MikroTik

Certified Wireless Engineer

(MTCWE)

1 www.mikrotik.com
 Objetivos del Curso:
•Proporcionar el entrenamiento teórico y
practico sobre RouterOS MikroTik en
configuraciones Inalámbricas Avanzadas para
empresas de pequeño, mediado y gran tamaño
• Introducción a redes 802.11n
•Al finalizar este curso usted estará en la
capacidad de planificar, implementar, ajustar y
depurar configuraciones de redes inalámbricas
con RouterOS MikroTik.
2 www.mikrotik.com
 Temas de Información General
•Visión general de estándares inalámbricos
•Herramientas inalámbricas
•Solución de problemas de clientes inalámbricos
•Configuración inalámbrica avanzada
–DFS y regulación por países
–Data rate y TX power
–Virtual AP

3 www.mikrotik.com
 Temas de Información General
•Medidas de Seguridad Inalambrica
–Access List y Connect List
–Management Frame Protection
–RADIUS MAC Authentication
–Encriptación
•Wireless WDS y MESH
•Wireless Transparent Bridge
–WDS
–VPLS / MPLS Transparent Bridge
•Wireless Nstreme Protocol
•802.11n
4 www.mikrotik.com
 Presentación:
•Por favor presentemos ante la clase
–NOMBRE
–COMPAÑÍA
–CONOCIMIENTOS PREVIOS DE ROUTEROS
–CONOCIMIENTOS PREVIOS SOBRE REDES
–CUAL ES TU EXPECTATIVAS DEL CURSO
•POR FAVOR RECUERDE EL NUMERO CON EL
QUE VA A TRABAJAR DURANTE TODO ESTE
CURSO
•MI NUMERO ES _____
5 www.mikrotik.com
 Configuración de laboratorio
Inicial
•Crear una red Ethernet 192.168.XY.0/24 entre
su portátil (1) y el router (254)
•Conectar al Router al AP SSID “MTCWE”
•Asignar la dirección 10.1.1.XY/24 a la WLAN 1
•Configura el GW y DNS 10.1.1.254 (Router)
•Obtener acceso al internet desde su portátil a
través de su router local
• Crea un nuevo usuario a su router y añadir la
clave “mikrotikXY” al usario admin
6 www.mikrotik.com
 Configuración de laboratorio
Inicial

7 www.mikrotik.com
 Configuración de laboratorio
Inicial
•Configure en System Identity en su router y en
Radio Name “Su número_Su nombre” Ejemplo:
“0_Miguel”
•Actualice su router a la ultima versión
•Configure el NTP cliente. Utilice inocar.ntp.ec
como servidor NTP
•Cree un backup de esta configuración y guarde
un respaldo en su computadora (esta será la
configuración por defecto)
8 www.mikrotik.com
 Revisión de configuraciones
•Todos deben estar en la lista de registro
principal del AP

9 www.mikrotik.com
 Wireless Standards
•802.11b – 11Mbps, 2.4Ghz
•802.11g – 54Mbps, 2.4Ghz
•802.11a – 54Mbps, 5Ghz
•802.11n – 300Mbps, 2.4/5Ghz

10 www.mikrotik.com
 Bandas Wireless

•2Ghz
– B, B/G, Only-G, G-Turbo, Only-N, B/G/N,
5mhz, 10mhz
•5Ghz
– A, A-Turbo, Only-N, A/N, 5mhz, 10mhz

11 www.mikrotik.com
 Bandas Soportadas por Chipsets
•AR5213/AR5414
– A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz
•AR5416/AR9160/AR9220
– A/B/G/N, 5Mhz*, 10Mhz*
•*not fully supported

12 www.mikrotik.com
 Frecuencias Soportadas
•A/B/G Atheros chipset cards usually
support such frequencies
– 2Ghz band: 2192-2539Mhz
– 5Ghz band: 4920-6100Mhz
•N Atheros chipset cards usually support
such frequencies
– 2Ghz band: 2192-2539Mhz
– 5Ghz band: 4800-6075Mhz

13 www.mikrotik.com
 Lista de Scan
•Frecuencias por defecto del Scan List, se muestran con
negrita en el campo de frecuencias (únicamente en
WinBox)
•Valores por defecto en el Scan List por país son mostrados
como “default”
•Rango de frecuencias se especifica por un guión medio
Ø5500-5700
•Frecuencas exactas se especifica con una coma
Ø5500,5520,5540
•Opciones mixtas también son posible
Ø5520,5540,5600-5700

14 www.mikrotik.com
Herramientas Wireless para
encontrar la mejor
banda/frecuencia

www.mikrotik.com 15
 Herramientas Wireless
•Scan
•Frequency Usage
•Spectral Scan/History
•Snooper
•Align
•Sniffer

16 www.mikrotik.com
 Scan y Frequency Usage

•Ambas herramientas utilizan el Scan-List

•La interface es deshabilitada durante el uso de
estas herramientas
•Scan muestra todos los AP basados en 802.11
•Frequency usage muestra el trafico de cada
802.11

17 www.mikrotik.com
 Spectral Scan/History

•Herramienta unicamente usada con Atheros

Merlin 802.11n chipset wireless cards
•Rango
– 2ghz, 5ghz, current-channel, range
•Valores
– avg, avg-peak, interference, max, min
•Classify-samples
– wifi, bluetooth, microwave-oven, etc

18 www.mikrotik.com
 Historia - Espectral

•Se dibuja el espectrograma

•Diferentes valores de potencia es mostrado de
diferentes colores
•Opción Audible: cada línea nos dara
diferentes solidos en el routerboard
–Cada línea se desplaza de izquierda a derecha,
con frecuencias más altas que corresponden a
una mayor valores en el espectrograma

19 www.mikrotik.com
 Historia - Espectral

20 www.mikrotik.com
 Escaneo - Espectral
•Seguimiento continuo de los datos espectrales
•Cada línea nos muetra un cubo del
espectrograma.
ØFrecuencia
ØValor numérico de potencia media
ØBarra de caracteres gráfico
§Valor de potencia media “:”
§Muestra Opciones de Interferencia.

21 www.mikrotik.com
 Escaneo - Espectral

22 www.mikrotik.com
 Herramienta Wireless Snooper

23 www.mikrotik.com
 Herramienta Alignment

24 www.mikrotik.com
 Wireless Sniffer

25 www.mikrotik.com
 Laboratorio de Herramientas
Wireless
•Activar su router como AP en una frecuencia de
2.4 GHz
•Utilizando las Herramiente Wireless compruebe la
frecuencia menos ocupada.

26 www.mikrotik.com
 Uso del DFS para Selección
Automática de Frecuencia

27 www.mikrotik.com
 DFS
•Dynamic Frequency Selection (DFS)

•“no radar detect” en el arranque el AP escanea la lista de

canales del “scan-list” y elige la frecuencia que es la menor
cantidad con otras redes detectado

• “radar detect” Añade la capacidad de detectar el radar en

el arranque durante 60 segundos y evitar los cambios de
frecuencia.

•Según la mayoría de las regulaciones del país DFS se debe

establecer en "radar detectar"
28 www.mikrotik.com
 Laboratorio DFS
•Activar su router como AP en la frecuencia más
usada en 2.4 GHz utilizando las herramientas
Wireless.
•Activar el modo de DFS para "no radar detect"
•Deshabilite la interfaz inalámbrica del AP por
unos segundos y habilite de nuevo
•Observe los saltos de frecuencia

29 www.mikrotik.com
 Regulación Wireless por País
•Frequency mode “regulatory
domain”
- Restringe el uso únicamente a los
canales permitidos con potencias de
transmisión permitidas
•“manual txpower” -
-Ignora las restricciones de
transmisión de potencia pero aplica
las limitaciones de frecuencias
• “superchannel”
- Ignora todas las restricciones

30 www.mikrotik.com
 Analizando la tabla de registro para
solución de problemas de la
conexiones inalámbrica

31 www.mikrotik.com
 Solución de problemas del cliente
Wireless
•ACK-timeout
•CCQ
•TX/RX Signal Strength
•Frames vs. HW-frames
•Data-rate jumping

32 www.mikrotik.com
 Tabla de Registración

33 www.mikrotik.com
 CCQ – Client Connection Quality
•Valor en porcentaje que muestra el grado de eficacia
se utiliza el ancho de banda con respecto al ancho de
banda máximo teórico disponible
•Promedio ponderado de los valores Tmin / Treal
calculado para cada trama transmitida
–Tmin es el tiempo que se necesitaría para transmitir una
trama dada a la tasa más alta sin reintentos
–Treal es tiempo que se tardó en transmitir marco en la vida
real

34 www.mikrotik.com
 Frames vs. HW-frames
•Retransmisión inalámbrica es cuando la tarjeta envía
una frame (trama) y no recibe de vuelta el acuse de
recibo (ACK), usted envía el frame una vez más hasta
que regrese el reconocimiento
•Si el valor hw-frame es más grande que el valor de
frame entonces significa que el enlace inalámbrico está
haciendo retransmisiones
•En caso de Nstreme usted no puede comparar los
frames con hw-frames

35 www.mikrotik.com
Uso de la configuración avanzada para la
solución de problemas y puesta a punto
de la conexión inalámbrica

36 www.mikrotik.com
 Wireless Advanced Settings
•Advanced Wireless Tab settings
•HW-retries
•HW-protection
– RTS/CTS
– CTS to self
•Adaptive-noise-immunity
•Configuration Reset
•WMM

37 www.mikrotik.com
 Advanced Wireless Tab

38 www.mikrotik.com
 Advanced Wireless Tab
•Área - cadena descrita por el AP, usada en los
clientes del Connect-list para la elección del AP
por el area-prefix
•Ack-timeout - tiempo de espera de acuse de
recibo en us; “dinamic" por defecto
•Hide-ssid - ocultar SSID

39 www.mikrotik.com
 Reintentos-HW
•Número de intentos de envió de frames hasta que la
transmisión se considere fallida
•Date rate es decrementado en caso de fallo
•Pero si esta en un tasa mas baja, 3 fallas consecutivas
activan on-fail-retry-time (tiempo de reintento en falla)
la transmisión se para y se resetea el contador
•El frame esta siendo retrasmitido, ya sea hasta que sea
exitoso o hasta que el cliente se desconecte
–Disconected-timeout realizado

40 www.mikrotik.com
 HW-protection
•Protección Frame ayuda a combatir el
problema de "nodo oculto“
•RTS/CTS protección
•“CTS to self” protección
•hw-protection-threshold umbral de tamaño de
la trama en el que se debe usar protección 0
usado para todas las tramas

41 www.mikrotik.com
 Protección Basada en RTS/CTS
•Protección Basada en RTS/CTS

Dispositivos dispuestos a enviar frames, primero envian

un frame RequestToSend (trama de Requerimiento para
envio) y esperar frame por ClearToSend (trama Limpio
para enviar) desde el destino previsto

•Para "ver" frames RTS o CTS en dispositivos compatibles,

802.11 sabe que alguien está a punto de transmitir y, por
tanto, no inician la transmisión a sí mismos

42 www.mikrotik.com
Protection Basada en “CTS to self”
•Protección basada en"CTS to self“
–Dispositivos dispuestos a enviar frames envian una trama
CTS a si mismo

•Al igual que en el protocolo RTS / CTS cada dispositvo

compatible 802.11 con la recepción de este frame no
sabe transmitir
•Proteccion basada en "CTS to self“ tiene menos
sobrecarga, pero debe tenerse en cuenta que esto sólo
protege contra los dispositivos que reciben tramas CTS

43 www.mikrotik.com
 “CTS to self” o RTS/CTS
•Si hay 2 estaciones "ocultas", no sirve de nada para
que utilicen protección "CTS to self", porque no van a
poder recibir CTS enviado por otra estación - en este
caso las estaciones deben utilizar RTS / CTS para que
otras estaciones sepan que no habrá transmisión hasta
ver la trama CTS transmitido por AP

•Use únicamente una protección

44 www.mikrotik.com
 Umbral de fragmentación HW
•Tamaño máximo del fragmento en bytes cuando transmite a
través de un medio inalámbrico
•La fragmentación permite que los paquetes sean fragmentados
antes de ser transmitidos en un medio inalámbrico para
aumentar la probabilidad de una transmisión con éxito
•Únicamente fragmentos que no son transmitidos de forma
correcta son retransmitidos
•La transmisión de paquete fragmentado es menos eficiente que
la transmisión del paquete no fragmentado debido a la
sobrecarga del protocolo y un mayor uso de recursos en ambos -
transmisora ​y la parte receptora
45 www.mikrotik.com
 Adaptive-noise-immunity
(Inmunidad adaptable al ruido)
•Ajusta diversos parámetros del receptor
dinámicamente para minimizar el efecto de
interferencia y ruido en la calidad de la señal
•Funciona en chipset Atheros 5212 o más reciente y
utiliza la potencia de la CPU
•3 opciones
üNone – deshabilitado
ü Client-mode – sólo se activará si la estación o estaciones-
wds utilizan
üAp-and-client-mode – se habilitará en cualquier modo
46 www.mikrotik.com
 Wireless Configuration reset
Reseteo de configuraciones Wireless
•A veces, después de reconfigurar
la configuración avanzada es
posible que desee volver a la
configuración predeterminada
•Utilizando la opción "Reset
Configuration" - restablece los
valores por defecto de las tarjetas
inalámbricas

47 www.mikrotik.com
 Wireless MultiMedia (WMM)
•4 colas que transmiten con prioridad:
ü1,2 – background (suelo, piso)
ü0,3 – best effort (mejor esfuerzo)
ü4,5 – video (video)
ü6,7 – voice (voz)

•Prioridades establecidas por

üBridge o IP Firewall
üIngreso de (VLAN o WMM)?
üDSCP

48 www.mikrotik.com
Modificando data rates y tx-power
para establecer conexiones
Wireless

49 www.mikrotik.com
 Los rates básicos y soportados
•Rates soportados – data
rate del cliente

•Rates básicos – data rate de

gestión de enlaces

•Si el router no puede enviar

o recibir datos a rate básico
el enlace se cae

50 www.mikrotik.com
 Data rate (cambiando opciones)
•Baje los máximos "data-rate" soportados en el cliente que tiene
problemas de estabilidad.
•Baje los máximos "data-rate" soportados en el AP si la mayoría
de los clientes tienen problemas cuando se ejecutan en el “data-
rate” mas alto.
•No se recomienda desactivar “data-rate” bajos y dejar sólo
“data-rate” altos activados, esto podría producir desconexión de
enlaces mas a frecuentemente.
•Tenga en cuenta que el AP y el cliente debe soportar los mismos
“data-rate” básicos para establecer la conexión inalámbrica

51 www.mikrotik.com
 TX power
•Diferente TX-power
para cada data-rate.
Mayor data rate, menor
potencia.

•Desactivar data-rate
altos podría mejorar la
señal, ya que utiliza
mayor tx-power en data-
rate mas bajos

52 www.mikrotik.com
 Modo TX-power
•Default - utiliza valores de tx-power desde las tarjetas
•Card-rates – usa tx-power para que los diferentes rates
se calculen acorde a los algoritmos de transmisión
potencia de las tarjetas, como argumento toma el valor
de TX-power
•All-rates-fixed – usa un valor de TX-power para todos
los rates
•Manual-table – usa el TX-power que es definido en
/interface wireless manual-tx-power-table
53 www.mikrotik.com
 Laboratorio de Data Rates
•Configure un AP para permitir data rates de
hasta 24 Mbps de velocidad de datos y probar el
máximo rendimiento.

•Configure un AP para permitir sólo un data

rates de 54 Mbps y comprobar el máximo
máximo y revisar qué tan estable es la conexión

54 www.mikrotik.com
 Uso de la función de AP virtual
para crear múltiples puntos de
acceso

55 www.mikrotik.com
 Virtual AP
•Se usa para crear un nuevo AP (virtual) sobre una
misma tarjeta inalámbrica física.
•Trabaja sobre chipset Atheros AR5212 en adelante.
•Hasta 128 AP virtual por tarjeta inalámbrica.
•Utiliza diferentes direcciones MAC y puede ser
cambiadas.
•Puede tener diferentes SSID, perfil de seguridad,
Access / Connect-list, opciones de WDS

56 www.mikrotik.com
 Virtual AP Setup

57 www.mikrotik.com
 Laboratorio de Virtual AP
•Trabajar en parejas.
•Conecte ambos router usando un cable
Ethernet.
•Primer router
–Cree 2 interfaces VLANs en la Ethernet
–Cree 1 dirección IP para cada VLAN
–Cree 2 servidores DHCP uno en cada VLAN

58 www.mikrotik.com
 Laboratorio de Virtual AP
•Segundo router
– Cree 2 interfaces VLANs en la Ethernet con el VLAN ID del
primer router
–Cree 2 Virtual AP con diferentes SSID
–Cree un Bridge entre la primera VLAN y el primer Virtual AP
–Cree otro Bridge entre la segunda VLAN y el segundo Virtual
AP

•Conectese a cada Virtual AP y revise si las IPs recibidas

son diferentes
•Elimine las configuraciones.
59 www.mikrotik.com
 Gestión de acceso de clientes al AP
usando Access-List y Connect-List

60 www.mikrotik.com
 Administración de Acceso
•default-forwarding (en AP) – define si los clientes
inalámbricos pueden comunicarse directamente entre sí
(listas de acceso puede sustituir este valor para clientes
individuales)

•default-authentication – política de autenticación

predeterminada que se aplica a todos los clientes que no se
mencionan en AP's access list o client's connect list

•Ambas opciones son obsoletas - misma funcionalidad se

puede lograr con la nueva connect list y características de
access list
61 www.mikrotik.com
 Wireless Access/Connect Lists
•Access List es un filtro de autenticación de AP
•Connect List es un filtro de autenticación de Clientes.
•Las listas de entrada son ordenadas al igual que en el firewall -
cada solicitud de autenticación tendrá que pasar desde la
primera entrada hasta que llegue a ser autenticada.
•Puede haber varias entradas para la misma dirección MAC y una
entrada para todas las direcciones MAC.
•Las entradas pueden ser por interfaz inalámbrica específica o
global para el router

62 www.mikrotik.com
 Wireless Access List
•Es posible especificar política de autenticación para niveles de
potencia de la señal específica
–Ejemplo: permite a los clientes conectarse con un buen nivel de señal o
no conectar o conectar a todos

•Es posible especificar política de autenticación para períodos de

tiempo específicos
–Ejemplo: permite a los clientes conectarse sólo los fines de semana

•Es posible especificar la política de autenticación para las claves

de seguridad específicas:
–Ejemplo: permiten a los clientes sólo con clave de seguridad específica
para conectarse al AP.

63 www.mikrotik.com
 Wireless Access List

64 www.mikrotik.com
 Wireless Connect List
•Usado para permitir/denegar aceeso basado en:
–SSID
–MAC address del AP
–Area Prefix del AP
–Signal Strength Range
–Security Profile

•Es posible dar prioridad a un AP sobre otro AP

cambiando el orden de las entradas.
•Connect list - se utiliza también para enlaces WDS,
cuando un AP se conecta a otro AP

65 www.mikrotik.com
 Wireless Connect List

66 www.mikrotik.com
 Laboratorio de Access/Connect List
•Trabaje con otro grupo para tener 2 AP’s y 2 clientes
por grupo.
•Dejar default-forwarding y default-authentication
habilitado.
•En AP´s
Asegurar que sólo los clientes de su grupo y con intensidad de la
señal entre -70…120 sean capaces de conectarse

(Avanzado) Pruebe ajustes de la hora

67 www.mikrotik.com
 Laboratorio de Access/Connect List
•En CLIENTES:
–Asegúrese de que su cliente se conectará sólo a
sus AP´s
–Trate de priorizar un AP sobre otro
•Cuando los AP´s tienen el mismo SSID
•Cuando los AP´s tienen diferente SSID

•Borre todas las Access List y Connect List.

•Cambie de Lugar y repitan el Laboratorio

68 www.mikrotik.com
 Centralizado Access List
Gestión – RADIUS

69 www.mikrotik.com
 RADIUS Autenticación por MAC
•Opción para centralización remota de RADIUS MAC
autenticación y contabilización.
•Posibilidad de uso de la función de radius-incoming
para desconectar una dirección específica MAC del AP.
•MAC mode – usuario o usuario y contraseña.
•MAC Caching Time – el tiempo que una atenticación
RADIUS espera por una MAC address para ser
considerada valida para ser almacenada.

70 www.mikrotik.com
 RADIUS Autenticación por MAC

71 www.mikrotik.com
 Configuración de RADIUS Cliente
•Crear un cliente RADIUS en
el menú 'Radius‘
•Especifique el servicio, la
dirección IP del servidor
RADIUS y Secret
•Use “Status section” para
monitorear el estado de la
conexión

72 www.mikrotik.com
 La seguridad inalámbrica para
proteger la conexión inalámbrica

73 www.mikrotik.com
 Seguridad Wireless
•Authentication
– PSK Authentication
– EAP Authentication

• Encryption
– AES
– TKIP
– WEP

• EAP RADIUS Security

74 www.mikrotik.com
 Principales Seguridades
•Autenticación - asegura la aceptación de las
transmisiones sólo de una fuente confirmada.
•Data encryption (cifrado de datos)
–Confidencialidad - asegura que la información es
accesible sólo para aquellos autorizados a tener
acceso.
–Integridad - asegura que la información no se
cambia por otra fuente y es exactamente lo mismo
que fue enviado
75 www.mikrotik.com
76 www.mikrotik.com
 PSK Autenticación
•Pre-Shared Key es un mecanismo de autenticación que
utiliza un secreto que fue compartido previamente
entre las dos partes.
•La mayoría de las seguridades inalámbricas usan este
tipo.
•Múltiples tipos de autenticación para un perfil.
•Clave PSK opcional para cada dirección MAC
(utilizando la lista de acceso)

77 www.mikrotik.com
 EAP Autenticación

•Extensible Authentication Protocol proporciona una

negociación del mecanismo de autenticación deseada
(a.k.a métodos EAP).
•Existen sobre los 40 diferentes metodos EAP.
•RouterOS soporta el método EAP-TLS y también es
capaz de pasar todos los métodos en el servidor
RADIUS.

78 www.mikrotik.com
79 www.mikrotik.com
 AES-CCM
•AES-CCM – AES con CTR con CBC-MAC.
•AES - Advanced Encryption Standard es un
cifrado de bloques que funciona con un tamaño
fijo de bloque de 128 bits y un tamaño de clave
de 128, 192 o 256 bits.
•CTR - Contador genera el siguiente bloque del
flujo de clave mediante la encriptación de los
valores sucesivos de un "contador"
80 www.mikrotik.com
 AES-CCM
•CBC - Cipher Block Chaining cada bloque de
texto plano es XOR con el bloque de texto
cifrado anterior antes de ser encriptado. De esta
manera, cada bloque de texto cifrado depende
de todos los bloques de texto claro
procesados ​hasta ese punto.
•MAC - Message Authentication Code permite
detectar cualquier cambio en el contenido del
mensaje
81 www.mikrotik.com
 TKIP
•Temporal Key Integrity Protocol es un
protocolo de seguridad que se utiliza en las
redes wireless IEEE 802.11.
•TKIP es la evolución de WEP basado en RC4 de
cifrado de flujo.
•A diferencia de WEP proporciona:
–Mezcla de claves por paquete,
–Verificación de la integridad del mensaje,
–Mecanismos de cambio de claves
82 www.mikrotik.com
 WEP (obsoleto)

•Wired Equivalent Privacy es una de las

primeros y simples tipos de seguridad.
•No tiene método de autenticación.
•No recomendado, ya que es vulnerable a
las herramientas de hacking inalámbrico.

83 www.mikrotik.com
 WEP (obsoleto)

84 www.mikrotik.com
 Pre-Shared Key (PSK)
•Para hacer PSK
–Use modo “Dynamic Keys”
–Habilitar tipo de autenticación WPAx-PSK
–Especifique Unicast y Grupo cifrados (AES, CCM,
TKIP)
–Especificar WPAx-Pre-Shared Key

•Las claves generadas sobre la asociación de PSK

se utilizan en sistemas de cifrado como clave de
entrada
85 www.mikrotik.com
 Pre-Shared Key (PSK)

86 www.mikrotik.com
 Unicast Cipher (Cifrado)
•En el AP y en la estación por lo menos un
sistema de cifrado de unidifusión debe coincidir
para hacer la conexión inalámbrica entre 2
dispositivos

87 www.mikrotik.com
 Group Cipher (Grupo de Cifrado)
•Para el AP
–Si del grupo de cifrado del AP puede ser AES y TKIP
lo mas recomendable es AES por ser mas fuerte
–Se aconseja elegir sólo un grupo de cifrado en el
AP

•Para la Estación
–Si en la estación se utilizan ambos sistemas de
cifrado de grupo, significa que se conectará al AP
que soporte cualquiera de estos sistemas de cifrado

88 www.mikrotik.com
 EAP RADIUS Security
•Para hacer que la autenticación de transferencia EAP.
–Habilitar tipo de autenticación WPAx-EAP
–Habilitar autenticación MAC
–Establecer Método EAP para passthrough
–Habilitar cliente RADIUS.

•Para realizar la autenticación EAP-TLS

–Habilitar tipo de autenticación WPAx-EAP
–Configure la opción TLS si va a usar el certificado
–Importar certificado y descifrar

89 www.mikrotik.com
 EAP RADIUS Security

90 www.mikrotik.com
 Wireless Security Lab
•Realizar un enlace wireless con sus compañeros
usando WPA-PSK:
–Crear un perfil de seguridad y utilizar la misma pre-shared
key para establecer una conexión inalámbrica con el router
del compañero.

•El el AP adicionar una lista de acceso de entrada con

las MAC address de los compañeros y especificar
diferentes PSK key, preguntar a los compañeros para
conectarse nuevamente.

91 www.mikrotik.com
 Protección a los clientes
inalámbricos de deauthentication
y ataques de clonación de MAC

92 www.mikrotik.com
 Management Frame Protection
•RouterOS implementa un algoritmo de gestión propio
de protección de frame basado en una clave
compartida
•Dispositivos inalámbricos RouterOS son capaces de
comprobar la fuente de gestión del frame y confirmar
que ese frame en particular no es malicioso
•Permite soportar ataques desautentificación y
desasociación basado en dispositivos inalámbricos
RouterOS

93 www.mikrotik.com
 Configuración de Management
Protection
•Configuración en security-profile
–Deshabilitado: management protection esta deshabilitado
–Permitir: usar management protection si es soportado por
la parte remota
•Para AP- permitirá conectarse a ambos: no management protection
y management protection clientes
•Para Clientes- Se conectará a ambos: no management protection y
management protection Aps
–Requerido: establecer asociasion únicamente con
dispositivos remotos que soporten management protection
•Para AP- aceptar únicamente clientes que soporten management
protection
•Para Clientes- conectar únicamente a APs que soportan
management protection
94 www.mikrotik.com
 Management Protection key
•Configurar con parámetros en security profile
management-protection-key
•Cuando interfaz está en modo AP, clave por
defecto “management protection" pueden ser
anulados por clave especificada en "access-list"
o atributos de RADIUS.

95 www.mikrotik.com
 Management Protection Lab
•Trabajar en grupos de 3 personas
•Una persona crea un AP
•Los otros dos se conectan a ese AP
•Uno de los 2 clientes clona la dirección MAC del otro cliente
•Revisar conectividad de los 2 clientes hacia el AP
•Establecer un requerimiento de management protection y
especificar una clave en el AP y el cliente original
•Compruebe la conexión del cliente - original y (o) clonado

96 www.mikrotik.com
 Wireless WDS y MESH

97 www.mikrotik.com
 Wireless WDS y MESH
•WDS
– Dynamic WDS Interface
– Static WDS Interface

•RSTP Bridge
•HWMP+ MESH
– Reactive mode
– Proactive mode
– Portals
98 www.mikrotik.com
 WDS – Wireless Distribution
System
•WDS permite crear una cobertura personalizada
inalámbrica usando múltiples puntos de acceso lo que
es imposible hacerlo sólo con un AP
•WDS permite que los paquetes pasan de un AP a otro,
como si los puntos de acceso fueron los puertos en un
switch Ethernet cableado
•APs deben usar la misma banda, el mismo SSID y
operar en la misma frecuencia con el fin de conectar el
uno al otro

99 www.mikrotik.com
 Wireless Distribution System
•Un AP en modo (bridge/ap-bridge mode) puede tener enlaces
WDS con:
–Otro AP en modo bridge/ap-bridge
–Otro AP en modo wds-slave (frequencia de adaptación)
–Client en modo station-wds

•Se tiene que deshabilitar el parametro DFS (Dynamic Frecuency

Selection) si se tiene mas de un AP en modo bridge/ap-bridge en
su red WDS
•Implementación de WDS podría ser diferente para cada
fabricante, esto significa que no todos los modos WDS de varios
fabricantes puedan ser compatibles.

100 www.mikrotik.com
 Configuración WDS
•Existen 4 diferentes modos de operación WDS
–Dynamic - interfaces de WDS se crean de forma automática
tan pronto como se encuentre otro dispositivo compatible
con WDS
–Static – interfaces WDS tienen que ser creadas
manualmente
–Dynamic mesh – es el mismo funcionamiento que el modo
dynamic, pero con soporte HWMP+ (no compatible con
modos dinámicos de otros fabricantes)
–Static mesh – es el mismo funcionamiento que el modo
static, pero con soporte HWMP+ (no compatible con modos
static de otros fabricantes)
101 www.mikrotik.com
 Configuración WDS
•WDS Default Cost – costo por
defecto en el puerto bridge
del enlace WDS
•WDS Cost Range – margen
del costo que puede ser
ajustado en fución del
rendimiento del enlace
•WDS Ignore SSID – si desea
crear enlaces WDS con
cualquier otro AP en esta
frecuencia
102 www.mikrotik.com
 Dynamic WDS Interface
•Se crea ‘on the fly' y aparece en el menú de WDS
como una interfaz dinámica (flag 'D')
•Cuando un enlace con una interface dinámica WDS se
cae, direcciones IP conectados se deslicen fuera de la
interfaz WDS y la interfaz se deslicen del bridge
•Specifíque parametros “wds-default-bridge” y agregue
direcciones IP al bridge

103 www.mikrotik.com
 Static WDS Interface
•Require la dirección MAC destino y parametros de
interface master para ser configurados manualmente
•Interfaces de WDS estáticas nunca desaparecen, a
menos que se deshabiliten o se eliminen
•WDS-default-bridge se debe cambiar a “none”

104 www.mikrotik.com
 Static WDS Interface

105 www.mikrotik.com
 Point-to-point WDS link

106 www.mikrotik.com
 Single Band Mesh

107 www.mikrotik.com
 Dual Band Mesh

108 www.mikrotik.com
 WDS Mesh y Bridge
•WDS Mesh no es possible sin bridging
•Para crear un WDS mesh todas las interface WDS de cada router
tienen que estar en el mismo bridge con la interface donde se
conectarán los clientes
•Para prevenir posibles loops al habilitar enlaces redundantes es
necesario el uso de (Rapid) Spanning Tree Protocol ((R)STP)
•RSTP trabaja mas rápido cuando existe un cambio de topología
que STP, pero ambos tienen la misma funcionalidad virtual

109 www.mikrotik.com
 (Rapid) Spanning Tree Protocol
•(R)STP elimina la posibilidad de que la misma dirección
MAC pueda ser vista en multiples puertos de un bridge,
mediante la desactivación de puertos secundarios a esa
dirección MAC
–Primero (R)STP eligirá un root bridge basado en bridge ID
mas pequeño
–Entonces (R)STP usará breadth-first search algorithm
teniendo el root bridge como punto de partida
•Si el algoritmo llega a la dirección MAC por la primera vez - deja el
enlace activo
•Si el algoritmo llega a la dirección MAC por segunda vez - que
desactiva el enlace

110 www.mikrotik.com
 (R)STP in Action

111 www.mikrotik.com
 (R)STP Topology

112 www.mikrotik.com
 (R)STP Bridge Port Roles
•Disabled port – para puertos de bucles
•Root port – una ruta hacia el root bridge
•Alternative port – backup root port
(únicamente en RSTP)
•Designated port – puerto de paso (reenvío)
•Backup port – backup designated port
(únicamente en RSTP)
113 www.mikrotik.com
 Admin MAC Address
•MAC address para un interface
bridge es tomada de uno de los
puertos del bridge
•Si los puertos cambian -
dirección MAC del bridge
también podría cambiar
•Admin MAC option permite
usar una dirección MAC estática
para el bridge

114 www.mikrotik.com
 Configuración RSTP

•Router con la
prioridad más baja en
la red va a ser elegido
como Root Bridge

115 www.mikrotik.com
 Configuración de puertos RSTP
•Cost - permite elegir
una ruta sobre otra
•Priority - si los costos
son los mismos que se
utiliza para elegir puerto
designado
•Horizon - función que
se utiliza para MPLS
Do not forward packet to the
same label ports
116 www.mikrotik.com
 Configuración de puertos RSTP
•Existen 3 opciones que nos permiten optimizar
el rendimiento de RSTP
–Edge Port - indica si este puerto está conectado a
otro(s) bridge
–Point-to-point - indica si este puerto está
conectado sólo a un dispositivo de red (WDS,
Wireless in bridge mode)
–External-fdb – permitir utilizar tablas de registro
en lugar de base de datos de reenvío (sólo AP)

117 www.mikrotik.com
Layer-2 routing for Mesh networks
•MikroTik ofrece alternativas para RSTP - HWMP+
•HWMP+ es un especifico protocol de ruteo de Layer 2
de MikroTik para redes Wireless Mesh
•El protocolo HWMP+ es basado pero no es compatible
con Hybrid Wireless Mesh Protocol (HWMP) de los
estandares IEEE 802.11s
•HWMP+ trabaja únicamente con:
–wds-mode=static-mesh
–wds-mode=dynamic-mesh
118 www.mikrotik.com
 HWMP+
•Para configurar HWMP+ use la configuración del menu
“/interface mesh”, es muy similar a la configuración de
un bridge
•HWMP+ proporciona un enrutamiento óptimo basado
en funciones de metricas de enlace
— Para los enlaces Ethernet las métricas puende configurar
estáticamente
— Por enlaces WDS la métrica se actualiza dinámicamente
en función de la fuerza de la señal inalámbrica y la velocidad
de transferencia de datos seleccionado

119 www.mikrotik.com
 Reactive Mode Discover
•Todos las trayectorias
son descubiertas bajo
demanda, por un
requerimiento de
trayectoria por la
inundación de un
mensage (PREQ) en la
red

120 www.mikrotik.com
 Reactive Mode Discover

•El nodo de destino o

algún router que tiene
una ruta hacia el destino
le responderá con una
respuesta de trayectoria
(PREP)

121 www.mikrotik.com
 Proactive Mode
•En modo proactivo algunos routers se
configuran como portales – que son routers que
tienen interfaces a alguna otra red, por ejemplo,
punto de entrada o salida de una Network Mesh
•Lo mas adecuado es cuando la mayor cantidad
de trafico pasa entre nodos internos de la
Network Mesh y pocos nodos portales.

122 www.mikrotik.com
 Proactive Mode Announcement
(Anuncio)
•Los portales
anunciarán su
presencia por un
mensaje de Aviso de
inundaciones Root
(RAAN) en la red.

123 www.mikrotik.com
 Proactive Mode Response
(Respuesta)
•Los nodos internos
responderán con un
mesaje Path
Registration (PREG)
•Resultado – árboles
de enrutamiento con
raíces en los routers
de portal
124 www.mikrotik.com
 Portals (Portales)
•Rutas a portales servirán como una especie de rutas
por defecto
•Si un router interno no sabe una ruta a un destino en
particular, pedirá todos los datos a su portal más
cercano - el portal luego de descubrir la trayectoria
enviará los datos, si es necesario. Los datos después
fluirá a través del portal
•Esto puede conducir a enrutamiento subóptimo, a
menos que los datos se dirigan al propio portal o
alguna red externa.
125 www.mikrotik.com
 Mesh configuration settings
•Reoptimize paths – envía mensajes PREQ
periódicos pidiendo direcciones MAC conocidas
–Si no se recibe respuesta a una PREQ
reoptimization, la ruta existente se mantiene de
todos modos (hasta que los tiempos de espera
terminen)

–Mejor para el modo proactivo y de las “mobile

mesh networks”

126 www.mikrotik.com
 Laboratorio WDS/MESH
•Crear un Bridge Mesh

•Configure su interface Wireless como AP con el mismo SSID del

AP del intructor.
•Habilitar el modo Dinámico WDS mesh y usar el Bridge creado
•Verificar el link WDS creado haciea el AP del instructor
•Use MESH traceroute para revisar las trayectorias a sus
compañeros
•Crear WDS link con sus compañeros
•Revisar nuevamente el MESH traceroute hacia sus compañeros
127 www.mikrotik.com
 Bridge Transparente Wireless

128 www.mikrotik.com
 Wireless Transparent Bridge

•Bridging de clientes Ethernet mediante WDS

•Bridging utilizando AP -StationWDS
•Modo Pseudobridge con y sin clonación de
MAC
•Bridging de clientes Wireless usando WDS

129 www.mikrotik.com
 Bridging de Clientes Ethernet

130 www.mikrotik.com
 AP-Station WDS Link

131 www.mikrotik.com
 Station-WDS
•Configure en modo
station-wds
•WDS-mode debe ser
“disabled” en la tarjeta
Wireless
•Cliente Wireless en
modo Station-WDS puede
estar en un bridged

132 www.mikrotik.com
 Pseudobridge mode
•Usa “MAC-NAT” – MAC Address Translation para todo el trafico
•Inspecciona paquetes y genera tablas de correspondencia entre
Direcciones IP y Direcciones MAC (Tablas ARP)
•Todos los paquetes se envían al AP con la dirección MAC
utilizada por el pseudobridge, y las direcciones MAC de los
paquetes recibidos se restauran a partir de la tabla de traducción
de direcciones
•IPv6 no trabaja sobre Pseudobridge

133 www.mikrotik.com
 Pseudobridge Clone mode
•station-bridge-clone-mac – usa esta Dirección MAC
cuando se conecta al AP, si el valor es
00:00:00:00:00:00, la estación inicialmente usará la
dirección MAC de la interface Wireless.
•Tan pronto como paquete con la dirección MAC de
otro dispositivo necesita ser transmitida, la estación
volverá a conectarse al AP usando esa dirección

134 www.mikrotik.com
 Bridging de Clientes Wireless

135 www.mikrotik.com
 Laboratorio de Bridging
Transparente
•Crear un Bridge Traparente entre usted y un
compañero
•Pruebe estos métodos
– WDS
– Pseudobridge mode
– Pseudobridge mode with MAC cloning

•Compruebe la comunicación entre los PCs

detrás de cada router
136 www.mikrotik.com
 Protocolo Wireless Nstreme

137 www.mikrotik.com
 MikroTik Nstreme
•Nstreme es propietario de MikroTik's
(incompatible con otros fabricantes) protocolo
wireless creado para mejorar enlaces wireless
point-to-point y point-to-multipoint.

138 www.mikrotik.com
 Protocolo Nstreme
•Beneficios del Protocolo Nstreme
–Cliente Polling (consulta constate a los clientes)
–Desactiva CSMA
–No hay límites en el protocolo sobre la distancia de enlace
–Overhead: Es el desperdicio de ancho de banda, causado
por la información adicional (de control, de secuencia, etc.)
–Protocolo con muy pequeño overhead por trama lo cual
permite tener grandes data-rates
–No hay degradación de la velocidad del enlace para largas
distancias

139 www.mikrotik.com
 Protocolo Nstreme: Frames
•framer-limit – máximo tamaño de frame
•framer-policy – el método como combiner frames.

•Existen algunos métodos para hacer framing:

–none – no combina paquetes
–best-fit - pone tanto paquetes como sea posible en un
frame, hasta que se llega al límite, pero los paquete no se
fragmentan
–exact-size - similar que best-fit, incluso si se necesita
fragmentación tiene major rendimiento
–dynamic-size – elije el major tamaño de frame de forma
dinámica
140 www.mikrotik.com
 Laboratorio Nstreme
•Realice un enlace punto a punto con su
compañero

•Disminuya el potencia de su radio.

•Habilite Nstreme y revise el rendimiento del
enlace con diferentes framer police

141 www.mikrotik.com
 Protocolo Wireless Nstreme Dual

142 www.mikrotik.com
 Protocolo Nstreme Dual
•Propietario de MikroTik (es decir, incompatibles con
otras marcas) protocolo inalámbrico que funciona con
un par de tarjetas de red inalámbricas (tarjetas de
chipset Atheros solamente) - uno de transmisión, uno
de recepción

143 www.mikrotik.com
 Nstreme Dual Interface

•Ajuste ambas tarjetas

inalámbricas en modo
"nstreme_dual_slave“
•Crear Nstreme dual interface
•Remote MAC: Especifique la
dirección MAC remota
•Use framer policy solamente si
es necesario

144 www.mikrotik.com
 802.11n

145 www.mikrotik.com
 802.11n
•MIMO
•802.11n Data Rates
•Channel bonding (unión de canales)
•Frame Aggregation
•Configuraciones de la Wireless card
•TX-power para N cards
•Bridge Transparente para enlaces N
•Tuneles MPLS/VPLS

146 www.mikrotik.com
 Características de 802.11n
•Increamenta el data rates – sobre los 300Mbps
•20Mhz y 2x20Mhz canales soportados
•Trabaja en 2.4 y 5ghz
•Usa multiples antenas para recibir y transmitir
•Frame aggregation

147 www.mikrotik.com
 MIMO
•MIMO – Multiple Input and Multiple Output
•SDM – Spatial Division Multiplexing (Multiplexación
por división espacial)
•Multiple flujos espaciales a traves de multiples
antenas
•Configuración de multiples antenas para transmitir y
recibir
– 1x1, 1x2, 1x3
– 2x2, 2x3
– 3x3
148 www.mikrotik.com
 802.11n Data Rates

149 www.mikrotik.com
 N card Data Rates

150 www.mikrotik.com
 Channel bonding – 2x20Mhz
•Añade un canal de 20Mhz adicional al canal existente
•El canal se coloca debajo o encima de la frecuencia del
canal principal
•Compatible con clientes de 20Mhz
- Conexión realizada en el canal principal

•Permite el uso de velocidades de datos más altas

151 www.mikrotik.com
 Frame Aggregation
•Combinación de frames de datos en un solo frame
(disminuyendo el overhead)
•Aggregation of MAC Service Data Units (AMSDU)
•Aggregation of MAC Protocol Data Units (AMPDU)
–Usa reconocimiento de bloques
–Puede aumentar la latencia, de forma predeterminada
habilitado sólo para el tráfico de mejor esfuerzo
–Envío y recepción de AMSDUs también aumentará el uso de
CPU

152 www.mikrotik.com
 Configuración de Wireless card

153 www.mikrotik.com
 TX-power for N cards
•Cuando se utilizan dos
chains al mismo tiempo la
potencia de TX se
incrementa en 3dB - véase
la columna total tx-Power
•Cuando se utilizan tres
cadenas al mismo tiempo
la potencia de TX-se
incrementa en 5dB

154 www.mikrotik.com
 Bridging transparente de enlaces N
•WDS no proporcionará la máxima velocidad
porque WDS no soporta la agregación de
frames.
•EOIP agrega overhead.
•Tuneles MPLS/VPLS son utilizados para
velocidades mas rápidas y menos overhead

155 www.mikrotik.com
 Bridge VPLS/MPLS para enlaces N

156 www.mikrotik.com
 Bridge VPLS/MPLS para enlaces N

157 www.mikrotik.com
 Bridge VPLS/MPLS para enlaces N

158 www.mikrotik.com
 Bridge VPLS y fragmentación
•Túnel VPLS aumenta el tamaño del paquete
•Si este exede el MPLS MTU de la interface de salida
fragmentación es usada
•Si en caso la interfaz ethernet soporta MPLS MTU
1526 o mayor la fragmentación se puede evitar
mediante el aumento de la MPLS MTU

159 www.mikrotik.com
 Laboratorio 802.11n
•Establecer un enlace N con su compañero
•Pon a prueba el rendimiento con uno y con dos
canales
•Crear un bridge transparente usando VPLS

160 www.mikrotik.com