Académique Documents
Professionnel Documents
Culture Documents
1 www.mikrotik.com
Objetivos del Curso:
•Proporcionar el entrenamiento teórico y
practico sobre RouterOS MikroTik en
configuraciones Inalámbricas Avanzadas para
empresas de pequeño, mediado y gran tamaño
• Introducción a redes 802.11n
•Al finalizar este curso usted estará en la
capacidad de planificar, implementar, ajustar y
depurar configuraciones de redes inalámbricas
con RouterOS MikroTik.
2 www.mikrotik.com
Temas de Información General
•Visión general de estándares inalámbricos
•Herramientas inalámbricas
•Solución de problemas de clientes inalámbricos
•Configuración inalámbrica avanzada
–DFS y regulación por países
–Data rate y TX power
–Virtual AP
3 www.mikrotik.com
Temas de Información General
•Medidas de Seguridad Inalambrica
–Access List y Connect List
–Management Frame Protection
–RADIUS MAC Authentication
–Encriptación
•Wireless WDS y MESH
•Wireless Transparent Bridge
–WDS
–VPLS / MPLS Transparent Bridge
•Wireless Nstreme Protocol
•802.11n
4 www.mikrotik.com
Presentación:
•Por favor presentemos ante la clase
–NOMBRE
–COMPAÑÍA
–CONOCIMIENTOS PREVIOS DE ROUTEROS
–CONOCIMIENTOS PREVIOS SOBRE REDES
–CUAL ES TU EXPECTATIVAS DEL CURSO
•POR FAVOR RECUERDE EL NUMERO CON EL
QUE VA A TRABAJAR DURANTE TODO ESTE
CURSO
•MI NUMERO ES _____
5 www.mikrotik.com
Configuración de laboratorio
Inicial
•Crear una red Ethernet 192.168.XY.0/24 entre
su portátil (1) y el router (254)
•Conectar al Router al AP SSID “MTCWE”
•Asignar la dirección 10.1.1.XY/24 a la WLAN 1
•Configura el GW y DNS 10.1.1.254 (Router)
•Obtener acceso al internet desde su portátil a
través de su router local
• Crea un nuevo usuario a su router y añadir la
clave “mikrotikXY” al usario admin
6 www.mikrotik.com
Configuración de laboratorio
Inicial
7 www.mikrotik.com
Configuración de laboratorio
Inicial
•Configure en System Identity en su router y en
Radio Name “Su número_Su nombre” Ejemplo:
“0_Miguel”
•Actualice su router a la ultima versión
•Configure el NTP cliente. Utilice inocar.ntp.ec
como servidor NTP
•Cree un backup de esta configuración y guarde
un respaldo en su computadora (esta será la
configuración por defecto)
8 www.mikrotik.com
Revisión de configuraciones
•Todos deben estar en la lista de registro
principal del AP
9 www.mikrotik.com
Wireless Standards
•802.11b – 11Mbps, 2.4Ghz
•802.11g – 54Mbps, 2.4Ghz
•802.11a – 54Mbps, 5Ghz
•802.11n – 300Mbps, 2.4/5Ghz
10 www.mikrotik.com
Bandas Wireless
•2Ghz
– B, B/G, Only-G, G-Turbo, Only-N, B/G/N,
5mhz, 10mhz
•5Ghz
– A, A-Turbo, Only-N, A/N, 5mhz, 10mhz
11 www.mikrotik.com
Bandas Soportadas por Chipsets
•AR5213/AR5414
– A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz
•AR5416/AR9160/AR9220
– A/B/G/N, 5Mhz*, 10Mhz*
•*not fully supported
12 www.mikrotik.com
Frecuencias Soportadas
•A/B/G Atheros chipset cards usually
support such frequencies
– 2Ghz band: 2192-2539Mhz
– 5Ghz band: 4920-6100Mhz
•N Atheros chipset cards usually support
such frequencies
– 2Ghz band: 2192-2539Mhz
– 5Ghz band: 4800-6075Mhz
13 www.mikrotik.com
Lista de Scan
•Frecuencias por defecto del Scan List, se muestran con
negrita en el campo de frecuencias (únicamente en
WinBox)
•Valores por defecto en el Scan List por país son mostrados
como “default”
•Rango de frecuencias se especifica por un guión medio
Ø5500-5700
•Frecuencas exactas se especifica con una coma
Ø5500,5520,5540
•Opciones mixtas también son posible
Ø5520,5540,5600-5700
14 www.mikrotik.com
Herramientas Wireless para
encontrar la mejor
banda/frecuencia
www.mikrotik.com 15
Herramientas Wireless
•Scan
•Frequency Usage
•Spectral Scan/History
•Snooper
•Align
•Sniffer
16 www.mikrotik.com
Scan y Frequency Usage
17 www.mikrotik.com
Spectral Scan/History
18 www.mikrotik.com
Historia - Espectral
19 www.mikrotik.com
Historia - Espectral
20 www.mikrotik.com
Escaneo - Espectral
•Seguimiento continuo de los datos espectrales
•Cada línea nos muetra un cubo del
espectrograma.
ØFrecuencia
ØValor numérico de potencia media
ØBarra de caracteres gráfico
§Valor de potencia media “:”
§Muestra Opciones de Interferencia.
21 www.mikrotik.com
Escaneo - Espectral
22 www.mikrotik.com
Herramienta Wireless Snooper
23 www.mikrotik.com
Herramienta Alignment
24 www.mikrotik.com
Wireless Sniffer
25 www.mikrotik.com
Laboratorio de Herramientas
Wireless
•Activar su router como AP en una frecuencia de
2.4 GHz
•Utilizando las Herramiente Wireless compruebe la
frecuencia menos ocupada.
26 www.mikrotik.com
Uso del DFS para Selección
Automática de Frecuencia
27 www.mikrotik.com
DFS
•Dynamic Frequency Selection (DFS)
29 www.mikrotik.com
Regulación Wireless por País
•Frequency mode “regulatory
domain”
- Restringe el uso únicamente a los
canales permitidos con potencias de
transmisión permitidas
•“manual txpower” -
-Ignora las restricciones de
transmisión de potencia pero aplica
las limitaciones de frecuencias
• “superchannel”
- Ignora todas las restricciones
30 www.mikrotik.com
Analizando la tabla de registro para
solución de problemas de la
conexiones inalámbrica
31 www.mikrotik.com
Solución de problemas del cliente
Wireless
•ACK-timeout
•CCQ
•TX/RX Signal Strength
•Frames vs. HW-frames
•Data-rate jumping
32 www.mikrotik.com
Tabla de Registración
33 www.mikrotik.com
CCQ – Client Connection Quality
•Valor en porcentaje que muestra el grado de eficacia
se utiliza el ancho de banda con respecto al ancho de
banda máximo teórico disponible
•Promedio ponderado de los valores Tmin / Treal
calculado para cada trama transmitida
–Tmin es el tiempo que se necesitaría para transmitir una
trama dada a la tasa más alta sin reintentos
–Treal es tiempo que se tardó en transmitir marco en la vida
real
34 www.mikrotik.com
Frames vs. HW-frames
•Retransmisión inalámbrica es cuando la tarjeta envía
una frame (trama) y no recibe de vuelta el acuse de
recibo (ACK), usted envía el frame una vez más hasta
que regrese el reconocimiento
•Si el valor hw-frame es más grande que el valor de
frame entonces significa que el enlace inalámbrico está
haciendo retransmisiones
•En caso de Nstreme usted no puede comparar los
frames con hw-frames
35 www.mikrotik.com
Uso de la configuración avanzada para la
solución de problemas y puesta a punto
de la conexión inalámbrica
36 www.mikrotik.com
Wireless Advanced Settings
•Advanced Wireless Tab settings
•HW-retries
•HW-protection
– RTS/CTS
– CTS to self
•Adaptive-noise-immunity
•Configuration Reset
•WMM
37 www.mikrotik.com
Advanced Wireless Tab
38 www.mikrotik.com
Advanced Wireless Tab
•Área - cadena descrita por el AP, usada en los
clientes del Connect-list para la elección del AP
por el area-prefix
•Ack-timeout - tiempo de espera de acuse de
recibo en us; “dinamic" por defecto
•Hide-ssid - ocultar SSID
39 www.mikrotik.com
Reintentos-HW
•Número de intentos de envió de frames hasta que la
transmisión se considere fallida
•Date rate es decrementado en caso de fallo
•Pero si esta en un tasa mas baja, 3 fallas consecutivas
activan on-fail-retry-time (tiempo de reintento en falla)
la transmisión se para y se resetea el contador
•El frame esta siendo retrasmitido, ya sea hasta que sea
exitoso o hasta que el cliente se desconecte
–Disconected-timeout realizado
40 www.mikrotik.com
HW-protection
•Protección Frame ayuda a combatir el
problema de "nodo oculto“
•RTS/CTS protección
•“CTS to self” protección
•hw-protection-threshold umbral de tamaño de
la trama en el que se debe usar protección 0
usado para todas las tramas
41 www.mikrotik.com
Protección Basada en RTS/CTS
•Protección Basada en RTS/CTS
42 www.mikrotik.com
Protection Basada en “CTS to self”
•Protección basada en"CTS to self“
–Dispositivos dispuestos a enviar frames envian una trama
CTS a si mismo
43 www.mikrotik.com
“CTS to self” o RTS/CTS
•Si hay 2 estaciones "ocultas", no sirve de nada para
que utilicen protección "CTS to self", porque no van a
poder recibir CTS enviado por otra estación - en este
caso las estaciones deben utilizar RTS / CTS para que
otras estaciones sepan que no habrá transmisión hasta
ver la trama CTS transmitido por AP
44 www.mikrotik.com
Umbral de fragmentación HW
•Tamaño máximo del fragmento en bytes cuando transmite a
través de un medio inalámbrico
•La fragmentación permite que los paquetes sean fragmentados
antes de ser transmitidos en un medio inalámbrico para
aumentar la probabilidad de una transmisión con éxito
•Únicamente fragmentos que no son transmitidos de forma
correcta son retransmitidos
•La transmisión de paquete fragmentado es menos eficiente que
la transmisión del paquete no fragmentado debido a la
sobrecarga del protocolo y un mayor uso de recursos en ambos -
transmisora y la parte receptora
45 www.mikrotik.com
Adaptive-noise-immunity
(Inmunidad adaptable al ruido)
•Ajusta diversos parámetros del receptor
dinámicamente para minimizar el efecto de
interferencia y ruido en la calidad de la señal
•Funciona en chipset Atheros 5212 o más reciente y
utiliza la potencia de la CPU
•3 opciones
üNone – deshabilitado
ü Client-mode – sólo se activará si la estación o estaciones-
wds utilizan
üAp-and-client-mode – se habilitará en cualquier modo
46 www.mikrotik.com
Wireless Configuration reset
Reseteo de configuraciones Wireless
•A veces, después de reconfigurar
la configuración avanzada es
posible que desee volver a la
configuración predeterminada
•Utilizando la opción "Reset
Configuration" - restablece los
valores por defecto de las tarjetas
inalámbricas
47 www.mikrotik.com
Wireless MultiMedia (WMM)
•4 colas que transmiten con prioridad:
ü1,2 – background (suelo, piso)
ü0,3 – best effort (mejor esfuerzo)
ü4,5 – video (video)
ü6,7 – voice (voz)
48 www.mikrotik.com
Modificando data rates y tx-power
para establecer conexiones
Wireless
49 www.mikrotik.com
Los rates básicos y soportados
•Rates soportados – data
rate del cliente
50 www.mikrotik.com
Data rate (cambiando opciones)
•Baje los máximos "data-rate" soportados en el cliente que tiene
problemas de estabilidad.
•Baje los máximos "data-rate" soportados en el AP si la mayoría
de los clientes tienen problemas cuando se ejecutan en el “data-
rate” mas alto.
•No se recomienda desactivar “data-rate” bajos y dejar sólo
“data-rate” altos activados, esto podría producir desconexión de
enlaces mas a frecuentemente.
•Tenga en cuenta que el AP y el cliente debe soportar los mismos
“data-rate” básicos para establecer la conexión inalámbrica
51 www.mikrotik.com
TX power
•Diferente TX-power
para cada data-rate.
Mayor data rate, menor
potencia.
•Desactivar data-rate
altos podría mejorar la
señal, ya que utiliza
mayor tx-power en data-
rate mas bajos
52 www.mikrotik.com
Modo TX-power
•Default - utiliza valores de tx-power desde las tarjetas
•Card-rates – usa tx-power para que los diferentes rates
se calculen acorde a los algoritmos de transmisión
potencia de las tarjetas, como argumento toma el valor
de TX-power
•All-rates-fixed – usa un valor de TX-power para todos
los rates
•Manual-table – usa el TX-power que es definido en
/interface wireless manual-tx-power-table
53 www.mikrotik.com
Laboratorio de Data Rates
•Configure un AP para permitir data rates de
hasta 24 Mbps de velocidad de datos y probar el
máximo rendimiento.
54 www.mikrotik.com
Uso de la función de AP virtual
para crear múltiples puntos de
acceso
55 www.mikrotik.com
Virtual AP
•Se usa para crear un nuevo AP (virtual) sobre una
misma tarjeta inalámbrica física.
•Trabaja sobre chipset Atheros AR5212 en adelante.
•Hasta 128 AP virtual por tarjeta inalámbrica.
•Utiliza diferentes direcciones MAC y puede ser
cambiadas.
•Puede tener diferentes SSID, perfil de seguridad,
Access / Connect-list, opciones de WDS
56 www.mikrotik.com
Virtual AP Setup
57 www.mikrotik.com
Laboratorio de Virtual AP
•Trabajar en parejas.
•Conecte ambos router usando un cable
Ethernet.
•Primer router
–Cree 2 interfaces VLANs en la Ethernet
–Cree 1 dirección IP para cada VLAN
–Cree 2 servidores DHCP uno en cada VLAN
58 www.mikrotik.com
Laboratorio de Virtual AP
•Segundo router
– Cree 2 interfaces VLANs en la Ethernet con el VLAN ID del
primer router
–Cree 2 Virtual AP con diferentes SSID
–Cree un Bridge entre la primera VLAN y el primer Virtual AP
–Cree otro Bridge entre la segunda VLAN y el segundo Virtual
AP
60 www.mikrotik.com
Administración de Acceso
•default-forwarding (en AP) – define si los clientes
inalámbricos pueden comunicarse directamente entre sí
(listas de acceso puede sustituir este valor para clientes
individuales)
62 www.mikrotik.com
Wireless Access List
•Es posible especificar política de autenticación para niveles de
potencia de la señal específica
–Ejemplo: permite a los clientes conectarse con un buen nivel de señal o
no conectar o conectar a todos
63 www.mikrotik.com
Wireless Access List
64 www.mikrotik.com
Wireless Connect List
•Usado para permitir/denegar aceeso basado en:
–SSID
–MAC address del AP
–Area Prefix del AP
–Signal Strength Range
–Security Profile
65 www.mikrotik.com
Wireless Connect List
66 www.mikrotik.com
Laboratorio de Access/Connect List
•Trabaje con otro grupo para tener 2 AP’s y 2 clientes
por grupo.
•Dejar default-forwarding y default-authentication
habilitado.
•En AP´s
Asegurar que sólo los clientes de su grupo y con intensidad de la
señal entre -70…120 sean capaces de conectarse
67 www.mikrotik.com
Laboratorio de Access/Connect List
•En CLIENTES:
–Asegúrese de que su cliente se conectará sólo a
sus AP´s
–Trate de priorizar un AP sobre otro
•Cuando los AP´s tienen el mismo SSID
•Cuando los AP´s tienen diferente SSID
68 www.mikrotik.com
Centralizado Access List
Gestión – RADIUS
69 www.mikrotik.com
RADIUS Autenticación por MAC
•Opción para centralización remota de RADIUS MAC
autenticación y contabilización.
•Posibilidad de uso de la función de radius-incoming
para desconectar una dirección específica MAC del AP.
•MAC mode – usuario o usuario y contraseña.
•MAC Caching Time – el tiempo que una atenticación
RADIUS espera por una MAC address para ser
considerada valida para ser almacenada.
70 www.mikrotik.com
RADIUS Autenticación por MAC
71 www.mikrotik.com
Configuración de RADIUS Cliente
•Crear un cliente RADIUS en
el menú 'Radius‘
•Especifique el servicio, la
dirección IP del servidor
RADIUS y Secret
•Use “Status section” para
monitorear el estado de la
conexión
72 www.mikrotik.com
La seguridad inalámbrica para
proteger la conexión inalámbrica
73 www.mikrotik.com
Seguridad Wireless
•Authentication
– PSK Authentication
– EAP Authentication
• Encryption
– AES
– TKIP
– WEP
74 www.mikrotik.com
Principales Seguridades
•Autenticación - asegura la aceptación de las
transmisiones sólo de una fuente confirmada.
•Data encryption (cifrado de datos)
–Confidencialidad - asegura que la información es
accesible sólo para aquellos autorizados a tener
acceso.
–Integridad - asegura que la información no se
cambia por otra fuente y es exactamente lo mismo
que fue enviado
75 www.mikrotik.com
76 www.mikrotik.com
PSK Autenticación
•Pre-Shared Key es un mecanismo de autenticación que
utiliza un secreto que fue compartido previamente
entre las dos partes.
•La mayoría de las seguridades inalámbricas usan este
tipo.
•Múltiples tipos de autenticación para un perfil.
•Clave PSK opcional para cada dirección MAC
(utilizando la lista de acceso)
77 www.mikrotik.com
EAP Autenticación
78 www.mikrotik.com
79 www.mikrotik.com
AES-CCM
•AES-CCM – AES con CTR con CBC-MAC.
•AES - Advanced Encryption Standard es un
cifrado de bloques que funciona con un tamaño
fijo de bloque de 128 bits y un tamaño de clave
de 128, 192 o 256 bits.
•CTR - Contador genera el siguiente bloque del
flujo de clave mediante la encriptación de los
valores sucesivos de un "contador"
80 www.mikrotik.com
AES-CCM
•CBC - Cipher Block Chaining cada bloque de
texto plano es XOR con el bloque de texto
cifrado anterior antes de ser encriptado. De esta
manera, cada bloque de texto cifrado depende
de todos los bloques de texto claro
procesados hasta ese punto.
•MAC - Message Authentication Code permite
detectar cualquier cambio en el contenido del
mensaje
81 www.mikrotik.com
TKIP
•Temporal Key Integrity Protocol es un
protocolo de seguridad que se utiliza en las
redes wireless IEEE 802.11.
•TKIP es la evolución de WEP basado en RC4 de
cifrado de flujo.
•A diferencia de WEP proporciona:
–Mezcla de claves por paquete,
–Verificación de la integridad del mensaje,
–Mecanismos de cambio de claves
82 www.mikrotik.com
WEP (obsoleto)
83 www.mikrotik.com
WEP (obsoleto)
84 www.mikrotik.com
Pre-Shared Key (PSK)
•Para hacer PSK
–Use modo “Dynamic Keys”
–Habilitar tipo de autenticación WPAx-PSK
–Especifique Unicast y Grupo cifrados (AES, CCM,
TKIP)
–Especificar WPAx-Pre-Shared Key
86 www.mikrotik.com
Unicast Cipher (Cifrado)
•En el AP y en la estación por lo menos un
sistema de cifrado de unidifusión debe coincidir
para hacer la conexión inalámbrica entre 2
dispositivos
87 www.mikrotik.com
Group Cipher (Grupo de Cifrado)
•Para el AP
–Si del grupo de cifrado del AP puede ser AES y TKIP
lo mas recomendable es AES por ser mas fuerte
–Se aconseja elegir sólo un grupo de cifrado en el
AP
•Para la Estación
–Si en la estación se utilizan ambos sistemas de
cifrado de grupo, significa que se conectará al AP
que soporte cualquiera de estos sistemas de cifrado
88 www.mikrotik.com
EAP RADIUS Security
•Para hacer que la autenticación de transferencia EAP.
–Habilitar tipo de autenticación WPAx-EAP
–Habilitar autenticación MAC
–Establecer Método EAP para passthrough
–Habilitar cliente RADIUS.
89 www.mikrotik.com
EAP RADIUS Security
90 www.mikrotik.com
Wireless Security Lab
•Realizar un enlace wireless con sus compañeros
usando WPA-PSK:
–Crear un perfil de seguridad y utilizar la misma pre-shared
key para establecer una conexión inalámbrica con el router
del compañero.
91 www.mikrotik.com
Protección a los clientes
inalámbricos de deauthentication
y ataques de clonación de MAC
92 www.mikrotik.com
Management Frame Protection
•RouterOS implementa un algoritmo de gestión propio
de protección de frame basado en una clave
compartida
•Dispositivos inalámbricos RouterOS son capaces de
comprobar la fuente de gestión del frame y confirmar
que ese frame en particular no es malicioso
•Permite soportar ataques desautentificación y
desasociación basado en dispositivos inalámbricos
RouterOS
93 www.mikrotik.com
Configuración de Management
Protection
•Configuración en security-profile
–Deshabilitado: management protection esta deshabilitado
–Permitir: usar management protection si es soportado por
la parte remota
•Para AP- permitirá conectarse a ambos: no management protection
y management protection clientes
•Para Clientes- Se conectará a ambos: no management protection y
management protection Aps
–Requerido: establecer asociasion únicamente con
dispositivos remotos que soporten management protection
•Para AP- aceptar únicamente clientes que soporten management
protection
•Para Clientes- conectar únicamente a APs que soportan
management protection
94 www.mikrotik.com
Management Protection key
•Configurar con parámetros en security profile
management-protection-key
•Cuando interfaz está en modo AP, clave por
defecto “management protection" pueden ser
anulados por clave especificada en "access-list"
o atributos de RADIUS.
95 www.mikrotik.com
Management Protection Lab
•Trabajar en grupos de 3 personas
•Una persona crea un AP
•Los otros dos se conectan a ese AP
•Uno de los 2 clientes clona la dirección MAC del otro cliente
•Revisar conectividad de los 2 clientes hacia el AP
•Establecer un requerimiento de management protection y
especificar una clave en el AP y el cliente original
•Compruebe la conexión del cliente - original y (o) clonado
96 www.mikrotik.com
Wireless WDS y MESH
97 www.mikrotik.com
Wireless WDS y MESH
•WDS
– Dynamic WDS Interface
– Static WDS Interface
•RSTP Bridge
•HWMP+ MESH
– Reactive mode
– Proactive mode
– Portals
98 www.mikrotik.com
WDS – Wireless Distribution
System
•WDS permite crear una cobertura personalizada
inalámbrica usando múltiples puntos de acceso lo que
es imposible hacerlo sólo con un AP
•WDS permite que los paquetes pasan de un AP a otro,
como si los puntos de acceso fueron los puertos en un
switch Ethernet cableado
•APs deben usar la misma banda, el mismo SSID y
operar en la misma frecuencia con el fin de conectar el
uno al otro
99 www.mikrotik.com
Wireless Distribution System
•Un AP en modo (bridge/ap-bridge mode) puede tener enlaces
WDS con:
–Otro AP en modo bridge/ap-bridge
–Otro AP en modo wds-slave (frequencia de adaptación)
–Client en modo station-wds
100 www.mikrotik.com
Configuración WDS
•Existen 4 diferentes modos de operación WDS
–Dynamic - interfaces de WDS se crean de forma automática
tan pronto como se encuentre otro dispositivo compatible
con WDS
–Static – interfaces WDS tienen que ser creadas
manualmente
–Dynamic mesh – es el mismo funcionamiento que el modo
dynamic, pero con soporte HWMP+ (no compatible con
modos dinámicos de otros fabricantes)
–Static mesh – es el mismo funcionamiento que el modo
static, pero con soporte HWMP+ (no compatible con modos
static de otros fabricantes)
101 www.mikrotik.com
Configuración WDS
•WDS Default Cost – costo por
defecto en el puerto bridge
del enlace WDS
•WDS Cost Range – margen
del costo que puede ser
ajustado en fución del
rendimiento del enlace
•WDS Ignore SSID – si desea
crear enlaces WDS con
cualquier otro AP en esta
frecuencia
102 www.mikrotik.com
Dynamic WDS Interface
•Se crea ‘on the fly' y aparece en el menú de WDS
como una interfaz dinámica (flag 'D')
•Cuando un enlace con una interface dinámica WDS se
cae, direcciones IP conectados se deslicen fuera de la
interfaz WDS y la interfaz se deslicen del bridge
•Specifíque parametros “wds-default-bridge” y agregue
direcciones IP al bridge
103 www.mikrotik.com
Static WDS Interface
•Require la dirección MAC destino y parametros de
interface master para ser configurados manualmente
•Interfaces de WDS estáticas nunca desaparecen, a
menos que se deshabiliten o se eliminen
•WDS-default-bridge se debe cambiar a “none”
104 www.mikrotik.com
Static WDS Interface
105 www.mikrotik.com
Point-to-point WDS link
106 www.mikrotik.com
Single Band Mesh
107 www.mikrotik.com
Dual Band Mesh
108 www.mikrotik.com
WDS Mesh y Bridge
•WDS Mesh no es possible sin bridging
•Para crear un WDS mesh todas las interface WDS de cada router
tienen que estar en el mismo bridge con la interface donde se
conectarán los clientes
•Para prevenir posibles loops al habilitar enlaces redundantes es
necesario el uso de (Rapid) Spanning Tree Protocol ((R)STP)
•RSTP trabaja mas rápido cuando existe un cambio de topología
que STP, pero ambos tienen la misma funcionalidad virtual
109 www.mikrotik.com
(Rapid) Spanning Tree Protocol
•(R)STP elimina la posibilidad de que la misma dirección
MAC pueda ser vista en multiples puertos de un bridge,
mediante la desactivación de puertos secundarios a esa
dirección MAC
–Primero (R)STP eligirá un root bridge basado en bridge ID
mas pequeño
–Entonces (R)STP usará breadth-first search algorithm
teniendo el root bridge como punto de partida
•Si el algoritmo llega a la dirección MAC por la primera vez - deja el
enlace activo
•Si el algoritmo llega a la dirección MAC por segunda vez - que
desactiva el enlace
110 www.mikrotik.com
(R)STP in Action
111 www.mikrotik.com
(R)STP Topology
112 www.mikrotik.com
(R)STP Bridge Port Roles
•Disabled port – para puertos de bucles
•Root port – una ruta hacia el root bridge
•Alternative port – backup root port
(únicamente en RSTP)
•Designated port – puerto de paso (reenvío)
•Backup port – backup designated port
(únicamente en RSTP)
113 www.mikrotik.com
Admin MAC Address
•MAC address para un interface
bridge es tomada de uno de los
puertos del bridge
•Si los puertos cambian -
dirección MAC del bridge
también podría cambiar
•Admin MAC option permite
usar una dirección MAC estática
para el bridge
114 www.mikrotik.com
Configuración RSTP
•Router con la
prioridad más baja en
la red va a ser elegido
como Root Bridge
115 www.mikrotik.com
Configuración de puertos RSTP
•Cost - permite elegir
una ruta sobre otra
•Priority - si los costos
son los mismos que se
utiliza para elegir puerto
designado
•Horizon - función que
se utiliza para MPLS
Do not forward packet to the
same label ports
116 www.mikrotik.com
Configuración de puertos RSTP
•Existen 3 opciones que nos permiten optimizar
el rendimiento de RSTP
–Edge Port - indica si este puerto está conectado a
otro(s) bridge
–Point-to-point - indica si este puerto está
conectado sólo a un dispositivo de red (WDS,
Wireless in bridge mode)
–External-fdb – permitir utilizar tablas de registro
en lugar de base de datos de reenvío (sólo AP)
117 www.mikrotik.com
Layer-2 routing for Mesh networks
•MikroTik ofrece alternativas para RSTP - HWMP+
•HWMP+ es un especifico protocol de ruteo de Layer 2
de MikroTik para redes Wireless Mesh
•El protocolo HWMP+ es basado pero no es compatible
con Hybrid Wireless Mesh Protocol (HWMP) de los
estandares IEEE 802.11s
•HWMP+ trabaja únicamente con:
–wds-mode=static-mesh
–wds-mode=dynamic-mesh
118 www.mikrotik.com
HWMP+
•Para configurar HWMP+ use la configuración del menu
“/interface mesh”, es muy similar a la configuración de
un bridge
•HWMP+ proporciona un enrutamiento óptimo basado
en funciones de metricas de enlace
— Para los enlaces Ethernet las métricas puende configurar
estáticamente
— Por enlaces WDS la métrica se actualiza dinámicamente
en función de la fuerza de la señal inalámbrica y la velocidad
de transferencia de datos seleccionado
119 www.mikrotik.com
Reactive Mode Discover
•Todos las trayectorias
son descubiertas bajo
demanda, por un
requerimiento de
trayectoria por la
inundación de un
mensage (PREQ) en la
red
120 www.mikrotik.com
Reactive Mode Discover
121 www.mikrotik.com
Proactive Mode
•En modo proactivo algunos routers se
configuran como portales – que son routers que
tienen interfaces a alguna otra red, por ejemplo,
punto de entrada o salida de una Network Mesh
•Lo mas adecuado es cuando la mayor cantidad
de trafico pasa entre nodos internos de la
Network Mesh y pocos nodos portales.
122 www.mikrotik.com
Proactive Mode Announcement
(Anuncio)
•Los portales
anunciarán su
presencia por un
mensaje de Aviso de
inundaciones Root
(RAAN) en la red.
123 www.mikrotik.com
Proactive Mode Response
(Respuesta)
•Los nodos internos
responderán con un
mesaje Path
Registration (PREG)
•Resultado – árboles
de enrutamiento con
raíces en los routers
de portal
124 www.mikrotik.com
Portals (Portales)
•Rutas a portales servirán como una especie de rutas
por defecto
•Si un router interno no sabe una ruta a un destino en
particular, pedirá todos los datos a su portal más
cercano - el portal luego de descubrir la trayectoria
enviará los datos, si es necesario. Los datos después
fluirá a través del portal
•Esto puede conducir a enrutamiento subóptimo, a
menos que los datos se dirigan al propio portal o
alguna red externa.
125 www.mikrotik.com
Mesh configuration settings
•Reoptimize paths – envía mensajes PREQ
periódicos pidiendo direcciones MAC conocidas
–Si no se recibe respuesta a una PREQ
reoptimization, la ruta existente se mantiene de
todos modos (hasta que los tiempos de espera
terminen)
126 www.mikrotik.com
Laboratorio WDS/MESH
•Crear un Bridge Mesh
128 www.mikrotik.com
Wireless Transparent Bridge
129 www.mikrotik.com
Bridging de Clientes Ethernet
130 www.mikrotik.com
AP-Station WDS Link
131 www.mikrotik.com
Station-WDS
•Configure en modo
station-wds
•WDS-mode debe ser
“disabled” en la tarjeta
Wireless
•Cliente Wireless en
modo Station-WDS puede
estar en un bridged
132 www.mikrotik.com
Pseudobridge mode
•Usa “MAC-NAT” – MAC Address Translation para todo el trafico
•Inspecciona paquetes y genera tablas de correspondencia entre
Direcciones IP y Direcciones MAC (Tablas ARP)
•Todos los paquetes se envían al AP con la dirección MAC
utilizada por el pseudobridge, y las direcciones MAC de los
paquetes recibidos se restauran a partir de la tabla de traducción
de direcciones
•IPv6 no trabaja sobre Pseudobridge
133 www.mikrotik.com
Pseudobridge Clone mode
•station-bridge-clone-mac – usa esta Dirección MAC
cuando se conecta al AP, si el valor es
00:00:00:00:00:00, la estación inicialmente usará la
dirección MAC de la interface Wireless.
•Tan pronto como paquete con la dirección MAC de
otro dispositivo necesita ser transmitida, la estación
volverá a conectarse al AP usando esa dirección
134 www.mikrotik.com
Bridging de Clientes Wireless
135 www.mikrotik.com
Laboratorio de Bridging
Transparente
•Crear un Bridge Traparente entre usted y un
compañero
•Pruebe estos métodos
– WDS
– Pseudobridge mode
– Pseudobridge mode with MAC cloning
137 www.mikrotik.com
MikroTik Nstreme
•Nstreme es propietario de MikroTik's
(incompatible con otros fabricantes) protocolo
wireless creado para mejorar enlaces wireless
point-to-point y point-to-multipoint.
138 www.mikrotik.com
Protocolo Nstreme
•Beneficios del Protocolo Nstreme
–Cliente Polling (consulta constate a los clientes)
–Desactiva CSMA
–No hay límites en el protocolo sobre la distancia de enlace
–Overhead: Es el desperdicio de ancho de banda, causado
por la información adicional (de control, de secuencia, etc.)
–Protocolo con muy pequeño overhead por trama lo cual
permite tener grandes data-rates
–No hay degradación de la velocidad del enlace para largas
distancias
139 www.mikrotik.com
Protocolo Nstreme: Frames
•framer-limit – máximo tamaño de frame
•framer-policy – el método como combiner frames.
141 www.mikrotik.com
Protocolo Wireless Nstreme Dual
142 www.mikrotik.com
Protocolo Nstreme Dual
•Propietario de MikroTik (es decir, incompatibles con
otras marcas) protocolo inalámbrico que funciona con
un par de tarjetas de red inalámbricas (tarjetas de
chipset Atheros solamente) - uno de transmisión, uno
de recepción
143 www.mikrotik.com
Nstreme Dual Interface
144 www.mikrotik.com
802.11n
145 www.mikrotik.com
802.11n
•MIMO
•802.11n Data Rates
•Channel bonding (unión de canales)
•Frame Aggregation
•Configuraciones de la Wireless card
•TX-power para N cards
•Bridge Transparente para enlaces N
•Tuneles MPLS/VPLS
146 www.mikrotik.com
Características de 802.11n
•Increamenta el data rates – sobre los 300Mbps
•20Mhz y 2x20Mhz canales soportados
•Trabaja en 2.4 y 5ghz
•Usa multiples antenas para recibir y transmitir
•Frame aggregation
147 www.mikrotik.com
MIMO
•MIMO – Multiple Input and Multiple Output
•SDM – Spatial Division Multiplexing (Multiplexación
por división espacial)
•Multiple flujos espaciales a traves de multiples
antenas
•Configuración de multiples antenas para transmitir y
recibir
– 1x1, 1x2, 1x3
– 2x2, 2x3
– 3x3
148 www.mikrotik.com
802.11n Data Rates
149 www.mikrotik.com
N card Data Rates
150 www.mikrotik.com
Channel bonding – 2x20Mhz
•Añade un canal de 20Mhz adicional al canal existente
•El canal se coloca debajo o encima de la frecuencia del
canal principal
•Compatible con clientes de 20Mhz
- Conexión realizada en el canal principal
151 www.mikrotik.com
Frame Aggregation
•Combinación de frames de datos en un solo frame
(disminuyendo el overhead)
•Aggregation of MAC Service Data Units (AMSDU)
•Aggregation of MAC Protocol Data Units (AMPDU)
–Usa reconocimiento de bloques
–Puede aumentar la latencia, de forma predeterminada
habilitado sólo para el tráfico de mejor esfuerzo
–Envío y recepción de AMSDUs también aumentará el uso de
CPU
152 www.mikrotik.com
Configuración de Wireless card
153 www.mikrotik.com
TX-power for N cards
•Cuando se utilizan dos
chains al mismo tiempo la
potencia de TX se
incrementa en 3dB - véase
la columna total tx-Power
•Cuando se utilizan tres
cadenas al mismo tiempo
la potencia de TX-se
incrementa en 5dB
154 www.mikrotik.com
Bridging transparente de enlaces N
•WDS no proporcionará la máxima velocidad
porque WDS no soporta la agregación de
frames.
•EOIP agrega overhead.
•Tuneles MPLS/VPLS son utilizados para
velocidades mas rápidas y menos overhead
155 www.mikrotik.com
Bridge VPLS/MPLS para enlaces N
156 www.mikrotik.com
Bridge VPLS/MPLS para enlaces N
157 www.mikrotik.com
Bridge VPLS/MPLS para enlaces N
158 www.mikrotik.com
Bridge VPLS y fragmentación
•Túnel VPLS aumenta el tamaño del paquete
•Si este exede el MPLS MTU de la interface de salida
fragmentación es usada
•Si en caso la interfaz ethernet soporta MPLS MTU
1526 o mayor la fragmentación se puede evitar
mediante el aumento de la MPLS MTU
159 www.mikrotik.com
Laboratorio 802.11n
•Establecer un enlace N con su compañero
•Pon a prueba el rendimiento con uno y con dos
canales
•Crear un bridge transparente usando VPLS
160 www.mikrotik.com