Manual – Wireless : Interface Wireless Mikrotik
Wireless RouterOS sesuai dengan standard,
menyediakan dukungan lengkap untuk 802.11a, 802.11b 802.11g dan 802.11n selama fitur tambahan seperti WPA, WEP, enkripsi AES, Wireless Distribution System (WDS), Dynamic Frekuensi seleksi (DFS) , Virtual Access Point,
Nstreme dan protokol proprietary NV2 dan banyak lagi.
Ukuran frame ambang di mana perlindungan harus digunakan dikendalikan oleh- hw-protection-thresholdpengaturan hw interface wireless
Misalnya, untuk mengaktifkan "CTS-untuk-diri" bingkai perlindungan berdasarkan AP untuk semua frame, tidak tergantung pada ukuran, gunakan perintah:
TDMA adalah metode akses channel untuk jaringan medium bersama. Hal ini memungkinkan beberapa pengguna untuk berbagi kanal frekuensi yang sama dengan membagi sinyal dalam slot waktu yang berbeda. Para pengguna mengirimkan dalam suksesi cepat, satu demi satu, masing-masing menggunakan slot waktu sendiri. Hal ini memungkinkan beberapa stasiun untuk berbagi media transmisi yang sama (frekuensi saluran radio misalnya) ketika menggunakan hanya sebagian dari kapasitas kanal tersebut.
Manfaat yang paling penting dari Nv2 adalah:
Misalnya, jarak antara Access Point dan klien adalah 30km. Frame dikirim dalam 100us satu arah, masing-round-trip time ~ 200us. tdma-period-size nilai default adalah 2ms, itu berarti 10% dari waktu yang tidak terpakai. Ketika TDMA periode-ukuran ditingkatkan menjadi 4ms, hanya 5% dari waktu tidak terpakai. Untuk link wireless 60km, round-trip-time 400ms, waktu yang tidak digunakan adalah 20% untuk 2ms standar TDMA-periode-ukuran, dan 10% untuk 4ms. Bigger TDMA-periode-ukuran nilai meningkatkan latency pada link.
RouterOS menerapkan manajemen frame algoritma perlindungan kepemilikan berdasarkan rahasia bersama. Manajemen bingkai perlindungan berarti bahwa perangkat nirkabel RouterOS mampu memverifikasi sumber bingkai manajemen dan pastikan bahwa frame tertentu tidak berbahaya. Fitur ini memungkinkan untuk menahan serangan deauthentication dan pemisahan di RouterOS berbasis perangkat nirkabel.
Manajemen mode proteksi dikonfigurasi dalam keamanan-profil dengan pengaturan management-protection.nilai-nilai yang memungkinkan adalah: cacat - manajemen proteksi dinonaktifkan (default), diperbolehkan - menggunakan perlindungan manajemen jika didukung oleh pihak remote (untuk AP - memungkinkan kedua, non-manajemen perlindungan dan perlindungan nasabah manajemen, untuk klien - terhubung baik ke AP dengan dan tanpa manajemen perlindungan), diperlukan - membentuk asosiasi hanya dengan perangkat remote yang mendukung manajemen perlindungan (untuk AP - hanya menerima klien yang mendukung manajemen perlindungan, untuk klien - terhubung hanya ke AP yang mendukung perlindungan manajemen).
Manajemen perlindungan rahasia bersama dikonfigurasi management-protection-key keamanan.
Ketika interface dalam mode AP, standar manajemen perlindungan kunci (dikonfigurasi dalam keamanan-profil) dapat overridded dengan kunci tertentu dalam akses-daftar atau atribut RADIUS.
/interface wireless security-profiles> print
0 name="default" mode=none authentication-types="" unicast-ciphers=""
group-ciphers="" wpa-pre-shared-key="" wpa2-pre-shared-key=""
supplicant-identity="n-str-p46" eap-methods=passthrough
tls-mode=no-certificates tls-certificate=none static-algo-0=none
static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none
static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none
static-sta-private-key="" radius-mac-authentication=no
radius-mac-accounting=no radius-eap-accounting=no interim-update=0s
radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username
radius-mac-caching=disabled group-key-update=5m
management-protection=disabled management-protection-key=""
Operation details
Ketika radius-mac-authentication=yes, jalur akses query server RADIUS dengan mengirim Access-Request dengan atribut sebagai berikut:
Hal ini dimungkinkan untuk menggunakan satu profil keamanan bagi semua klien, dan profil keamanan yang berbeda untuk link WDS. Keamanan profil untuk link WDS ditentukan dalam connect-list . Jalur akses selalu memeriksa terhubung daftar sebelum membangun link WDS dengan jalur akses lain, dan menggunakan pengaturan keamanan dari yang cocok dengan entri daftar terhubung. WDS link akan bekerja ketika setiap jalur akses akan memiliki entri daftar terhubung yang cocok dengan perangkat lain, telah connect=yes dan menentukan security-profile.
Secara umum, sifat WPA pada kedua jalur akses yang dilindungi membangun link WPA WDS harus cocok. Properti ini authentication-types, unicast-ciphers, group-ciphers. Untuk mesh WDS mode non-sifat ini harus memiliki nilai yang sama pada kedua perangkat. Dalam modus WDS mesh setiap jalur akses harus mendukung yang lain sebagai client.
Secara teoritis adalah mungkin untuk menggunakan otentikasi Radius MAC dan lainnya RADIUS layanan dengan link WDS. Namun, hanya satu jalur akses akan berinteraksi dengan server RADIUS, titik akses lainnya akan bertindak sebagai klien.
Pelaksanaan EAP-TLS metode EAP RouterOS sangat cocok untuk enkripsi WDS link. Tls-mode = no-sertifikattidak memerlukan konfigurasi tambahan, dan menyediakan enkripsi yang sangat kuat.
Wireless dapat beroperasi dalam beberapa mode: client (station), access point, wireless bridge,all. Klien / station juga dapat beroperasi dalam mode yang berbeda
Wireless interface configuration
Basic settings
master-interface (Text) : Nama Wireless Interface yang memiliki virtual-ap capability Virtual interface AP hanya akan berfungsi jika interface master di ap-bridge, bridge atau wds-slave mode. Properti ini hanya untuk AP virtual interface.
mode (satu station, station-wds, ap-bridge, bridge, alignment-only, nstreme-dual-slave, wds-slave, station-pseudobridge or station-pseudobridge-clone; default value: station) :
--Station modes:
----station - dasar station mode. Cari dan terhubung ke AP diterima.
----station-wds - Sama seperti station, tapi membuat link WDS dengan AP, menggunakan ekstensi berpemilik. konfigurasi AP telah untuk memungkinkan hubungan WDS dengan perangkat ini. Perhatikan bahwa modus ini tidak menggunakan entri dalam WDS .
----station-pseudobridge - Sama seperti station, tapi tambahan melakukan terjemahan alamat MAC dari seluruh traffic. Memungkinkan interface network yang akan di bridge.
----station-pseudobridge-clone - Sama seperti station-pseudobridge, tetapi menggunakan station-bridge-clone-mac alamat station dapat terhubung ke AP.
--AP modes:
----ap-bridge - basic access point mode
----bridge - Sama seperti ap-bridge, tapi terbatas pada satu terkait klien.
----wds-slave - Sama seperti ap-bridge, tapimenscan AP dengan ssid yang sama dan menetapkan WDS link. Jika link ini hilang atau tidak dapat dibuat, kemudian melanjutkan scan. Jika DFS-mode radar-mendeteksi,maka AP dengan diaktifkan hide-ssid tidak akan ditemukan selama scan.
--Special modes:
----alignment-only - interface Masukkan terus menerus mengirimkan modus yang digunakan untuk tujuan remote antena .
----nstreme-dual-slave – interface ini memungkinkan untuk digunakan dalam dual-setup nstreme.
Terjemahan MAC address dalam mode pseudobridge bekerja dengan memeriksa paket dan bangunan tabel IP dan alamat MAC yang sesuai. Semua paket dikirim ke AP dengan alamat MAC yang digunakan oleh pseudobridge, dan alamat MAC dari paket yang diterima dikembalikan dari tabel terjemahan alamat. Ada entri tunggal dalam tabel alamat terjemahan untuk semua paket non-IP, maka lebih dari satu host di jaringan dijembatani tidak dapat dipercaya menggunakan protokol non-IP. Saat ini IPv6 tidak bekerja selama Pseudobridge
Virtual AP interface tidak punya properti ini, mereka mengikuti mode interface host mereka.
--ssid (Teks, sampai dengan 32 karakter, nilai default adalah nilai sistem / identitas ): SSID (service set identifier) adalah nama yang mengidentifikasi jaringan wireless.
--frequency (nilai Frekuensi dalam MHz): Channel frekuensi dimana AP akan beroperasi. Diperbolehkan nilai tergantung pada band yang dipilih, dan dibatasi dengan menetapkan negara dan kemampuan wireless card . Pengaturan ini tidak memiliki pengaruh jika interface dalam mode station, atau di-slave mode WDS, atau jika DFS aktif.
--band (salah satu 2.4ghz-b, 5ghz, 5ghz-turbo, 2.4ghz-b/g, 2.4ghz-g-turbo, 5ghz-10mhz, 5ghz-5mhz, 2ghz-10mhz, 2ghz-5mhz, 5ghz-11n, 2ghz-11n, 2.4ghz-onlyg)
--scan-list (daftar dipisahkan koma frekuensi dan rentang frekuensi, atau default): Nilai default adalah semua saluran dari band terpilih yang didukung oleh wireless card dan diizinkan oleh mode pengaturan danfrekuensi-negara. Untuk default scan daftar dalam saluran band 5GHz diambil dengan langkah 20MHz, di-turbo band 5GHz - dengan langkah 40MHz, untuk semua band lainnya - dengan langkah 5MHz. Jika scan-listyang ditentukan secara manual, maka semua saluran diambil yang cocok. Contoh scan-list= default ,5200-5245 ,2412-2427 - ini akan menggunakan nilai default men scan daftar untuk saat ini, band dan tambahkan padanya didukung frekuensi 5200-5245 2412-2427 jangkauan.
--antenna-mode (salah satu dari ant-a, ant-b, txa-rxb or rxa-txb) :
---- ant-a - hanya menggunakan antenna ‘a’
---- ant-b - hanya menggunakan antenna ‘b’
---- txa-rxb - menggunakan antena 'a' untuk transmisi, antena 'b' untuk menerima
---- rxa-txb - menggunakan antena 'b' untuk transmisi, antena 'a' untuk menerima
--wds-mode (Salah disabled, statis, dynamic, statis-mesh atau dinamic-mesh): Kontrol bagaimana WDS link dengan perangkat lain (AP dan klien di dalam station-wds mode), ditetapkan.
---- disabled tidak mengijinkan WDS link.
---- static hanya memungkinkan link WDS yang secara manual dikonfigurasi di WDS
---- dynamic juga memungkinkan link WDS dengan perangkat yang tidak dikonfigurasi dalam WDS , dengan menciptakan entri diperlukan dinamis. WDS entri dihapus secara otomatis setelah koneksi dengan AP lainnya hilang.
-mesh menggunakan mode yang berbeda (lebih baik) metode untuk membangun hubungan antara AP, yang tidak kompatibel dengan AP yang di-mesh mode non. WDS yang dibuat hanya oleh salah satu dari dua AP. link tersebut tidak bisa lewat data.
Ketika AP atau station membangun koneksi WDS dengan AP yang lain, ia menggunakan connect-list untuk memeriksa apakah koneksi ini diperbolehkan. Jika di station-wds mode membangun koneksi dengan AP, AP menggunakan access-list untuk memeriksa apakah koneksi ini diperbolehkan. Jika mode adalah station-wds,maka properti ini tidak akan berpengaruh.
--wds-default-bridge (none, atau nama interface bridge): Ketika link WDS didirikan dan status dari interface WDS menjadi run, maka akan ditambahkan sebagai port bridge ke bridge interface yang ditetapkan oleh properti ini. Ketika link WDS hilang, interface WDS dihapus dari bridge. Jika interface WDS sudah termasuk dalam setup bridge link WDS menjadi aktif, oleh itu tidak akan ditambahkan ke bridge ditentukan
--wds-ignore-ssid (yes atau no; default: no) : Secara default, hubungan WDS antara dua AP bisa diciptakan hanya bila mereka bekerja pada frekuensi yang sama dan memiliki nilai SSID yang sama. Jika properti ini diset untuk yes, maka SSID dari AP yang jauh tidak akan diperiksa. Properti ini tidak berpengaruh pada koneksi dari klien station-wds. Ini juga tidak bekerja jika wds-mode is static-mesh atau dynamic-mesh.
--default-authentication (yes atau no, default value: yes) : Untuk mode AP, ini adalah nilai authentication untuk klien yang tidak cocok dengan entri dalam access-list . Untuk mode station, ini adalah nilai connect untuk AP yang tidak cocok dengan entri dalam connect-list .
--default-forwarding (yes atau no; default value: yes) : Ini adalah nilai forwarding untuk klien yang tidak cocok dengan entri dalam access-list .
--default-ap-tx-limit : Ini adalah nilai ap-tx-limit untuk klien yang tidak cocok dengan entri dalam access-list .
--default-client-tx-limit : Ini adalah nilai client-tx-limit untuk klien yang tidak cocok dengan entri dalam access-list
----yes - AP tidak termasuk SSID frame sinyal, dan tidak membalas menyelidiki permintaan yang telah broadcast SSID.
----no - AP termasuk SSID di dalam frame sinyal, dan balasan untuk menyelidiki permintaan yang telah broadcast SSID.
Properti ini memiliki efek hanya pada mode AP. Setting untuk yes dapat menghapus jaringan dari daftar wireless network yang ditunjukkan oleh beberapa software klien. Mengubah pengaturan ini tidak meningkatkan keamanan wireless network, karena SSID termasuk dalam frame lain yang dikirim oleh AP.
--compression (yes atau no; default value: no) : Pengaturan properti ini untuk yes akan memungkinkan penggunaan kompresi hardware. Wireless interface harus memiliki dukungan untuk kompresi hardware. Koneksi dengan perangkat yang tidak menggunakan kompresi akan tetap bekerja.
--interface-type (virtual-AP, Prism, atau Atheros XXXXXX, dimana XXXXXX adalah jenis perangkat Atheros;read-only ): Ini menentukan jenis wireless interface. Beberapa properti mempunyai arti hanya untuk beberapa jenis interface.
--wireless-protocol (default value: unspecified) menentukan protokol yang digunakan pada wireless interface;
----unspecified - modus protokol yang digunakan pada versi RouterOS sebelumnya (v3.x, v4.x). Nstreme diaktifkan dengan mengeset enable-nstreme , konfigurasi Nv2 tidak bisa.
----any : di AP - reguler 802.11 Nstreme Access Point atau Access Point, di station - memilih Access Point tanpa urutan tertentu, itu bisa diubah oleh-daftar aturan terhubung.
---nstreme - memungkinkan protokol Nstreme (sama seperti pengaturan enable-nstreme setting).
----nv2 - memungkinkan protokol Nv2.
----nv2 nstreme: di AP - menggunakan protokol wireless-setting pertama, selalu Nv2; di stasiun - pencarian untuk Nv2 Access Point, maka untuk Nstreme Access Point.
----nv2 - enables Nv2 protocol.
---- nv2 nstreme 802.11 - di AP - menggunakan protokol wireless-setting pertama, selalu Nv2; di stasiun - pencarian untuk Nv2 Access Point, maka untuk Nstreme Access Point, maka untuk reguler 802.11 Access Point.
Advanced settings
--frequency-mode (salah satu peraturan-domain, petunjuk-txpower atau superchannel)
---peraturan-domain - Batasi saluran yang tersedia dan maksimum daya pancar untuk kanal masing-masing sesuai dengan nilai Negara
---manual-txpower - Sama seperti di atas, tetapi tidak membatasi daya pancar maksimal.
---superchannel - Pengujian Kesesuaian Mode. Mengizinkan semua saluran yang didukung oleh kartu.
Daftar saluran yang tersedia untuk setiap band bisa dilihat di /wireless info print Mode ini memungkinkan Anda untuk menguji saluran nirkabel di luar daftar default scan-dan / atau domain peraturan. Mode ini hanya harus digunakan dalam lingkungan terkendali, atau jika Anda memiliki ijin khusus untuk menggunakannya di wilayah Anda. Sebelum v4.3 ini disebut Custom Frekuensi Upgrade, atau Superchannel. Sejak RouterOS v4.3 mode ini tersedia tanpa upgrade kunci khusus untuk semua instalasi.
--frequency-offset - memungkinkan untuk menentukan mengimbangi jika kartu nirkabel yang digunakan beroperasi pada frekuensi yang berbeda dari yang ditunjukkan dalam RouterOS, dalam kasus konverter frekuensi yang digunakan dalam kartu. Jadi jika kartu Anda bekerja di 4000MHz tapi RouterOS menunjukkan 5000MHz, set offset untuk 1000MHz dan akan ditampilkan dengan benar. nilai ini dalam MHz dan dapat positif atau negatif.
--country (baik no_country_set, atau nama domain regulasi): Batas tersedia band, frekuensi dan daya pancar maksimum untuk masing-masing frekuensi. Juga menentukan nilai default dari scan-list. no_country_set Nilai adalah compliant set FCC saluran.
antenna-gain (nilai default: 0): Antena gain di dBi, digunakan untuk menghitung daya pancar maksimum sesuai dengan keterbatasan negara.
Default tingkat dasar dan didukung, tergantung pada band yang dipilih
band
|
basic rates
|
supported rates
|
2.4ghz-b
|
1
|
1 .. 11
|
5ghz
|
6
|
6 .. 54
|
2.4ghz-onlyg
|
6
|
1 .. 11 and 6 .. 54
|
2.4ghz-b/g
|
1 .. 11
|
1 .. 11 and 6 .. 54
|
2.4ghz-g-turbo
|
6
|
6 .. 54
|
-- rate-set (default atau dikonfigurasi):
--- default - default didukung tingkat set dan dasar yang digunakan. Nilai dari dasar-tarif dan-tingkat parameteryang didukung tidak berpengaruh.
--- dikonfigurasi - menggunakan nilai dari dasar-tarif dan-tingkat parameter didukung. Perhatikan bahwa modus band g menggunakan tarif dari kedua "b-tingkat" dan "tingkat-a / g" properti.
--supported-rates-b : Daftar didukung, digunakan untuk 2.4GHz-b,-b 2.4GHz / g dan-onlyg band 2.4GHz. Dua perangkat akan berkomunikasi hanya dengan menggunakan kurs yang didukung oleh kedua perangkat. Properti ini berpengaruh hanya jika nilai rate-set dikonfigurasi.
--supported-rates-a/g : Serupa dengan properti di atas, tetapi digunakan untuk 5GHz, 5GHz-10MHz, 5GHz-5MHz, 5GHz-turbo, 2.4GHz-b / g, 2.4GHz-onlyg, 2GHz-10MHz, 2GHz-5MHz dan 2.4GHz-g-turbo band.
--basic-rates-b : Daftar tarif dasar, digunakan untuk 2.4GHz-b,-b 2.4GHz / g dan-onlyg band 2.4GHz. Klien akan terhubung ke AP hanya jika itu mendukung semua nilai dasar yang diumumkan oleh AP. AP akan membuat link WDS hanya jika itu mendukung semua nilai dasar dari AP yang lainnya. Properti ini memiliki efek hanya dalam mode AP, dan ketika nilai rate-set dikonfigurasi.
--basic-rates-a/g : Serupa dengan properti di atas, tetapi digunakan untuk 5GHz, 5GHz-10MHz, 5GHz-5MHz, 5GHz-turbo, 2.4GHz-b / g, 2.4GHz-onlyg, 2GHz-10MHz, 2GHz-5MHz dan 2.4GHz-g-turbo band.
--max-station-count (1 .. 2007; nilai default: 2007): maksimum jumlah klien yang terkait. WDS link juga dihitung terhadap batas ini.
-- ack-timeout (dalam ruangan, dinamis, dan nilai mikrodetik): Berapa lama menunggu konfirmasi dari frame transmisi unicast sebelum mempertimbangkan berhasil. Nilai 'dinamis' menyebabkan AP untuk mendeteksi dan menggunakan timeout terkecil yang bekerja dengan semua klien yang terhubung. Ucapan Terima Kasih tidak digunakan dalam protokol Nstreme.
--tx-power (nilai di kisaran -30 .. 30)
-- tx-power-mode (salah satu default, semua-tingkat-tetap, kartu-tingkat atau manual-tabel): (kebutuhan editing)
-- DFS-mode (salah satu tidak ada, tidak ada-radar-mendeteksi dan radar mendeteksi; nilai default: none):Kontrol DFS (Dynamic Frequency Selection).
---none - Menonaktifkan DFS.
---no-radar-detect - channel scan-Pilih dari daftar dengan jumlah terendah jaringan yang terdeteksi. Dalam mode 'WDS-slave' pengaturan ini tidak akan berpengaruh.
---radar-detect - Pilih channel dengan jumlah terendah jaringan yang terdeteksi dan menggunakannya jika tidak ada radar terdeteksi di dalamnya selama 60 detik. Jika tidak, pilih channel yang berbeda. Pengaturan ini mungkin diperlukan oleh peraturan negara.
Properti ini memiliki efek hanya pada mode AP.
--wds-default-cost (nomor; nilai default: 100): biaya awal pelabuhan jembatan dari link WDS.
-- wds-cost-range (rentang numerik; nilai default: 50-150): Jembatan port biaya WDS link secara otomatis disesuaikan, tergantung pada link throughput diukur. Port biaya dihitung ulang dan disesuaikan setiap 5 detik jika telah berubah oleh lebih dari 10%, atau jika lebih dari 20 detik telah berlalu sejak penyesuaian terakhir. Pengaturan properti ini ke 0 menonaktifkan penyesuaian biaya otomatis. penyesuaian otomatis tidak bekerja untuk link WDS yang secara manual dikonfigurasi sebagai port jembatan.
--wmm-support (dinonaktifkan, diaktifkan atau diperlukan): Menentukan apakah akan mengaktifkan WMM .
-- disconnect-timeout (interval waktu dalam rentang 0 .. 15s, dalam satuan 10ms; nilai default: 3s): Interval ini diukur dari kegagalan pengiriman ketiga pada data rate terendah. Pada saat ini * 3 butir (hw-retries + 1) mengirimkan frame pada data rate terendah telah gagal.
Selama putuskan-timeout pengiriman paket akan dicoba dengan-gagal-coba-interval waktu di. Jika tidak ada frame dapat ditularkan berhasil selama diconnect-timeout, koneksi ditutup, dan peristiwa ini dicatat sebagai "kehilangan data yang luas". transmisi frame yang berhasil me-reset timer ini.
--on-fail-retry-time (waktu interval di kisaran 1s .. 10ms, dalam 10ms unit; nilai default: 100ms): Setelah kegagalan pengiriman ketiga pada data rate terendah, menunggu ini lama sebelum mencoba kembali.
--frame-lifetime (waktu dalam seratus detik; nilai default: 0): frame Buang yang telah antrian untuk mengirimkan lebih dari frame-lifetime. Secara default, ketika nilai dari properti ini adalah 0, frame dibuang hanya setelah koneksi ditutup.
--preamble-mode (satu panjang, pendek atau keduanya; nilai default: keduanya): modus pembukaan pendek merupakan pilihan standar 802.11b yang mengurangi-frame overhead per.
---Pada AP:
----long - jangan gunakan pembukaan pendek.
----short - pendek Umumkan pembukaan kemampuan. Jangan menerima koneksi dari klien yang tidak memiliki kemampuan ini.
----both - preamble kemampuan Umumkan pendek.
---Di stasiun:
----long - tidak menggunakan basa-basi pendek.
----short - angan terhubung ke AP jika tidak mendukung pembukaan pendek.
----both - Gunakan pembukaan pendek jika AP mendukungnya.
--allow-sharedkey (ya atau tidak; nilai default: no): Izinkan WEP Shared Key cilents dapat terhubung. Perhatikan bahwa tidak ada otentikasi dilakukan untuk klien-klien (WEP Shared kunci tidak dibandingkan dengan apa-apa) - mereka hanya diterima sekaligus (jika daftar akses memungkinkan itu).
--(MAC alamat): Properti ini hanya berpengaruh di-pseudobridge-klon modus stasiun. Gunakan alamat MAC ketika koneksi ke AP. Jika nilai ini 00:00:00:00:00:00, stasiun awalnya akan menggunakan alamat MAC interface wireless. Begitu paket dengan alamat MAC dari perangkat lain harus ditransmisikan, stasiun akan kembali ke AP menggunakan alamat itu.
--station-bridge-clone-mac (integer 256 .. 3000 | dinonaktifkan;): Menentukan fragmen maksimum ukuran dalam bytes ketika dikirim melalui media nirkabel. 802.11 paket standar (MSDU di 802.11 terminologi) fragmentasi memungkinkan paket data dapat terfragmentasi sebelum transmiting melalui media nirkabel untuk meningkatkan kemungkinan penularan berhasil (hanya fragmen yang tidak memancarkan benar yang dipancarkan kembali). Perhatikan bahwa transmisi paket terfragmentasi kurang efisien daripada transmisi paket terfragmentasikan karena overhead protokol dan pemanfaatan sumber daya meningkat pada keduanya - pemancaran dan penerimaan partai.
-- hw-retries (angka 0 .. 15; nilai default: 15): Jumlah kali mengirim frame retried tanpa mempertimbangkan sesuatu kegagalan transmisi. Data rate menurun pada kegagalan dan frame dikirim lagi. Tiga kegagalan sekuensial pada tingkat terendah menangguhkan didukung transmisi ke tujuan untuk jangka waktu on-fail-retry-time. Setelah itu, frame dikirim lagi. Bingkai sedang retransmitted hingga sukses transmisi, atau sampai klien terputus setelah disconnect-timeout. Frame dapat dibuang selama waktu ini jika frame-seumur hiduptelah terlampaui.
Frame protection support (RTS/CTS)
802.11 standar menyediakan sarana untuk melindungi transmisi terhadap transmisi perangkat lain dengan menggunakan RTS / CTS protokol. perlindungan Frame membantu untuk melawan "node tersembunyi" masalah. Ada beberapa jenis proteksi:
--RTS / CTS berbasis perlindungan - perangkat bersedia untuk mengirim frame pada frame pertama mengirimkan RequestToSend dan menunggu frame ClearToSend dari tempat tujuan. Dengan "melihat" atau CTS frame RTS 802.11 perangkat kompatibel tahu bahwa seseorang adalah tentang untuk mengirim dan karenanya tidak memulai transmisi sendiri
--"CTS diri" perlindungan berdasarkan - perangkat bersedia untuk mengirim frame mengirim frame CTS "pada dirinya sendiri". Seperti dalam RTS / CTS protokol setiap perangkat 802.11 compliant menerima frame ini tidak mengetahui untuk mengirim. "CTS diri" perlindungan berbasis overhead kurang, tetapi harus diperhitungkan bahwa ini hanya melindungi terhadap perangkat yang menerima frame CTS (misalnya jika ada 2 "tersembunyi" stasiun, tidak ada gunanya bagi mereka untuk menggunakan "CTS diri "perlindungan, karena mereka tidak akan dapat menerima CTS yang dikirim oleh stasiun lain - dalam hal ini stasiun harus menggunakan RTS / CTS sehingga stasiun lain tidak tahu untuk mengirim dengan melihat CTS dikirimkan oleh AP).
Perlindungan mode dikendalikan hw-protection-mode pengaturan hw interface wireless. Kemungkinan nilai:none - untuk perlindungan (default), rts-cts untuk RTS / CTS atau perlindungan berdasarkan cts-to-self untuk "CTS diri" perlindungan berbasis.Ukuran frame ambang di mana perlindungan harus digunakan dikendalikan oleh- hw-protection-thresholdpengaturan hw interface wireless
Misalnya, untuk mengaktifkan "CTS-untuk-diri" bingkai perlindungan berdasarkan AP untuk semua frame, tidak tergantung pada ukuran, gunakan perintah:
/interface wireless> set 0 hw-protection-mode=cts-to-self hw-protection-threshold=0
Untuk mengaktifkan RTS / CTS perlindungan berdasarkan perintah klien menggunakan:
/interface wireless> set 0 hw-protection-mode=rts-cts hw-protection-threshold=0
Proprietary extensions
--radio-name (text) : Deskriptif nama perangkat, yang ditunjukkan pada entri tabel pendaftaran pada perangkat remote. Ini adalah ekstensi berpemilik.
--area (teks; nilai default adalah kosong): Mengidentifikasi kelompok jaringan nirkabel. Nilai ini diumumkan oleh AP, dan dapat dicocokkan dalam connect-lis berdasarkan area-prefix.. Ini adalah ekstensi berpemilik.
--update-stats-interval (atau interval waktu dinonaktifkan dalam rentang 10s .. 5h; nilai default: dinonaktifkan):Seberapa sering meminta update kekuatan sinyal dan nilai-nilai ccq dari klien. Akses ke pendaftaran-meja juga memicu update dari nilai-nilai ini. Ini adalah ekstensi proprietary.
-- proprietary-extensions (pre atau pasca-2.9.25-2.9.25; nilai default: pasca-2.9.25): RouterOS mencakup informasi hak milik dalam elemen informasi frame manajemen. Parameter ini mengontrol bagaimana informasi ini disertakan.
--- pre-2.9.25 - Ini adalah metode yang lebih tua. Hal ini dapat beroperasi dengan versi yang lebih baru RouterOS. Metode ini tidak kompatibel dengan beberapa klien, misalnya, yang berbasis Centrino.
--- pasca-2.9.25 - ini menggunakan cara standar termasuk spesifik informasi vendor, yang kompatibel dengan klien nirkabel baru.
Atheros specific
--noise-floor-threshold (default atau nilai dalam .. kisaran 127 -128): Properti ini hanya efektif untuk kartu berbasis chipset AR5211.
--adaptive-noise-immunity (ya atau tidak; nilai default: yes): Properti ini hanya efektif untuk kartu berbasis chipset Atheros.
--periodic-calibration (salah satu default, diaktifkan atau dinonaktifkan): Pengaturan default memungkinkan kalibrasi berkala jika info default-periodic-calibration properti diaktifkan. Nilai properti yang tergantung pada jenis kartu nirkabel. Properti ini hanya efektif untuk kartu berbasis chipset Atheros.
--periodic-calibration-interval (nilai dalam rentang 1 .. 10000; nilai default: 60): Properti ini hanya efektif untuk kartu berbasis chipset Atheros.
Prism specific
802.11n specific
-- ht-ampdu-priorities - prioritas frame yang AMPDU pengiriman (menggabungkan bingkai dan mengirim menggunakan pengakuan blok) harus mendapatkan dinegosiasikan dan digunakan. Menggunakan AMPDUs akan meningkatkan throughput, tetapi dapat meningkatkan latency itu mungkin tidak diinginkan untuk lalu lintas real-time (suara, video). Karena ini, oleh AMPDUs default diaktifkan hanya untuk lalu lintas terbaik-usaha.
--ht-amsdu-limit - max AMSDU perangkat diperbolehkan untuk mempersiapkan saat dinegosiasikan. agregasi AMSDU secara signifikan dapat meningkatkan throughput terutama untuk frame kecil, tetapi dapat meningkatkan latency dalam kasus paket loss akibat retransmission frame agregat. Mengirim dan menerima AMSDUs juga akan meningkatkan penggunaan CPU.
--ht-basic-mcs - Modulation dan Coding Skema bahwa setiap klien yang terhubung harus mendukung (lihat 802.11n untuk spesifikasi MCS).
--ht-extension-channel - apakah akan menggunakan ekstensi saluran 20MHz tambahan dan jika harus terletak di bawah atau di atas kontrol (utama) saluran. saluran Perpanjangan memungkinkan 11n perangkat untuk menggunakan spektrum 40MHz total sehingga meningkatkan throughput max.
--ht-guard-interval - apakah akan membolehkan penggunaan guard interval pendek (lihat spesifikasi 802.11n MCS untuk melihat bagaimana hal ini dapat mempengaruhi throughput). "Apapun" akan menggunakan baik pendek atau panjang, tergantung pada data rate, "lama" akan menggunakan panjang.
Nv2
MikroTik telah mengembangkan protokol nirkabel baru berdasarkan teknologi TDMA (Time Division Multiple Access) - (Nstreme versi 2). Lihat dokumentasi Nv2: NV2TDMA adalah metode akses channel untuk jaringan medium bersama. Hal ini memungkinkan beberapa pengguna untuk berbagi kanal frekuensi yang sama dengan membagi sinyal dalam slot waktu yang berbeda. Para pengguna mengirimkan dalam suksesi cepat, satu demi satu, masing-masing menggunakan slot waktu sendiri. Hal ini memungkinkan beberapa stasiun untuk berbagi media transmisi yang sama (frekuensi saluran radio misalnya) ketika menggunakan hanya sebagian dari kapasitas kanal tersebut.
Manfaat yang paling penting dari Nv2 adalah:
---Peningkatan kecepatan
---Lebih klien sambungan di lingkungan PTM
---Rendah latency
---Tidak ada jarak keterbatasan
---Tidak ada hukuman untuk jarak jauh
Mulai dari RouterOS v5.0beta5 Anda dapat mengkonfigurasi Nv2 dalam menu Wireless. Silakan lihat di protokol NV2 status implementasi . batas protokol Nv2 adalah 511 klien.
Pengaturan Nv2
nv2-QoS mengatur mekanisme prioritas paket, terlebih dahulu data dari antrian prioritas tinggi yang dikirim, antrian prioritas yang lebih rendah data kemudian sampai 0 prioritas antrian tercapai. Bila link penuh dengan data antrian prioritas tinggi, data prioritas yang lebih rendah tidak dikirim. Gunakan sangat hati-hati, pengaturan bekerja pada AP
--frame-priority - manual pengaturan yang dapat disetel dengan aturan Mangle.
--default - pengaturan standar di mana paket kecil mendapat prioritas untuk latensi terbaik
--nv2-cell-radius (nilai default: 30); Setting ini mempengaruhi ukuran waktu slot pendapat bahwa AP mengalokasikan untuk klien untuk memulai sambungan dan juga ukuran slot waktu yang digunakan untuk memperkirakan jarak ke klien. Bila pengaturan terlalu kecil, klien yang jauh mungkin mengalami masalah saat menghubungkan dan / atau memutuskan hubungan dengan kesalahan "mulai timeout". Meskipun selama operasi normal efek dari pengaturan ini harus diabaikan, dalam rangka mempertahankan kinerja maksimal, sangat disarankan untuk tidak meningkatkan pengaturan ini jika tidak diperlukan, sehingga AP yang tidak memesan waktu itu sebenarnya tidak pernah digunakan, tapi malah mengalokasikan untuk aktual transfer data.
---di AP: jarak ke client terjauh dalam km
---di stasiun: tidak berpengaruh
--tdma-period-size (nilai default: 2) menentukan periode TDMA dalam milidetik. Hal ini bisa membantu pada link jarak lagi, sedikit dapat meningkatkan bandwidth, sementara latency meningkat juga.
Nv2 Troubleshooting
Meningkatkan throughput pada jarak jauh dengan tdma-period-size.. Dalam Setiap "periode", Access Point daun bagian dari waktu tidak terpakai untuk transmisi data (yang sama dengan perjalanan waktu putaran - waktu di mana frame dapat dikirim dan diterima dari klien), digunakan untuk memastikan bahwa klien bisa menerima frame terakhir dari Access Point, sebelum mengirimkan paket itu sendiri untuk itu. Semakin panjang jarak, semakin lama jangka waktu yang tidak terpakai.Misalnya, jarak antara Access Point dan klien adalah 30km. Frame dikirim dalam 100us satu arah, masing-round-trip time ~ 200us. tdma-period-size nilai default adalah 2ms, itu berarti 10% dari waktu yang tidak terpakai. Ketika TDMA periode-ukuran ditingkatkan menjadi 4ms, hanya 5% dari waktu tidak terpakai. Untuk link wireless 60km, round-trip-time 400ms, waktu yang tidak digunakan adalah 20% untuk 2ms standar TDMA-periode-ukuran, dan 10% untuk 4ms. Bigger TDMA-periode-ukuran nilai meningkatkan latency pada link.
Access lists
Akses daftar digunakan oleh jalur akses untuk membatasi koneksi diizinkan dari perangkat lain, dan untuk mengontrol parameter koneksi.
--Operation
---aturan daftar Akses diperiksa secara berurutan.
---aturan penyandang cacat selalu diabaikan.
---Hanya aturan pertama yang cocok diterapkan.
Jika tidak ada aturan yang cocok untuk sambungan jarak jauh, maka nilai-nilai default dari konfigurasi antarmuka jaringan nirkabel digunakan.
Jika perangkat remote cocok dengan aturan yang telah otentikasi = nilai, sambungan dari perangkat remote ditolak.
--Konfigurasi
Akses daftar konfigurasi terletak di /interface wireless access-list konsol jalan, dan "Akses List" dalam tab "Wireless" jendela WinBox.--Match properties
--- mac-address (nilai default: 00:00:00:00:00:00): Peraturan pertandingan klien dengan alamat MAC tertentu. Nilai 00:00:00:00:00:00 selalu cocok.
---interface (Nama antarmuka nirkabel, atau semua; nilai default: semua): Aturan dengan interface = semuadigunakan untuk semua antarmuka nirkabel. Untuk membuat aturan yang berlaku hanya untuk satu antarmuka nirkabel, menetapkan bahwa antarmuka sebagai nilai properti ini.
--Match properti yang juga mengatur parameter koneksi
---signal-range (Bil:. NUM - keduanya NUM adalah angka dalam kisaran 120 -120 .. default; nilai -120 .. 120):Peraturan pertandingan jika kekuatan sinyal stasiun berada dalam kisaran. Jika kekuatan sinyal stasiun akan keluar dari rentang yang ditentukan dalam aturan, jalur akses akan memutuskan stasiun itu.
---time(WAKTU-WAKTU, matahari, mon, tue, menikah, Kam, Jum, Sab - TIME adalah waktu interval 0 .. 86400 detik; semua nama hari adalah opsional, nilai dapat diset, nilai standar tidak ditentukan): Peraturan akan cocok hanya selama waktu tertentu. Stasiun akan terputus setelah berakhir waktu tertentu. Baik waktu mulai dan akhir dinyatakan sebagai waktu sejak tengah malam, 00:00. Peraturan akan cocok hanya selama hari-hari tertentu dalam seminggu.
--Connection properties
---authentication (ya atau tidak):
----no - asosiasi Klien akan selalu gagal.
----ya - Gunakan prosedur otentikasi yang ditentukan dalam profil-keamanan antarmuka.
---forwarding (ya atau tidak):
----no - Klien tidak dapat mengirim frame ke stasiun lain yang terhubung ke jalur akses yang sama.
----ya - Klien dapat mengirim frame ke stasiun lain pada titik akses yang sama.
-----ap-tx-limit (nomor, dalam bit per detik; nilai default: 0): Batas tingkat transmisi data untuk klien ini. Nilai 0berarti tidak ada batas.
-----client-tx-limit (nomor, dalam bit per detik; nilai default: 0): Minta klien untuk membatasi tingkat transmisi data. Nilai 0 berarti tidak ada batas.
Ini adalah ekstensi berpemilik yang didukung oleh klien RouterOS.
--Keamanan properti koneksi terkait
---private-algo (none, 40bit-WEP, 104bit-WEP, AES-CCM atau TKIP): Hanya untuk mode WEP.
---private-key: Hanya untuk mode WEP.
---swasta-pre-shared-key: Digunakan dalam mode PSK WPA.
Connect lists
terhubung-daftar digunakan untuk menetapkan pengaturan prioritas dan keamanan untuk koneksi dengan jalur akses remote, dan untuk membatasi koneksi diperbolehkan. terhubung-list adalah ordered list aturan. Setiap aturan dalam terhubung-daftar melekat ke antarmuka nirkabel spesifik, ditentukan dalaminterface
properti peraturan itu (ini tidak seperti access-list , di mana aturan dapat berlaku untuk semua interface). Peraturan bisa sesuai dengan alamat MAC dari titik akses remote, itu kekuatan sinyal dan parameter lainnya.--Operation
terhubung-daftar aturan selalu diperiksa secara berurutan, mulai dari yang pertama.
--aturan cacat selalu diabaikan.
--Hanya aturan pertama yang cocok diterapkan.
--Jika terhubung-list tidak memiliki aturan yang cocok dengan jalur akses jarak jauh, maka nilai-nilai default dari konfigurasi antarmuka jaringan nirkabel digunakan.
--Jika jalur akses yang cocok dengan aturan yang telah connect = value, sehubungan dengan jalur akses ini tidak akan dicoba.
--Jika jalur akses yang cocok dengan aturan yang telah connect = yes value, sehubungan dengan jalur akses ini akan dilakukan.
---Dalam mode stasiun, jika beberapa titik akses remote akan dicocokkan dengan aturan daftar terhubung dengan connect= yes value, koneksi akan dilakukan dengan jalur akses yang disesuaikan dengan aturan yang lebih tinggi dalam daftar-terhubung.
---Jika tidak ada jalur akses remote akan dicocokkan dengan daftar-aturan terhubung dengan connect = yesnilai, maka nilai otentikasi interface default-authentication menentukan apakah stasiun akan mencoba untuk terhubung ke jalur akses. Jika default-authentication = yes, stasiun akan memilih jalur akses dengan sinyal terbaik dan keamanan yang kompatibel.
---Dalam mode akses point, terhubung-daftar diperiksa sebelum membuat link WDS dengan perangkat remote. Jika jalur akses yang tidak diimbangi dengan aturan apapun dalam daftar terhubung, maka nilaidefault-authentication menentukan apakah WDS link akan dibentuk.
Penggunaan
--Stasiun membatasi koneksi hanya ke jalur akses tertentu
---Set nilai otentikasi interface default-authentication ke no.
/interface
wireless set station-wlan default-authentication=no
---Buat aturan yang cocok diperbolehkan jalur akses. Aturan-aturan ini harus memiliki connect = yes daninterface yang sama dengan nama antarmuka nirkabel stasiun.
/interface
wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22:33:00:01
/interface
wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22:33:00:02
--Larang sambungan ke jalur akses tertentu
---Set nilai otentikasi antarmuka default-authentication ke yes.
/interface
wireless set station-wlan default-authentication=yes
--- Buat connect =no rule aturan yang cocok dengan jalur akses yang stasiun tidak harus terhubung ke. These rules must have connect = no and interface equal to the name of station wireless interface.
/interface
wireless connect-list add interface=station-wlan connect=no mac-address=00:11:22:33:44:55
--Pilih jalur akses pilihan
---Buat aturan yang sesuai jalur akses pilihan. Aturan-aturan ini harus memiliki connect=yes dan interfaceyang sama dengan nama antarmuka nirkabel stasiun.
---Masukkan aturan yang sesuai jalur akses pilihan yang lebih tinggi dalam daftar-terhubung, dalam urutan preferensi.
--Batasi WDS link pendirian
---Tempat aturan yang sesuai memungkinkan jalur akses di bagian atas.
---Tambahkan menyangkal-aturan semua pada akhir daftar terhubung.
--Konfigurasi Referensi
Hubungkan daftar dikonfigurasi di bawah-daftar jalur /interface wireless connect-list di konsol, atau dalam "Connect Daftar" tab Wireless "jendela" dalam WinBox.--Match properti
---interface (nama antarmuka nirkabel; diperlukan): Setiap aturan dalam daftar terhubung berlaku hanya untuk satu antarmuka nirkabel yang ditentukan oleh pengaturan ini.
---area-prefix (teks): Peraturan cocok jika daerah nilai AP (ekstensi proprietary) dimulai dengan nilai kawasan-awalan.
nilai area adalah ekstensi berpemilik.
---mac-address (nilai default: 00:00:00:00:00:00): Peraturan hanya cocok AP dengan alamat MAC tertentu. Nilai00:00:00:00:00:00 selalu cocok.
---ssid (teks): Peraturan pertandingan jalur akses yang memiliki SSID ini. nilai kosong cocok SSID apapun.
Properti ini hanya berpengaruh bila stasiun modus ssid antarmuka kosong, atau ketika jalur akses antarmuka modus memiliki wds-ignore-ssid=yes
--Match properti yang juga mengatur parameter koneksi
---sinyal-range (Bil. 120. NUM - keduanya NUM adalah angka dalam rentang -120 ..): Peraturan pertandingan jika kekuatan sinyal dari jalur akses dalam jangkauan.
Jika stasiun menetapkan sambungan ke jalur akses yang cocok dengan peraturan ini, akan memutuskan sambungan dari titik akses saat kekuatan sinyal keluar dari kisaran tertentu.
---security-profile (nama keamanan profil , atau tidak ada): Nama profil keamanan yang digunakan saat menghubungkan ke titik akses yang cocok, Jika nilai properti ini tidak ada, maka profil keamanan yang ditetapkan dalam konfigurasi antarmuka akan digunakan.
Dalam mode stasiun, aturan akan cocok dengan jalur akses hanya yang dapat mendukung profil keamanan yang ditetapkan. Nilai tidak akan cocok dengan jalur akses yang mendukung profil keamanan yang ditentukan dalam konfigurasi antarmuka. Dalam jalur akses mode nilai dari properti ini tidak akan digunakan untuk mencocokkan perangkat remote.
--Koneksi properti
---connect (ya atau tidak):
----ya - Hubungkan ke jalur akses yang sesuai dengan peraturan ini.
----no - Jangan menghubungkan ke titik akses yang cocok dengan aturan ini.
Keamanan profil
profil keamanan yang dikonfigurasi di bawah-profil jalur /interface wireless security-profiles di konsol, atau di Keamanan "Profil tab" dari Wireless "jendela" dalam WinBox. profil keamanan yang direferensikan oleh antarmuka nirkabel security-profile parameter dan security-profile parameter dari daftar terhubung.--Sifat dasar
---mode (one of none, static-keys-optional, static-keys-required or dynamic-keys, nilai default: none):
----none - Enkripsi tidak digunakan. Encrypted frame tidak akan diterima.
----static-keys-required - mode WEP. Tidak menerima dan tidak mengirim frame tidak terenkripsi.
Stasiun static-keys-required mode statis tidak akan terhubung ke jalur akses static-keys-optional
Stasiun static-keys-required mode statis tidak akan terhubung ke jalur akses static-keys-optional
----static-keys-optional - WEP mode. Dukungan enkripsi dan dekripsi, tetapi memungkinkan juga untuk menerima dan mengirim frame tidak terenkripsi. Perangkat akan mengirim frame tidak terenkripsi jika algoritma enkripsi ditentukan sebagai tidak ada.
Stasiun static-keys-optional mode statis tidak akan terhubung ke jalur akses dalam-kunci-yang diperlukanmode statis.
Stasiun static-keys-optional mode statis tidak akan terhubung ke jalur akses dalam-kunci-yang diperlukanmode statis.
----dynamic-keys - Modus WPA.
--WPA properti
Properti ini berpengaruh hanya jika mode=dynamic-keys.
---authentication-types (pilihan ganda dari WPA-PSK, WPA2-PSK, WPA-EAP dan WPA2-EAP; Nilai default adalah kosong): Set jenis otentikasi yang didukung. Jalur akses akan mengiklankan didukung jenis otentikasi, dan klien akan terhubung ke jalur akses hanya jika mendukung salah satu dari jenis otentikasi diiklankan.
---unicast-ciphers (pilihan ganda dari TKIP, AES-CCM; Nilai default adalah kosong): Access point mengiklankan bahwa ia mendukung ditentukan cipher. Klien upaya koneksi hanya ke jalur akses yang mendukung setidaknya satu dari cipher yang ditentukan.
Salah satu cipher akan digunakan untuk mengenkripsi frame unicast yang dikirim antara titik akses dan stasiun.
---group-ciphers (pilihan ganda dari tkip, aes-ccm;Nilai default adalah kosong): Access point mengiklankan salah satu cipher, dan menggunakannya untuk mengenkripsi semua frame broadcast dan multicast. Klien upaya koneksi hanya untuk akses poin yang menggunakan salah satu cipher kelompok tertentu.
----tkip - Temporal Key Integrity Protocol - protokol enkripsi, kompatibel dengan peralatan lagacy WEP, tetapi ditingkatkan untuk memperbaiki beberapa kekurangan WEP
----aes-ccm - lebih aman WPA protokol enkripsi, berdasarkan AES dapat diandalkan (Advanced Encryption Standard).Jaringan bebas dari warisan WEP harus menggunakan hanya ini
---group-key-update (interval waktu di kisaran 30-an .. 1h; nilai default: 5m): Kontrol seberapa sering jalur akses kelompok tombol update. Tombol ini digunakan untuk mengenkripsi semua frame broadcast dan multicast.
Properti ini tidak berpengaruh dalam mode stasiun.
---wpa-pre-shared-key, wpa2-pre-shared-key (text) :WPA dan WPA2 bersama tombol modus-pra mengharuskan semua perangkat dalam BSS untuk memiliki kunci rahasia umum. Nilai tombol ini dapat menjadi teks yang sewenang-wenang.
RouterOS juga memungkinkan untuk menimpa Kunci pra-berbagi nilai-pra untuk klien tertentu, menggunakanprivate-pre-shared-key milik pribadi dalam access-list , atau-Wireless-PSK atribut Mikrotik dalam respon otentikasi MAC RADIUS. Ini adalah ekstensi.
Properti ini berpengaruh hanya jika authentication-types mengandung baik WPA-PSK atau WPA2-PSK.
---wpa-pre-shared-key digunakan untuk otentikasi tipe-psk wpa. WPA2-pre-shared-key digunakan untukWPA2-PSK.--WPA EAP properti
Properti ini berpengaruh hanya jika authentication-typesmengandung wpa2-eap,atau WPA2-EAP, danmode=dynamic-keys.
----eap-tls - Menggunakan built-in otentikasi EAP TLS. Kedua sertifikat client dan server yang didukung. Lihat deskripsi tls-mode dan tls-certificate properties.
----passthrough - Jalur akses akan menyampaikan proses otentikasi ke server RADIUS. Nilai ini diabaikan dalam mode stasiun.
Order nilai yang signifikan untuk konfigurasi jalur akses, digunakan dengan jalur akses saat menawarkan metode tertentu untuk klien.
Contoh: Jalur akses menggunakan keamanan-profil mana eap-methods=eap-tls,passthrough:
Menawarkan akses point EAP-TLS metode untuk klien.
Klien menolak.
Jalur akses mulai menyampaikan komunikasi EAP ke server radius.
---supplicant-identity (teks; nilai default adalah sama dengan system/identity dari penerus pada saat pembuatan profil): Identitas EAP yang dikirimkan oleh klien pada awal otentikasi EAP. Nilai ini digunakan sebagai nilai untuk atribut User-Name dalam pesan RADIUS yang dikirim oleh akuntansi EAP RADIUS RADIUS dan EAP pass-through otentikasi.
---tls-mode (one of verify-certificate, dont-verify-certificate, no-certificates; default value: no-sertifikat):
----verify-certificate - remote perangkat Perlu memiliki sertifikat yang sah. Periksa apakah sudah ditandatangani oleh otoritas sertifikat yang dikenal. Tidak ada verifikasi identitas tambahan dilakukan.
Catatan: Sertifikat dapat mencakup informasi mengenai jangka waktu selama yang berlaku. Jika router memiliki waktu yang salah dan tanggal, mungkin menolak sertifikat yang sah karena jam router di luar periode itu.
Lihat juga: sertifikat konfigurasi.
Catatan: Sertifikat dapat mencakup informasi mengenai jangka waktu selama yang berlaku. Jika router memiliki waktu yang salah dan tanggal, mungkin menolak sertifikat yang sah karena jam router di luar periode itu.
Lihat juga: sertifikat konfigurasi.
-----dont-verify-certificate - Jangan memeriksa sertifikat perangkat remote. Jalur akses tidak akan memerlukan klien untuk memberikan sertifikat.
-----no-sertifikat - Jangan menggunakan sertifikat. sesi TLS dibentuk menggunakan kurs 2048 bit Diffie-Hellman anonim kunci.
Ketika menggunakan pertama dua mode, perangkat remote harus mendukung salah satu dari "RC4-MD5", "RC4-SHA" atau "DES-CBC3-SHA" TLS cipher suite. Dalam modus terakhir perangkat remote harus mendukung "ADH-DES-CBC3-SHA" cipher suite.
Properti ini berpengaruh hanya jika eap-methods mengandung EAP-TLS.
---tls-certificate (none or name of certificate; default : none): Access point selalu membutuhkan sertifikat jika dikonfigurasi dengan tls-mode=verify-certificate, atau tls-mode=dont-verify-certificate. Kebutuhan klien sertifikat hanya jika jalur akses dikonfigurasi dengan tls-mode=verify-certificate. Dalam kasus ini klien perlu sertifikat yang sah yang ditandatangani oleh CA dikenal ke jalur akses.
Properti ini berpengaruh hanya jika tls-mode≠no-certificates.
Properti ini berpengaruh hanya jika eap-methods mengandung eap-tls.
--RADIUS properties
---radius-mac-authentication (ya atau tidak; nilai default: no): Properti ini mempengaruhi cara bagaimana proses jalur akses klien yang tidak ditemukan dalam access-list..
----no - membolehkan atau menolak otentikasi klien berdasarkan default-authentication dari antarmuka nirkabel.
----ya - Query server RADIUS menggunakan alamat MAC dari klien sebagai nama pengguna. Dengan nilai ini setting default-authentication tidak akan berpengaruh.
---radius-mac-accounting (ya atau tidak; nilai default: no): (kebutuhan editing)
---radius-eap-accounting (ya atau tidak; nilai default: no): (kebutuhan editing)
---interim-update (interval waktu; nilai default: 0): Ketika akuntansi RADIUS digunakan, jalur akses secara berkala mengirimkan update informasi akuntansi ke server RADIUS. Properti ini menentukan default interval update yang dapat ditimpa oleh server RADIUS menggunakan atribut Acct-Interim-Interval.
---radius-mac-format (salah satu XX: XX: XX: XX: XX: XX, XXXX: XXXX: XXXX, XXXXXX: XXXXXX, XX-XX-XX-XX-XX-XX, XXXXXX-XXXXXX, XXXXXXXXXXXX, XX XX XX XX XX XX; nilai default: XX: XX: XX: XX: XX: XX):Kontrol bagaimana alamat MAC klien dikodekan dengan jalur akses dalam Nama-atribut Pengguna otentikasi MAC dan RADIUS akuntansi permintaan MAC.
---radius-mac-mode (salah satu as-username, as-username-dan-password; nilai default: as-username):Secara default titik akses menggunakan password kosong, ketika mengirim Access-Permintaan selama otentikasi MAC. Jika properti ini diset sebagai-dan username-password-, jalur akses yang akan menggunakan nilai yang sama untuk atribut User-Password seperti untuk atribut User-Name.
---radius-mac-caching (baik atau interval waktu dinonaktifkan; nilai default: dinonaktifkan): Jika nilai ini disetel untuk interval waktu, jalur akses yang akan cache RADIUS respon otentikasi MAC untuk waktu tertentu, dan tidak akan menghubungi server RADIUS jika cocok dengan entri cache sudah ada. Nilai menonaktifkan cache akan dinonaktifkan, jalur akses selalu akan menghubungi server RADIUS.
WEP properties
Properti ini berpengaruh hanya bila modus static-keys-required atau static-keys-optional.
---static-key-0, static-key-1, static-key-2, static-key-3 (heksadesimal dari representasi. Kunci statis Panjang kunci harus sesuai dengan algoritma yang dipilih - lihat bagian "Statically configured WEP keys ; nilai default kosong):
---static-algo-0, static-algo-1, static-algo-2, static-algo-3 (salah satu tidak ada, 40bit-WEP, 104bit-WEP, TKIPatau aes-CCM; nilai default: none): Algoritma Enkripsi untuk digunakan dengan tombol yang sesuai.
---static-transmit-key (salah satu key-0, key-1, key-2 or key-3; nilai default: key-0): Jalur akses akan menggunakan kunci tertentu untuk mengenkripsi frame untuk klien yang tidak menggunakan kunci pribadi . Jalur akses juga akan menggunakan kunci ini untuk mengenkripsi frame broadcast dan multicast.
Klien akan menggunakan kunci tertentu untuk mengenkripsi frame jika static-sta-private-algo=none.Jika sesuai static-algo- property sudah tidak ada nilai, frame akan dikirim tidak terenkripsi (when mode=static-keys-optional) atau tidak akan dikirim sama sekali (when mode=static-keys-required).
---static-sta-private-key (dari tombol Panjang. heksadesimal representasi dari kunci harus sesuai untuk algoritma yang dipilih - lihat bagian " statis dikonfigurasi kunci WEP "): Properti ini hanya digunakan dalam modus stasiun. Jalur akses menggunakan tombol yang sesuai baik access-list milik private-key, atau dari-Wireless-Enc-Key atribut RADIUS Mikrotik di respon otentikasi MAC Terima-Access.
---static-sta-private-algo (salah satu none, 40bit-wep, 104bit-wep, tkip or aes-ccm) : Enkripsi algoritma untuk digunakan dengan kunci pribadi stasiun. Menonaktifkan Nilai tidak menggunakan kunci pribadi.
Properti ini digunakan hanya dalam modus stasiun. Jalur akses harus mendapatkan nilai yang sesuai baikprivate-algo milik pribadi access-list , atau dari-Wireless-Enc-algo atribut RADIUS Mikrotik di respon otentikasi MAC Terima-Access.
Stasiun kunci privat menggantikan tombol 0 untuk frame unicast. Stasiun tidak akan menggunakan kunci privat untuk mendekripsi siaran frame.
--Management frame protection
Digunakan untuk: pencegahan serangan Deauthentication, alamat MAC masalah kloning.RouterOS menerapkan manajemen frame algoritma perlindungan kepemilikan berdasarkan rahasia bersama. Manajemen bingkai perlindungan berarti bahwa perangkat nirkabel RouterOS mampu memverifikasi sumber bingkai manajemen dan pastikan bahwa frame tertentu tidak berbahaya. Fitur ini memungkinkan untuk menahan serangan deauthentication dan pemisahan di RouterOS berbasis perangkat nirkabel.
Manajemen mode proteksi dikonfigurasi dalam keamanan-profil dengan pengaturan management-protection.nilai-nilai yang memungkinkan adalah: cacat - manajemen proteksi dinonaktifkan (default), diperbolehkan - menggunakan perlindungan manajemen jika didukung oleh pihak remote (untuk AP - memungkinkan kedua, non-manajemen perlindungan dan perlindungan nasabah manajemen, untuk klien - terhubung baik ke AP dengan dan tanpa manajemen perlindungan), diperlukan - membentuk asosiasi hanya dengan perangkat remote yang mendukung manajemen perlindungan (untuk AP - hanya menerima klien yang mendukung manajemen perlindungan, untuk klien - terhubung hanya ke AP yang mendukung perlindungan manajemen).
Manajemen perlindungan rahasia bersama dikonfigurasi management-protection-key keamanan.
Ketika interface dalam mode AP, standar manajemen perlindungan kunci (dikonfigurasi dalam keamanan-profil) dapat overridded dengan kunci tertentu dalam akses-daftar atau atribut RADIUS.
0 name="default" mode=none authentication-types="" unicast-ciphers=""
group-ciphers="" wpa-pre-shared-key="" wpa2-pre-shared-key=""
supplicant-identity="n-str-p46" eap-methods=passthrough
tls-mode=no-certificates tls-certificate=none static-algo-0=none
static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none
static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none
static-sta-private-key="" radius-mac-authentication=no
radius-mac-accounting=no radius-eap-accounting=no interim-update=0s
radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username
radius-mac-caching=disabled group-key-update=5m
management-protection=disabled management-protection-key=""
/interface wireless security-profiles> set default management-protection=allowed disabled required
Operation details
--RADIUS MAC authentication
Catatan: RAIDUS otentikasi MAC digunakan oleh jalur akses untuk klien yang tidak ditemukan dalam access-list , sama default-authenticationdari antarmuka nirkabel. Dia mengontrol apakah klien diperbolehkan untuk melanjutkan dengan otentikasi, atau ditolak segera.Ketika radius-mac-authentication=yes, jalur akses query server RADIUS dengan mengirim Access-Request dengan atribut sebagai berikut:
---User-Name - Client alamat MAC. Hal ini dikodekan sebagai ditentukan radius-mac-format setting radius.Encoding default adalah "XX: XX: XX: XX: XX: XX".
---Nas-Port-Id - nama antarmuka nirkabel.
---User-Password - Ketika radius-mac-mode=as-username-and-password ini disetel ke nilai yang sama sebagai Pengguna-Nama. Jika atribut ini kosong.
---Calling-Station-Id - Client MAC alamat, dikodekan sebagai "XX-XX-XX-XX-XX-XX".
---Disebut-Station-Id - MAC address dan SSID titik akses, dikodekan sebagai "XX-XX-XX-XX-XX-XX: SSID" (pasang dipisahkan minus digit alamat MAC, diikuti oleh titik dua, diikuti oleh nilai SSID) .
---Acct-Session-Id - Ditambahkan saat radius-mac-accounting=yes.
Saat titik akses menerima akses-Menerima atau respons akses-Tolak dari server RADIUS, menyimpan respon dan baik mengijinkan atau menolak klien. Jalur akses menggunakan atribut berikut RADIUS dari Access-Accept tanggapan:
---Ascend-Data-Rate
---Mendaki-Xmit-Rate
---Mikrotik-Wireless-Forward - Sama seperti access-list forwarding.
---Mikrotik-Wireless-Enc-algo - Sama seperti access-list private-algo.
---Mikrotik-Wireless-Enc-Key - Sama seperti access-list private-key.
---Mikrotik-Wireless-PSK - Sama seperti access-list private-pre-shared-key.
---Session-Timeout - Waktu, setelah klien akan terputus.
---Acct-Interim-Interval - Overrides nilai interim-update.
---Kelas - Jika ada, nilai atribut ini disimpan dan dimasukkan dalam pesan Akuntansi-Permintaan.
Caching
Caching otentikasi MAC RADIUS ditambahkan untuk mendukung otentikasi RADIUS untuk klien yang memerlukan dari titik akses respon sangat cepat ke permintaan asosiasi. Klien seperti waktu keluar sebelum respon dari server RADIUS diterima. Jalur akses cache otentikasi respons untuk beberapa waktu dan dapat langsung membalas permintaan asosiasi berulang dari klien yang sama.RADIUS EAP pass-through authentication
Bila menggunakan jenis otentikasi EAP WPA, klien yang telah lulus otentikasi MAC diminta untuk melakukan otentikasi EAP sebelum berwenang untuk melewatkan data pada jaringan nirkabel. Dengan pass-melalui metode EAP jalur akses yang akan relay otentikasi ke server RADIUS, dan menggunakan atribut berikut dalam pesan RADIUS Access-Request:
---User-Name - EAP identitas berdoa. Nilai ini dikonfigurasi supplicant-identity dari profil keamanan klien.
---Nas-Port-Id - nama antarmuka nirkabel.
---Calling-Station-Id - Client MAC alamat, dikodekan sebagai "XX-XX-XX-XX-XX-XX".
---Disebut-Station-Id - MAC address dan SSID titik akses, dikodekan sebagai "XX-XX-XX-XX-XX-XX: SSID" (pasang digit alamat MAC yang dipisahkan oleh tanda minus, diikuti dengan titik, diikuti dengan SSID nilai).
---Acct-Session-Id - Ditambahkan saat radius-eap-accounting=yes.
---Acct-Multi-Session-Id - MAC address dari access point dan klien, dan unik 8 nilai byte, yang digunakan bersama-sama untuk semua sesi akuntansi yang berbagi satu otentikasi EAP. Dikodekan sebagai AA--AA AA-AA-AA-AA-CC-CC-CC-CC-CC-CC-XX-XX-XX-XX-XX-XX-XX-XX.
Ditambahkan saat radius-eap-accounting=yes.
Jalur akses menggunakan atribut berikut RADIUS dari Access-Accept respon dari server:
---Kelas - Jika ada, nilai atribut ini disimpan dan dimasukkan dalam pesan Akuntansi-Permintaan.
---Session-Timeout - Waktu, setelah klien akan terputus. Selain itu, jalur akses akan mengingat hasil otentikasi, dan jika selama ini klien kali menghubungkan, maka akan resmi segera, tanpa mengulangi otentikasi EAP.
---Acct-Interim-Interval - Overrides nilai interim-update.
--Statis dikonfigurasi kunci WEP
algoritma yang berbeda membutuhkan panjang kunci yang berbeda:
---40bit-WEP - 10 digit heksadesimal (40 bit). Jika kunci lebih panjang, hanya 40 bit pertama digunakan.
---104bit-WEP - 26 digit heksadesimal (104 bit). Jika kunci lebih panjang, hanya 104 bit pertama digunakan.
---TKIP - Setidaknya 64 digit heksadesimal (256 bit).
---aes-CCM - Setidaknya 32 digit heksadesimal (128 bit).
Kunci harus berisi bahkan jumlah digit heksadesimal.--WDS konfigurasi keamanan
link WDS dapat menggunakan semua fitur keamanan yang tersedia. Namun, mereka memerlukan konfigurasi hati-hati parameter keamanan.Hal ini dimungkinkan untuk menggunakan satu profil keamanan bagi semua klien, dan profil keamanan yang berbeda untuk link WDS. Keamanan profil untuk link WDS ditentukan dalam connect-list . Jalur akses selalu memeriksa terhubung daftar sebelum membangun link WDS dengan jalur akses lain, dan menggunakan pengaturan keamanan dari yang cocok dengan entri daftar terhubung. WDS link akan bekerja ketika setiap jalur akses akan memiliki entri daftar terhubung yang cocok dengan perangkat lain, telah connect=yes dan menentukan security-profile.
--WDS dan WPA/WPA2
Jika jalur akses yang menggunakan profil keamanan dengan mode=dynamic-keys, maka enkripsi akan digunakan untuk semua link WDS. Sejak WPA otentikasi dan pertukaran kunci tidak simetris, salah satu jalur akses yang akan bertindak sebagai klien untuk tujuan membangun sambungan aman. Hal ini mirip dengan bagaimana statis-mesh dan dinamis-mesh WDS mode kerja. Beberapa masalah, seperti WDS link sisi tunggal antara dua titik akses dikonfigurasi dengan benar yang menggunakan modus non-mesh, tidak mungkin jika WPA enkripsi diaktifkan. Namun, non-mesh mode dengan WPA masih memiliki masalah lain (seperti usaha-usaha rekoneksi konstan dalam kasus mismatch konfigurasi) yang diselesaikan dengan menggunakan mesh-mode WDS.Secara umum, sifat WPA pada kedua jalur akses yang dilindungi membangun link WPA WDS harus cocok. Properti ini authentication-types, unicast-ciphers, group-ciphers. Untuk mesh WDS mode non-sifat ini harus memiliki nilai yang sama pada kedua perangkat. Dalam modus WDS mesh setiap jalur akses harus mendukung yang lain sebagai client.
Secara teoritis adalah mungkin untuk menggunakan otentikasi Radius MAC dan lainnya RADIUS layanan dengan link WDS. Namun, hanya satu jalur akses akan berinteraksi dengan server RADIUS, titik akses lainnya akan bertindak sebagai klien.
Pelaksanaan EAP-TLS metode EAP RouterOS sangat cocok untuk enkripsi WDS link. Tls-mode = no-sertifikattidak memerlukan konfigurasi tambahan, dan menyediakan enkripsi yang sangat kuat.
--WDS dan WEP
mode, static-sta-private-key dan static-sta-private-algo parameter statik dalam profil keamanan ditugaskan ke link WDS perlu memiliki nilai yang sama pada kedua jalur akses yang membangun link WDS dengan enkripsi WPA.profil Keamanan dan jalur akses yang cocok dalam daftar terhubung
Klien menggunakan nilai connect-list security-profile properti keamanan hanya cocok dengan jalur akses yang mendukung keamanan yang diperlukan.
---mode static-keys-required dan mode=static-keys-optional match hanya akses poin dengan modus yang sama dalam interface security-profile.
---Jika mode=dynamic-keys, lalu hubungkan masukan daftar cocok jika authentication-types, unicast-ciphersberisi setidaknya satu nilai yang diiklankan oleh jalur akses.
No comments:
Post a Comment