MTCWE Certificate

www.certificate.
ec
MikroTik Certified Wireless Engineer
(MTCWE)
2 www.certificate.ec
Entrenador
Ing. Tel. Anbal Enrquez Moncayo

Entrenador Mikrotik Y Ubiquiti
ww.certificate.ec 3
ww.certificate.ec 4
ww.certificate.ec 5
Objetivos del Curso:
Proporcionar el entrenamiento terico y practico
sobre RouterOS MikroTik en configuraciones
Inalmbricas Avanzadas para empresas de
pequeo, mediado y gran tamao
Introduccin a redes 802.11n
Al finalizar este curso usted estar en la
capacidad de planificar, implementar, ajustar y
depurar configuraciones de redes inalmbricas
con RouterOS MikroTik.
Temas de Informacin General
Visin general de estndares inalmbricos
Herramientas inalmbricas
Solucin de problemas de clientes
inalmbricos
Configuracin inalmbrica avanzada
DFS y regulacin por pases
Data rate y TX power
Virtual AP
Temas de Informacin General
Medidas de Seguridad Inalambrica
Access List y Connect List
Management Frame Protection
RADIUS MAC Authentication
Encriptacin
Wireless WDS y MESH
Wireless Transparent Bridge
WDS
VPLS / MPLS Transparent Bridge
Wireless Nstreme Protocol
802.11n
Presentacin:
Por favor presentemos ante la clase
NOMBRE
COMPAA
CONOCIMIENTOS PREVIOS DE ROUTEROS
CONOCIMIENTOS PREVIOS SOBRE REDES
CUAL ES TU ESPECTATIVAS DEL CURSO
POR FAVOR RECUERDE EL NUMERO CON EL QUE
VA A TRABAJAR DURANTE TODO ESTE CURSO
MI NUMERO ES _____
Configuracin de laboratorio Inicial
Crear una red Ethernet 192.168.XY.0/24 entre su
porttil (1) y el router (254)
Conectar al Router al AP SSID MTCWE
Asignar la direccin 10.1.1.XX a la WLAN 1
Configura el DW y DNS 10.1.1.254
Obtener acceso al internet desde su porttil a
travs de su router local
Crea un nuevo usuario a su router y elimine el
usario admin
Configure en System Identity en su router y en Radio
Name Su nmero_Su nombre Ejemplo: 0_Manuel
Actualice su router a la ultima versin de MikroTik
RouterOS disponible en www.mikrotik.com
Actualice su versin de winbox a la ultima versin
disponible en www.mikrotik.com
Configure el NTP cliente. Utilice pool.ntp.org como
servidor NTP
Cree un backup de esta configuracin y guarde un
respaldo en su computadora (esta ser la configuracin
por defecto)
Revisin de configuraciones
Todos deben estar en la lista de registro
principal del AP
Wireless Standards
802.11b 11Mbps, 2.4Ghz
802.11g 54Mbps, 2.4Ghz
802.11a 54Mbps, 5Ghz
802.11n 300Mbps, 2.4/5Ghz
Bandas Wireless
2Ghz
B, B/G, Only-G, G-Turbo, Only-N, B/G/N,
5mhz, 10mhz
5Ghz
A, A-Turbo, Only-N, A/N, 5mhz, 10mhz
Bandas Soportadas por Chipsets
AR5213/AR5414
A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz
AR5416/AR9160/AR9220
A/B/G/N, 5Mhz*, 10Mhz*
*not fully supported
Frecuencias Soportadas
A/B/G Atheros chipset cards usually
support such frequencies
2Ghz band: 2192-2539Mhz
N Atheros chipset cards usually support
such frequencies
Lista de Scan
Frecuencias por defecto del Scan List, se muestran con
negrita en el campo de frecuencias (nicamente en
WinBox)
Valores por defecto en el Scan List por pas son
mostrados como default
Rango de frecuencias se especifica por un guin medio
5500-5700
Frecuencas exactas se especifica con una coma
5500,5520,5540
Opciones mixtas tambin son posible
5520,5540,5600-5700
Herramientas Wireless para
encontrar la mejor
banda/frecuencia
www.certificate.ec 19
Herramientas Wireless
Scan
Frequency Usage
Spectral Scan/History
Snooper
Align
Sniffer
Scan y Frequency Usage
Ambas herramientas utilizan el Scan-List

La interface es deshabilitada durante el uso de estas
herramientas
Scan muestra todos los AP basados en 802.11
Frequency usage muestra el trafico de cada 802.11
Spectral Scan/History
Herramienta unicamente usada con Atheros

Merlin 802.11n chipset wireless cards
Rango
2ghz, 5ghz, current-channel, range
Valores
avg, avg-peak, interference, max, min
Classify-samples
wifi, bluetooth, microwave-oven, etc
Historia - Espectral
Se dibuja el espectrograma
Diferentes valores de potencia es mostrado
de diferentes colores
Opcin Audible: cada lnea nos dara
diferentes solidos en el routerboard
Cada lnea se desplaza de izquierda a derecha,
con frecuencias ms altas que corresponden a
una mayor valores en el espectrograma
Historia - Espectral
Escaneo - Espectral
Seguimiento continuo de los datos espectrales
Cada lnea nos muetra un cubo del
espectrograma.
Frecuencia
Valor numrico de potencia media
Barra de caracteres grfico
Valor de potencia media :
Muestra Opciones de Interferencia.
Escaneo - Espectral
Herramienta Wireless Snooper
Herramienta Alignment
Wireless Sniffer
Laboratorio de Herramientas Wireless
Activar su router como AP en una frecuencia de

2.4 GHz
Utilizando las Herramiente Wireless compruebe
la frecuencia menos ocupada.
Uso del DFS para Seleccin
Automtica de Frecuencia
DFS
Dynamic Frequency Selection (DFS)
no radar detect en el arranque el AP escanea la
lista de canales del scan-list y elige la frecuencia
que es la menor cantidad con otras redes
detectado
radar detect Aade la capacidad de detectar el
radar en el arranque durante 60 segundos y
evitar los cambios de frecuencia.
Segn la mayora de las regulaciones del pas DFS
se debe establecer en "radar detectar"
Laboratorio DFS
Habilitar la AP en 5180 Mhz de frecuencia
Activar el modo de DFS para "no radar detect"
Deshabilite la interfaz inalmbrica del AP por
unos segundos y habilite de nuevo
Observe los saltos de frecuencia
Regulacin Wireless por Pas
Frequency mode regulatory
domain
- Restringe el uso nicamente a los
canales permitidos con potencias
de transmisin permitidas
manual txpower -
- Ignora las restricciones de
transmisin de potencia pero
aplica las limitaciones de
frecuencias
superchannel
- Ignora todas las restricciones
Analizando la tabla de registro para
solucin de problemas de la
conexiones inalmbrica
Solucin de problemas del cliente
Wireless
ACK-timeout
CCQ
TX/RX Signal Strength
Frames vs. HW-frames
Data-rate jumping
Tabla de Registracin
CCQ Client Connection Quality
Valor en porcentaje que muestra el grado de
eficacia se utiliza el ancho de banda con respecto
al ancho de banda mximo terico disponible
Promedio ponderado de los valores Tmin / Treal
calculado para cada trama transmitida
Tmin es el tiempo que se necesitara para transmitir
una trama dada a la tasa ms alta sin reintentos
Treal es tiempo que se tard en transmitir marco en la
vida real
Frames vs. HW-frames
Retransmisin inalmbrica es cuando la tarjeta
enva una frame (trama) y no recibe de vuelta el
acuse de recibo (ACK), usted enva el frame una
vez ms hasta que regrese el reconocimiento
Si el valor hw-frame es ms grande que el valor
de frame entonces significa que el enlace
inalmbrico est haciendo retransmisiones
En caso de Nstreme usted no puede comparar los
frames con hw-frames
Uso de la configuracin avanzada
para la solucin de problemas y
puesta a punto de la conexin
inalmbrica
Wireless Advanced Settings
Advanced Wireless Tab settings
HW-retries
HW-protection
RTS/CTS
CTS to self
Adaptive-noise-immunity
Configuration Reset
WMM
Advanced Wireless Tab
Advanced Wireless Tab
rea - cadena descrita por el AP, usada en los
clientes del Connect-list para la eleccin del
AP por el area-prefix
Ack-timeout - tiempo de espera de acuse de
recibo en us; dinamic" por defecto
Periodic-calibration para asegurar el
rendimiento del chipset sobre temperatura y
cambios ambientales
Hide-ssid - ocultar SSID
Reintentos-HW
Nmero de intentos de envi de frames hasta
que la transmisin se considere fallida
Date rate es decrementado en caso de fallo
Pero si esta en un tasa mas baja, 3 fallas
consecutivas activan on-fail-retry-time (tiempo
de reintento en falla) la transmisin se para y se
resetea el contador
El frame esta siendo retrasmitido, ya sea hasta
que sea exitoso o hasta que el cliente se
desconecte
Disconected-timeout realizado
HW-protection
Proteccin Frame ayuda a combatir el problema
de "nodo oculto
CTS/RTS proteccin
CTS to self proteccin
hw-protection-threshold umbral de tamao de la
trama en el que se debe usar proteccin 0 usado
para todas las tramas
Proteccin Basada en RTS/CTS
Proteccin Basada en RTS/CTS
Dispositivos dispuestos a enviar frame y primero
enviar RequestToSend frame (trama de
Requerimiento para envio) y esperar por
ClearToSend frame (trama Limpio para enviar)
desde el destino previsto
Para "ver" RTS o CTS frame en dispositivos compatibles 802,11
saben que alguien est a punto de transmitir y, por tanto, no
inician la transmisin a s mismos
Protection Basada en CTS to self
Proteccin basada en"CTS to self
Dispositivos dispuestos a enviar frame envia trama
CTS a si mismo
Al igual que en el protocolo RTS / CTS cada
dispositvo compatible 802.11 con la recepcin de
este frame no sabe transmitir
Proteccion basada en "CTS to self tiene menos
sobrecarga, pero debe tenerse en cuenta que
esto slo protege contra los dispositivos que
reciben trama CTS
CTS to self o RTS/CTS
Si hay 2 estaciones "ocultas", no sirve de nada para que
utilicen proteccin "CTS to self", porque no van a
poder recibir CTS enviado por otra estacin - en este
caso las estaciones deben utilizar RTS / CTS para que
otras estaciones sepan la no transmisin al ver CTS
transmitido por AP
Use nicamente una proteccin
Umbral de fragmentacin HW
Tamao mximo del fragmento en bytes cuando transmite
a travs de un medio inalmbrico
La fragmentacin permite que los paquetes sean
fragmentados antes de ser transmitidos en un medio
inalmbrico para aumentar la probabilidad de una
transmisin con xito
nicamente fragmentos que no son transmitidos de forma
correcta son retransmitidos
La transmisin de paquete fragmentado es menos eficiente
que la transmisin del paquete no fragmentado debido a la
sobrecarga del protocolo y un mayor uso de recursos en
ambos - transmisora y la parte receptora
Adaptive-noise-immunity
(Inmunidad adaptable al ruido)
Ajusta diversos parmetros del receptor
dinmicamente para minimizar el efecto de
interferencia y ruido en la calidad de la seal
Funciona en Atheros 5212 o ms reciente chipset
Atheros
Utiliza la potencia de la CPU
3 opciones
None deshabilitado
Client-mode slo se activar si la estacin o
estaciones-wds utilizan
Ap-and-client-mode se habilitar en cualquier modo
Wireless Configuration reset
Reseteo de configuraciones Wireless
A veces, despus de
reconfigurar la
configuracin avanzada es
posible que desee volver a
la configuracin
predeterminada
Utilizando la opcin
"Reset Configuration" -
restablece los valores por
defecto de las tarjetas
inalmbricas
Wireless MultiMedia (WMM)
4 colas que transmiten con prioridad:
1,2 background (suelo, piso)
0,3 best effort (mejor esfuerzo)
4,5 video (video)
6,7 voice (voz)
Prioridades establecidas por
Bridge o IP Firewall
Ingreso de (VLAN o WMM)?
DSCP
Modificando data rates y tx-power
para establecer conexiones Wireless
Los rates bsicos y soportados
Rates soportados data rate
del cliente
Rates bsicos data rate de
gestin de enlaces
Si el router no puede enviar o
recibir datos a rate bsico el
enlace se cae
Data rate (cambiando opciones)
Baje los mximos "data-rate" soportados en el
cliente que tienen problemas de estabilidad
Baje los mximos "data-rate" soportados en el AP
si la mayora de los clientes tienen problemas
cuando se ejecutan en el data-rate nmas alto
No se recomienda desactivar data-rate bajos y
dejar slo data-rate altos activados, esto podra
producir desconexin de enlaces mas a menudo
Tenga en cuenta que el AP y el cliente debe
soportar los mismos data-rate bsicos para
establecer la conexin inalmbrica
TX power
Diferente TX-power para
cada data-rate. Mayor
data rate, menor potencia
Desactivar data-rate altos
podra mejorar la seal,
ya que utiliza mayor tx-
power en data-rate mas
bajos
Modo TX-power
Default - utiliza valores de tx-power desde las
tarjetas eeeprom
Card-rates usa tx-power, que para los diferentes
rates se calcula acorde a los algoritmos de
transmisin potencia de las tarjetas, como
argumento toma el valor de TX-power
All-rates-fixed usa un valor de TX-power para
todos los rates
Manual-table usa el TX-power que es definido
en /interface wireless manual-tx-power-table
Laboratorio de Data Rates
Configure un AP para permitir data rates de hasta 24
Mbps de velocidad de datos y probar el mximo
rendimiento
Configure un AP para permitir slo un data rates de 54
Mbps y comprobar el mximo mximo y revisar qu
tan estable es la conexin
Uso de la funcin de AP virtual para
crear mltiples puntos de acceso
Virtual AP
Se usa para crear un nuevo AP (virtual) sobre una
misma tarjeta inalmbrica fsica
Trabaja sobre AR5212 y nuevas versions de
Atheros Chipset cards
Hasta 128 AP virtual por tarjeta inalmbrica
Utiliza diferentes direcciones MAC y puede ser
cambiadas
Puede tener diferentes SSID, perfil de seguridad,
Access / Connect-lista, opciones de WDS
Virtual AP Setup
Laboratorio de Virtual AP
Trabajar en parejas
Conecte ambos router usando un cable Ethernet
Primer router
Cree 2 interfaces VLANs en la Ethernet
Cree 2 Hotspots uno en cada VLAN
Para un Hotspot cambie el color de fondo de la paguina Login
add background-color: #A9F5A9; in the body line in the login.html page
Segundo router
Cree 2 interfaces VLANs en la Ethernet con el VLAN ID del primer router
Cree 2 Virtual AP con diferentes SSID
Bridge de la primera VLAN con el primer Virtual AP
Cree un segundo bridge con la segunda VLAN y el Segundo Virtual AP
Conectese a cada Virtual AP y revise si las paguinas de login del Hotspot
son diferentes
Resetee las Configuraciones.
Gestin de acceso de clientes al
AP usando Access-List y Connect-
List
Administracin de Acceso
default-forwarding (en AP) define si los clientes
inalmbricos pueden comunicarse directamente
entre s (listas de acceso puede sustituir este
valor para clientes individuales)
default-authentication poltica de autenticacin
predeterminada que se aplica a todos los clientes
que no se mencionan en AP's access list o client's
connect list
Ambas opciones son obsoletas - misma
funcionalidad se puede lograr con la nueva
connect list y caractersticas de access list
Wireless Access/Connect Lists
Access List es un filtro de autenticacin de AP
Connect List es un filtro de autenticacin de Clientes
Las listas de entrada son ordenadas al igual que en el
firewall - cada solicitud de autenticacin tendr que
pasar desde la primera entrada hasta que llegue a ser
autenticada
Puede haber varias entradas para la misma direccin
MAC y una entrada para todas las direcciones MAC
Las entradas pueden ser por interfaz inalmbrica
especfica o global para el router
Wireless Access List
Es posible especificar poltica de autenticacin para
niveles de potencia de la seal especfica
Ejemplo: permite a los clientes conectarse con un buen
nivel de seal o no conectar o conectar a todos
Es posible especificar poltica de autenticacin para
perodos de tiempo especficos
Ejemplo: permite a los clientes conectarse slo los fines de
semana
Es posible especificar la poltica de autenticacin para
las claves de seguridad especficas:
Ejemplo: permiten a los clientes slo con clave de
seguridad especfica para conectarse al AP.
Wireless Access List
Wireless Connect List
Usado para permitir/denegar aceeso basado en:
SSID
MAC address of the AP
Area Prefix of the AP
Signal Strength Range
Security Profile
Es posible dar prioridad a un AP sobre otro AP
cambiando el orden de las entradas
Connect list - se utiliza tambin para enlaces
WDS,cuando un AP se conecta a otro AP
Wireless Connect List
Laboratorio de Access/Connect List
Trabaje con otro grupo para tener 2 APs y 2
clientes por grupo
Dejar default-forwarding, defaultauthentication
habilitado
En APs
Asegurar que slo los clientes de su grupo y con

intensidad de la seal entre -70120 sean capaces
de conectarse
(Avanzado) Pruebe ajustes de la hora
Laboratorio de Access/Connect List
En CLIENTES:
Asegrese de que su cliente se conectar slo a sus
APs
Trate de priorizar un AP sobre otro
Cuando los APs tienen el mismo SSID
Cuando los APs tienen diferente SSID
Borre todas las Acces List y Connect List reglas.
Cambie de Lugar y repitan el Laboratorio
Centralizado Access List
Gestin RADIUS
RADIUS Autenticacin por MAC
Opcin para centralizacin remota de RADIUS
MAC antenticacin y contabilizacin
Posibilidad de uso de la funcin de radius-
incoming para desconectar especfica direccin
MAC del AP
MAC mode usuario o usuario y contrasea
MAC Caching Time el tiempo que una
atenticacin RADIUS espera por una MAC address
para ser considerada valida para ser almacenada
http://es.wikipedia.org/wiki/Protocolo_AAA
RADIUS Autenticacin por MAC
Configuracin de RADIUS Cliente
Crear un cliente RADIUS
en el men 'Radius
Especifique el servicio, la
direccin IP del servidor
RADIUS y Secret
Use Status section
para monitorear el
estado de la conexin
La seguridad inalmbrica para
proteger la conexin inalmbrica
Seguridad Wireless
Authentication
PSK Authentication
EAP Authentication
Encryption
AES
TKIP
WEP
EAP RADIUS Security
Principales Seguridades
Autenticacin - asegura la aceptacin de las
transmisiones slo de una fuente confirmada
Data encryption (cifrado de datos)
Confidencialidad - asegura que la informacin es
accesible slo para aquellos autorizados a tener
acceso
Integridad - asegura que la informacin no se
cambia por otra fuente y es exactamente lo
mismo que fue enviado
PSK Autenticacin
Pre-Shared Key es un mecanismo de
autenticacin que utiliza un secreto que fue
compartido previamente entre las dos partes
La mayora de las seguridades inalmbricas
usan este tipo
Mltiples tipos de autenticacin para un perfil
Clave PSK opcional para cada direccin MAC
(utilizando la lista de acceso)
EAP Autenticacin
Extensible Authentication Protocol
proporciona una negociacin del mecanismo
de autenticacin deseada (a.k.a mtodos EAP)
Existen sobre los 40 diferentes metodos EAP
RouterOS soporta el mtodo EAP-TLS y
tambin es capaz de pasar todos los mtodos
en el servidor RADIUS
AES-CCM
AES-CCM AES con CTR con CBC-MAC
AES - Advanced Encryption Standard es un
cifrado de bloques que funciona con un
tamao fijo de bloque de 128 bits y un
tamao de clave de 128, 192 o 256 bits
CTR - Contador genera el siguiente bloque del
flujo de clave mediante la encriptacin de los
valores sucesivos de un "contador"
AES-CCM
CBC - Cipher Block Chaining cada bloque de
texto plano es XOR con el bloque de texto
cifrado anterior antes de ser encriptado. De
esta manera, cada bloque de texto cifrado
depende de todos los bloques de texto claro
procesados hasta ese punto.
MAC - Message Authentication Code permite
detectar cualquier cambio en el contenido del
mensaje
TKIP
Temporal Key Integrity Protocol es un
protocolo de seguridad que se utiliza en las
redes wireless IEEE 802.11
TKIP es la evolucin de WEP basado en RC4 de
cifrado de flujo
A diferencia de WEP proporciona:
Mezcla de claves por paquete,
Verificacin de la integridad del mensaje,
Mecanismos de cambio de claves
WEP (obsoleto)
Wired Equivalent Privacy es una de las
primeros y simples tipos de seguridad
No tiene mtodo de autenticacin
No recomendado, ya que es vulnerable a las
herramientas de hacking inalmbrico
WEP (obsoleto)
Pre-Shared Key (PSK)
Para hacer PSK
Use modo Dynamic Keys
Habilitar tipo de autenticacin WPAx-PSK
Especifique Unicast y Grupo cifrados (AES, CCM,
TKIP)
Especificar WPAx-Pre-Shared Key
Las claves generadas sobre la asociacin de
PSK se utilizan en sistemas de cifrado como
clave de entrada
Pre-Shared Key (PSK)
Unicast Cipher (Cifrado)
En el AP y en la estacin por lo menos un
sistema de cifrado de unidifusin debe
coincidir para hacer la conexin inalmbrica
entre 2 dispositivos
Group Cipher (Grupo de Cifrado)
Para el AP
Si del grupo de cifrado del AP puede ser AES y TKIP lo
mas recomendable es AES por ser mas fuerte
Se aconseja elegir slo un grupo de cifrado en el AP
Para la Estacin
Si en la estacin se utilizan ambos sistemas de cifrado
de grupo, significa que se conectar al AP que soporte
cualquiera de estos sistemas de cifrado
EAP RADIUS Security
Para hacer que la autenticacin de transferencia
EAP
Habilitar tipo de autenticacin WPAx-EAP
Habilitar autenticacin MAC
Establecer Mtodo EAP para passthrough
Habilitar cliente RADIUS
Para realizar la autenticacin EAP-TLS
Habilitar tipo de autenticacin WPAx-EAP
Configure la opcin TLS si va a usar el certificado
Importar certificado y descifrar
EAP RADIUS Security
Wireless Security Lab
Realizar un enlace wireless con sus
compaeros usando WPA-PSK:
Crear un perfil de seguridad y utilizar la misma
pre-shared key para establecer una conexin
inalmbrica con el router del compaero.
El el AP adicionar una lista de acceso de
entrada con las MAC address de los
compaeros y especificar diferentes PSK key,
preguntar a los compaeros para conectarse
nuevamente.
Proteccin a los clientes inalmbricos
de deauthentication y ataques de
clonacin de MAC
Management Frame Protection
RouterOS implementa un algoritmo de gestin
propio de proteccin de frame basado en un
secreto compartido
Dispositivos inalmbricos RouterOS son capaces
de comprobar la fuente de gestin del frame y
confirmar que ese frame en particular no es
malicioso
Permite soportar ataques desautentificacin y
disociacin basado en dispositivos inalmbricos
RouterOS
Configuracin de Management
Protection
Configuracin en security-profile
Deshabilitado: management protection esta deshabilitado
Permitir: usar management protection si es soportado por la
parte remota
Para AP- permitir conectarse a ambos: no management protection y
management protection clientes
Para Clientes- Se conectar a ambos: no management protection y
management protection Aps
Requerido: establecer asociasion nicamente con dispositivos
remotos que soporten management protection
Para AP- aceptar nicamente clientes que soporten management
protection
Para Clientes- conectar nicamente a APs que soportan management
protection
Management Protection key
Configurar con parmetros en securityprofile
management-protectionkey
Cuando interfaz est en modo AP, clave por
defecto management protection" pueden ser
anulados por clave especificada en "access-
list" o atributos de RADIUS.
Management Protection Lab
Trabajar en grupos de 3 personas
Una persona crea un AP
Los otros dos se conectan a ese AP
Uno de los 2 clientes clona la direccin MAC del otro
cliente
Revisar conectividad de los 2 clientes hacia el AP
Establecer un requerimiento de management
protection y especificar una clave en el AP y el cliente
original
Compruebe la conexin del cliente - original y (o)
clonado
Wireless WDS y MESH
Wireless WDS y MESH
WDS
Dynamic WDS Interface
Static WDS Interface
RSTP Bridge
HWMP+ MESH
Reactive mode
Proactive mode
Portals
WDS Wireless Distribution System
WDS permite crear una cobertura personalizada
inalmbrica usando mltiples puntos de acceso lo
que es imposible hacerlo slo con un AP
WDS permite que los paquetes pasan de un AP a
otro, como si los puntos de acceso fueron los
puertos en un switch Ethernet cableado
APs deben usar la misma banda, el mismo SSID y
operar en la misma frecuencia con el fin de
conectar el uno al otro
Wireless Distribution System
Un AP en modo (bridge/ap-bridge mode) puede tener
enlaces WDS con:
Otro AP en modo bridge/ap-bridge
Otro AP en modo wds-slave (frequencia de adaptacin)
Client en modo station-wds
Se tiene que deshabilitar el parametro DFS (Dynamic
Frecuency Selection) si se tiene mas de un AP en modo
bridge/ap-bridge en su red WDS
Implementacin de WDS podra ser diferente para cada
fabricante, esto significa que no todos los modos WDS
de varios fabricantes puedan ser compatibles.
Configuracin WDS
Existen 4 diferentes modos de operacin WDS
Dynamic - interfaces de WDS se crean de forma
automtica tan pronto como se encuentre otro dispositivo
compatible con WDS
Static interfaces WDS tienen que ser creadas
manualmente
Dynamic mesh es el mismo funcionamiento que el modo
dynamic, pero con soporte HWMP+ (no compatible con
modos dinmicos de otros fabricantes)
Static mesh es el mismo funcionamiento que el modo
static, pero con soporte HWMP+ (no compatible con
modos static de otros fabricantes)
Configuracin WDS
WDS Default Cost costo
por defecto en el puerto
bridge del enlace WDS
WDS Cost Range margen
del costo que puede ser
ajustado en fucin del
rendimiento del enlace
WDS Ignore SSID si
desea crear enlaces WDS
con cualquier otro AP en
esta frecuencia
Dynamic WDS Interface
Se crea on the fly' y aparece en el men de
WDS como una interfaz dinmica (flag 'D')
Cuando un enlace con una interface dinmica
WDS se cae, direcciones IP conectados se
deslicen fuera de la interfaz WDS y la interfaz
se deslicen del bridge
Specifque parametros wds-default-bridge y
agregue direcciones IP al bridge
Require la direccin MAC destino y
parametros de interface master para ser
configurados manualmente
Interfaces de WDS estticas nunca
desaparecen, a menos que se deshabiliten o
se eliminen
WDS-default-bridge se debe cambiar a none
Point-to-point WDS link
Single Band Mesh
Dual Band Mesh
WDS Mesh y Bridge
WDS Mesh no es possible sin bridging
Para crear un WDS mesh todas las interface WDS
de cada router tienen que estar bridged juntas, y
con interfaces donde se conectarn los clientes
Para prevenir posibles loops poder habilitar
enlaces redundantes es necesario el uso de
(Rapid) Spanning Tree Protocol ((R)STP)
RSTP trabaja mas rpido cuando existe un cambio
de topologa que STP, pero ambos tienen la
misma funcionalidad virtual
(Rapid) Spanning Tree Protocol
(R)STP elimina la posibilidad de que la misma
direccin MAC pueda ser vista en multiples
puertos de un bridge, mediante la desactivacin
de puertos secundarios a esa direccin MAC
Primero (R)STP eligir un root bridge basado en bridge
ID mas pequeo
Entonces (R)STP usar breadth-first search algorithm
teniendo el root bridge como punto de partida
Si el algoritmo llega a la direccin MAC por la primera vez -
deja el enlace activo
Si el algoritmo llega a la direccin MAC por segunda vez -
que desactiva el enlace
(R)STP in Action
(R)STP Topology
(R)STP Bridge Port Roles
Disabled port para puertos de bucles
Root port una ruta hacia el root bridge
Alternative port backup root port
(nicamente en RSTP)
Designated port puerto de paso (reenvo)
Backup port backup designated port
(nicamente en RSTP)
Admin MAC Address
MAC address para un
interface bridge es tomada
de uno de los puertos del
bridge
Si los puertos cambian -
direccin MAC del bridge
tambin podra cambiar
Admin MAC option
permite usar una direccin
MAC esttica para el
bridge
Configuracin RSTP
Router con la
prioridad ms baja
en la red va a ser
elegido como Root
Bridge
Configuracin de puertos RSTP
Cost - permite elegir
una ruta sobre otra
Priority - si los costos
son los mismos que se
utiliza para elegir
puerto designado
Horizon - funcin que
se utiliza para MPLS
Do not forward packet to
the same label ports
Configuracin de puertos RSTP
Existen 3 opciones que nos permiten
optimizar el rendimiento de RSTP
Edge Port - indica si este puerto est conectado a
otro(s) bridge
Point-to-point - indica si este puerto est
conectado slo a un dispositivo de red (WDS,
Wireless in bridge mode)
External-fdb permitir utilizar tablas de registro
en lugar de base de datos de reenvo (slo AP)
Layer-2 routing for Mesh networks
MikroTik ofrece alternativas para RSTP - HWMP+
HWMP+ es un especifico protocol de ruteo de
Layer 2 de MikroTik para redes Wireless Mesh
El protocolo HWMP+ es basado pero no es
compatible con Hybrid Wireless Mesh Protocol
(HWMP) de los estandares IEEE 802.11s
HWMP+ trabaja nicamente con:
wds-mode=static-mesh
wds-mode=dynamic-mesh
HWMP+
Para configurar HWMP+ use la configuracin del
menu /interface mesh, es muy similar a la
configuracin de un bridge
HWMP+ proporciona un enrutamiento ptimo
basado en funciones de metricas de enlace
Para los enlaces Ethernet las mtricas puende
configurar estticamente
Por enlaces WDS la mtrica se actualiza
dinmicamente en funcin de la fuerza de la seal
inalmbrica y la velocidad de transferencia de datos
seleccionado
Reactive Mode Discover
Todos las
trayectorias son
descubiertos bajo
demanda, por
requerimiento de
trayectoria por
inundacin (PREQ)
mensage en la red
Reactive Mode Discover
El nodo de destino o
algn router que
tiene una ruta hacia
el destino le
responder con una
respuesta de
trayectoria (PREP)
Proactive Mode
En proactive mode algunos routers se
configuran como portals router tienen
interfaces a alguna otra red, por ejemplo,
punto de entrada o salida de una Network
Mesh
Lo mas adecuado es cuando la mayor cantidad
de trafico pasa entre nodos internos de la
Network Mesh y pocos Portal Nodes
Proactive Mode Announcement
(Anuncio)
Los portales
anunciarn su
presencia por
mensaje de Aviso
inundaciones Root
(RAAN) en la red.
Proactive Mode Response
(Respuesta)
Los nodos internos
respondern con un
Path Registration
(PREG) message
Resultado rboles
de enrutamiento
con races en los
routers de portal
Portals (Portales)
Rutas a portales servirn como una especie de
rutas por defecto
Si un router interno no sabe una ruta a un destino
en particular, pedir todos los datos a su portal
ms cercano - el portal luego de descubrir la
trayectoria enviar los datos, si es necesario. Los
datos despus fluir a travs del portal
Esto puede conducir a enrutamiento subptimo,
a menos que los datos se dirigan al propio portal
o alguna red externa.
Mesh configuration settings
Reoptimize paths enva mensajes PREQ
peridicos pidiendo direcciones MAC
conocidas
Si no se recibe respuesta a una PREQ
reoptimization, la ruta existente se mantiene de
todos modos (hasta que los tiempos de espera
terminen)
Mejor para el modo proactivo y de las mobile
mesh networks
Laboratorio WDS/MESH
Configure su interface Wireless como AP con el mismo
SSID del AP del professor
Habilitar el modo Esttico WDS mesh
Crear un WDS link con el AP del professor
Configure el MESH agregar WDS a el mesh port
Use MESH traceroute para revisar las trayectorias a sus
compaeros
Crear WDS link con sus compaeros y adicionar el
mesh port
Revisar nuevamente el MESH traceroute hacia sus
compaeros
Bridge Transparente Wireless
Wireless Transparent Bridge
Bridging (puente) de clientes Ethernet
mediante WDS
Bridging (puente) utilizando AP-Station WDS
Modo Pseudobridge con y sin clonacin de
MAC
Bridging (puente ) de clientes Wireless usando
WDS
Bridging de Clientes Ethernet
AP-Station WDS Link
Station-WDS
Configure en modo
station-wds
WDS-mode debe ser
disabled en la
tarjeta Wireless
Cliente Wireless en
modo Station-WDS
puede estar en un
bridged
Pseudobridge mode
Usa MAC-NAT MAC Address Translation para todo el
trafico
Inspecciona paquetes y genera tablas de correspondencia
entre Direcciones IP y Direcciones MAC (Tablas ARP)
Todos los paquetes se envan a AP con la direccin MAC
utilizada por el pseudobridge, y las direcciones MAC de los
paquetes recibidos se restauran a partir de la tabla de
traduccin de direcciones
Una sola entrada en el address translation table para todos
los no-IP-packtes si existe mas de un host en el bridge
puede representar problemas (ejemplo: clients pppoe)
IPv6 no trabaja sobre Pseudobridge
Pseudobridge Clone mode
station-bridge-clone-mac usa esta Direccin
MAC cuando se conecta al AP, si el valor es
00:00:00:00:00:00, la estacin inicialmente
usar la direccin MAC de la interface
Wireless
Tan pronto como paquete con la direccin
MAC de otro dispositivo necesita ser
transmitida, la estacin volver a conectarse al
AP usando esa direccin
Bridging de Clientes Wireless
Laboratorio de Bridging Transparente
Crear un Bridge Traparente entre usted y un
compaero
Pruebe estos mtodos
WDS
Pseudobridge mode
Pseudobridge mode with MAC cloning
Compruebe la comunicacin entre los PCs
detrs de cada router
Protocolo Wireless Nstreme
MikroTik Nstreme
Nstreme es propietario de MikroTik's
(incompatible con otros fabricantes) protocolo
wireless creado para mejorar enlaces wireless
point-to-point y point-to-multipoint.
Protocolo Nstreme
Beneficios del Protocolo Nstream
Cliente Polling (consulta constate a los clientes)
Desactiva CSMA
No hay lmites en el protocolo sobre la distancia de
enlace
Overhead: Es el desperdicio de ancho de banda,
causado por la informacin adicional (de control, de
secuencia, etc.)
Protocolo con muy pequeo overhead por trama lo
cual permite tener grandes data-rates
No hay degradacin de la velocidad del enlace para
largas distancias
Protocolo Nstreme: Frames
framer-limit mximo tamao de frame
framer-policy el mtodo como combiner
frames. Existen algunos mtodos para hacer
framing:
none no combina paquetes
best-fit - pone tanto paquetes como sea posible en un
frame, hasta que se llega al lmite, pero los paquete
no se fragmentan
exact-size - similar que best-fit, incluso si se necesita
fragmentacin tiene major rendimiento
dynamic-size elije el major tamao de frame de
forma dinmica
Laboratorio Nstreme
Realice un enlace punto a punto con su
compaero
Habilite Nstream y revise el rendimiento del
enlace con diferentes framer police
Protocolo Wireless Nstreme Dual
Protocolo Nstreme Dual
Propietario de MikroTik (es decir, incompatibles
con otras marcas) protocolo inalmbrico que
funciona con un par de tarjetas de red
inalmbricas (tarjetas de chipset Atheros
solamente) - uno de transmisin, uno de
recepcin
Nstreme Dual Interface
Ajuste ambas tarjetas
inalmbricas en modo
"nstreme_dual_slave
Crear Nstreme dual
interface
Remote MAC:
Especifique la direccin
MAC remota
Use framer policy
solamente si es
necesario
802.11n
802.11n
MIMO
802.11n Data Rates
Channel bonding (unin de canales)
Frame Aggregation
Configuraciones de la Wireless card
TX-power para N cards
Bridge Transparente para enlaces N
Tuneles MPLS/VPLS
Caractersticas de 802.11n
Increamenta el data rates sobre los
300Mbps
20Mhz y 2x20Mhz canales soportados
Trabaja en 2.4 y 5ghz
Usa multiples antenas para recibir y transmitir
Frame aggregation
MIMO
MIMO Multiple Input and Multiple Output
SDM Spatial Division Multiplexing
(Multiplexacin por divisin espacial)
Multiple flujos espaciales a traves de multiples
antenas
Configuracin de multiples antenas para
transmitir y recibir
1x1, 1x2, 1x3
2x2, 2x3
3x3
802.11n Data Rates
N card Data Rates
Channel bonding 2x20Mhz
Aade un canal de 20Mhz adicional al canal
existente
El canal se coloca debajo o encima de la
frecuencia del canal principal
Compatible con clientes de 20Mhz
- Conexin realizada en el canal principal
Permite el uso de velocidades de datos ms
altas
Frame Aggregation
Combinacin de frames de datos en un solo
frame (disminuyendo el overhead)
Aggregation of MAC Service Data Units (AMSDU)
Aggregation of MAC Protocol Data Units
(AMPDU)
Usa reconocimiento de bloques
Puede aumentar la latencia, de forma predeterminada
habilitado slo para el trfico de mejor esfuerzo
Envo y recepcin de AMSDUs tambin aumentar el
uso de CPU
Configuracin de Wireless card
ht-rxchains/ht-txchains usa una sola antena
para transmitir y recibir
antenna-mode esta configuracin es ignorada en
tarjetas N
ht-amsdu-limit mximo AMSDU que el
dispositvo puede preparar
ht-amsdu-threshold mximo tamao de
frame incluido el AMSDU
ht-guard-interval permitir el interval de
guarda pequeo
ht-extension-canal - si desea utilizar el canal
de extensin 20MHz adicionales; por debajo o
por encima de la frecuencia del canal principal
ht-ampdu-priorities - las prioridades del frame
para cada AMPDU enviado pueda ser
negociados y utilizados
TX-power for N cards
Cuando se utilizan dos
chains al mismo
tiempo la potencia de
TX se incrementa en
3dB - vase la columna
total tx-Power
Cuando se utilizan tres
cadenas al mismo
tiempo la potencia de
TX-se incrementa en
5dB
Bridging transparente de enlaces N
WDS no proporcionar la mxima velocidad
porque WDS no soporta la agregacin de
frames
EOIP agrega overhead
Tuneles MPLS/VPLS son utilizados para
velocidades mas rpidas y menos overhead
Bridge VPLS/MPLS para enlaces N
Bridge VPLS y fragmentacin
Tnel VPLS aumenta el tamao del paquete
Si este exede el MPLS MTU de la interface de
salida fragmentacin es usada
Si en caso la interfaz ethernet soporta MPLS
MTU 1526 o mayor la fragmentacin se puede
evitar mediante el aumento de la MPLS MTU
Configuracin para exteriores
Pruebe cada canal por separado antes de
utilizar ambas canales a la vez
Para operacin con 2 canales se sugiere
utilizar diferente polarizacin para cada canal
Cuando se utiliza antenas de polarizacin dual,
el aislamiento (isolation) de la antena se
recomienda que sea por lo menos 25dB
Laboratorio 802.11n
Establecer un enlace N con su compaero
Pon a prueba el rendimiento con uno y con
dos canales
Crear un bridge transparente usando VPLS

MTCWE Certificate

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

MTCWE Certificate

Caricato da

Copyright:

Formati disponibili

www.certificate.

Ing. Tel. Anbal Enrquez Moncayo

Ambas herramientas utilizan el Scan-List

Herramienta unicamente usada con Atheros

Activar su router como AP en una frecuencia de

Asegurar que slo los clientes de su grupo y con

(Avanzado) Pruebe ajustes de la hora

Borre todas las Acces List y Connect List reglas.

Cambie de Lugar y repitan el Laboratorio

Potrebbero piacerti anche