos pacotes for possível em um quadro. Enable Polling: No modo Polling as transmissões das estações são coordenadas pelo AP evitando as colisões por nó escondido. dinamicamente. mas podendo. ser utilizado em ambientes multiponto. também. Observação: A possibilidade de alterar a potência do cartão normalmente é utilizada para diminuir a potência nominal do mesmo e não aumentá-la .Card-rates: utiliza as velocidades próprias dos firmwares dos cartões .Guia – Tx Power Tx Power Mode: Interface utilizada para configurar a potência de transmissão – valores de 30dBm a 30dBm Default = 17dBm .Default: utiliza a potência default (17dBm) .Manual-table: permite a configuração de diversas potências em função da taxa de transmissão.All-rates-fixed: utiliza a mesma potência configurada em Tx Power para todas as velocidades. . . -Ack Timeout: Tempo de expiração do ACK em microssegundos. -Noise Floor: Piso de ruído em dBm. Esse valor é calculado com base nos pacotes Wireless que são retransmitidos no meio físico.Guia – Status Mostra informações sobre o status do AP -Band: Freqüência e modo de operação -Freqüência: Canal utilizado -Registered Clients: Clientes registrados -Authenticated Clients: Clientes autenticados -Overal Tx CCQ: Valor em porcentagem que mostra a eficiência da Banda de transmissão em relação à máxima banda teórica disponível no link. Quanto mais retransmissões. menos a eficiência. são dadas as opções: -VirtualAP: Cria interfaces virtuais (APs com nomes diferentes) na mesma interface física.Guia – Traffic Menu Wireless – Interfaces Ao clicar em adicionar interfaces.. etc. Os parâmetros de freqüência. modo de operação. canal. . serão herdados do AP principal. MAC Address: Dê o MAC que quiser para o novo AP -ARP -Enable/Disable: Habilita/Desabilita -Proxy-arp: passa seu MAC -Reply-only Observação: Demais configurações idênticas de uma AP -WDS: Cria uma interface WDS dando os parâmetros: . .Criando interfaces virtuais. podemos montar várias redes dando perfis de serviços diferentes. .Name: Nome da rede virtual . podendo esta inclusive ser uma interface virtual .MTU: Unidade de transferência máxima (bytes) . -Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas (uma antena para Tx (Transmissão) e outra para Rx (Recepção)).Master Interface: Interface sobre a qual funcionará o WDS.Name: Nome da rede WDS .WDS Address: endereço MAC que a interface terá. . também é controlada nos Access .. sem fragmentação -exact-size: pacotes são agrupados em frames.4Ghz para Tx e 5. . virtual ou real. Menu Wireless – Access List O Access List é utilizado pelo Access Point para restringir associações de clientes.Tx Rádio: especifica-se as interfaces de Tx. com fragmentação se necessário.Tx/Rx Band e Frequency: Especifica-se a Banda de Tx e Rx que podem inclusive ser de frquencias diferentes (2.Best-fit: pacotes são agrupados em frames.Rx Rádio: especifica-se as interfaces de Rx. Observação: Com Nstreme dual é possível escolher as velocidades de transmissão e recepção e ainda monitorar o status das conexões.8Ghz para Rx) . A comunicação entre clientes da mesma interface. Esta lista contém os endereços MAC de clientes e determina qual a ação deve ser tomada quando um cliente tenta conectar.Framer Policy: . não será utilizada criptografia e em modo estação usará se estiver setada a static-transmit-key.static-keys-optional: se existe uma chave privada estática de estação (static-staprivate-key). estando a estação no modo AP.dynamic keys: gera chaves dinâmicas .static-keys-required: criptografia todos os pacotes e somente aceita pacotes criptografados. . -Authentication Types . referenciando esse perfil. O processo de associação ocorre da seguinte forma: Um cliente tenta se associar a uma interface WlanX Seu MAC é procurado no Access List da interface WlanX Caso encontrada a ação especificada será tomada: Authentication marcado: deixa o cliente se autenticar Forwarding marcado. -Mode: Modo de operação . esta será utilizada.List. permite a comunicação entre clientes habilitados (intra bss) -Private Key: Chave de criptografia -40bit wep -128 bit wep -Aes-com Menu Wireless – Security Profiles Na tabela Security Profiles são definidos os perfis de segurança da parte Wireless que poder ser utilizados no RouterOS. -Name: Nome que aparecerá em outras telas. o cliente se comunica com outros -MAC Address: MAC a ser liberado -Interface: Interface Real ou Virtual onde será feito o controle -AP Tx Limit: Limite de tráfego do AP para o Cliente -Client Tx Limit: Limite de tráfego do Cliente para o AP (apenas se cliente Mikrotik) -Authentication: Habilitado. autentica os MACs declarados. -Forwarding: Habilitado. Caso contrário. WPA com AES ccm + SEGURANÇA .Evolução dos padrões de Segurança wireless .11i do IEEE . Exemplo: WPA EAP ao invés de WPA PSK .WPA2 (802.PSK (Pré Shared Key): chave compartilhada entre dois dispositivos.EAP: Extensive Authentication Protocol Observação: O AP irá divulgar todos os modos de autenticação marcados aqui e as estações escolherão o método considerando mais seguro.WPA2 (802.11i) com EAP . .WPA2: Método compatível com 802.11i) com PSK .WPA: Métido não padrão IEEE utilizado Durante algum tempo pela indústria para evitar problemas do WEP .WPA com MD5 -WEP com TKIP -WEP 128 bits . No-certificate: Certificados são negociados dinamicamente utilizando o algoritmo de Deffie-Helmman. que utiliza algoritimo AES. .Don’t-verify-certificate: exige o certificado.TLS Certificate: Habilita um certificado importado em /Certificates -Static Keys: Utilizado em caso de WEP .-Unicast Chipers .TLS Mode: .EAP: Extensive Authentication Protocol Observação: O AP irá divulgar todos os modos de autenticação marcados aqui e as estações escolherão o método considerando mais seguro.PSK (Pré Shared Key): chave compartilhada entre dois dispositivos.Verify-certificate: exige e verifica o certificado. .EAP/TLS: Utiliza um Certificado TLS (Transport Layer Certificate) .TKIP: Protocolo de integridade de chave Temporal. porém não o confere com uma entidade certificadora. Exemplo: WPA EAP ao invés de WPA PSK -Métodos EAP .AES CCM: Método de criptografia WPA mais seguro. .Passtrough: Repassa o pedido de autenticação para um Servidor Radius (esta opção somente é usada em APs) . . . Método utilizado durante algum tempo para contornar problemas da WEP (Proxim implementa como WEP Plus). . mikrotik. Valores sugeridos de Ack-Timeout .Referências: .http://wiki.com/wiki/ dos) digitando-se diretamente na interface.Mikrotik Wiki . 1/24 interface=ether1 1. Enabling wireless cards 1 and 2: [admin@MikroTik] > interface enable wlan1 [admin@MikroTik] > interface enable wlan2 1. Adding nstreme interface to the bridge: [admin@MikroTik] > interface bridge port add interface=nstreme1 bridge=bridge1 1.5. Setting wireless cards 1 and 2 to nstreme mode: [admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave [admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave 1.168. Adding ethernet interface to the bridge interface: [admin@MikroTik] > interface bridge port add interface=ether1 bridge=bridge1 1.6. search Here is a step-by-step explanation how to enable nstreme dual on a fresh installed MikroTik devices: I.4.3.Nstreme dual Step-by-Step From MikroTik Wiki Jump to: navigation. Creating bridge interface: [admin@MikroTik] > interface bridge add 1.8. MikroTik Device 1 1.7. Assigning IP address to the ethernet interface: [admin@MikroTik] > ip address add address=192.1. Checking the MAC address of the nstreme interface (in this example: 11:11:11:11:11:11): .2. Creating nstreme dual interface and setting Tx and Rx radios and frequencies: [admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2 rx-band=5ghz tx-band=5ghz rx-frequency=5180 tx-frequency=5300 1.1. 36Mbps.3.2.6. Enabling wireless cards 1 and 2: [admin@MikroTik] > interface enable wlan1 [admin@MikroTik] > interface enable wlan2 2.168.1.11Mbps ratesa/g=6Mbps.54Mbps framerpolicy=none framerlimit=2560 II. MikroTik Device 2 2.18Mbps. Setting wireless cards 1 and 2 to nstreme mode: [admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave [admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave 2.2Mbps.[admin@MikroTik] > interface wireless nstremedual print Flags: X disabled.24Mbps.48Mbps.8]): [admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2 rx-band=5ghz tx-band=5ghz rx-frequency=5300 tx-frequency=5180 remotemac=11:11:11:11:11:11 disabled=no 2.5.5Mbps.7.8. Checking the MAC address of the nstreme interface (in this example: 22:22:22:22:22:22): [admin@MikroTik] > interface wireless nstremedual print Flags: X disabled. Creating Nstreme dual interface and setting Tx and Rx radios and frequencies and setting the MAC address of the remote nstreme interface (in this example: 11:11:11:11:11:11 [step 1.1. Adding ethernet interface to the bridge interface: [admin@MikroTik] > interface bridge port add interface=ether1 bridge=bridge1 2. Assigning IP address to the ethernet interface: [admin@MikroTik] > ip address add address=192.5.12Mbps.2/24 interface=ether1 2.4. Adding nstreme interface to the bridge: [admin@MikroTik] > interface bridge port add interface=nstreme1 bridge=bridge1 2. Creating bridge interface: [admin@MikroTik] > interface bridge add 2.9Mbps. R running . R running 0 X name="nstreme1" mtu=1500 macaddress=11:11:11:11:11:11 arp=enabled disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=00:00:00:00:00:00 tx-band=5ghz tx-frequency=5300 rx-band=5ghz rx-frequency=5180 ratesb=1Mbps. 54Mbps framerpolicy=none framerlimit=2560 III.5.18Mbps.0 R name="nstreme1" mtu=1500 macaddress=22:22:22:22:22:22 arp=enabled disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=11:11:11:11:11:11 tx-band=5ghz tx-frequency=5180 rx-band=5ghz rx-frequency=5300 ratesb=1Mbps.2Mbps. MikroTik Device 1 1.48Mbps.24Mbps.5Mbps.12Mbps. Setting the MAC address of the remote nstreme interface (in this example: 22:22:22:22:22:22 [step 2.11Mbps ratesa/g=6Mbps.36Mbps.9Mbps.8]): [admin@MikroTik] > interface wireless nstreme-dual set nstreme1 remotemac=22:22:22:22:22:22 disabled=no .9. BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS DINÂMICO RÁDIO 1 Crie uma interface bridge Clique no menu Bridge Clique em adicionar para que uma nova interface bridge seja criada. . escolha wlan1 Em Bridge. escolha a bridge criada: wds-bridge Clique no botão OK . digite o nome da interface bridge (exemplo: wds-bridge) Clique no botão OK .Clique na guia Ports Será necessário adicionar as portas Ether1 e Wlan1 à bridge criada Clique em adicionar Em Interface. escolha ether1 Em Bridge.No campo Name. escolha a bridge criada: wds-bridge Clique no botão OK Clique novamente em adicionar Em Interface. . Para que haja comunicação entre os dois equipamentos. um roteador deve ser configurado como AP (station WDS) e o outro deve ser configurado como Station . Clique em adicionar . escolha a opção dynamic .No campo WDS Mode.CONFIGURAÇÃO DO AP (STATION WDS) . escolha a opção wlan1 . deve-se usar somente os canais de 3 a 6.No campo WDS Default Bridge.Escolha a opção WDS . configure os seguintes campos: .Clique no menu Wireless .Frequency: Escolha o canal 2427 (Canal 4) .Clique no botão OK .Em Master Interface.Radio name: Digite o nome do rádio . escolha a bridge criada (wds-bridge) .Mode: Escolha a opção station wds .Band: Escolha a banda 2Ghz – 10Mhz (para trabalhar em 900Mhz) .Clique no botão OK Obs: Para trabalhar com 900Mhz.Localize a guia WDS e clique nela .Dê um clique duplo na interface wlan1 Na guia Wireless. .SSID: digite um SSID .
Copyright © 2024 DOKUMEN.SITE Inc.