Advanced Mikrotik Training

Advanced Mikrotik Training Wireless Engeneering (MTCWE) Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Schedule - Module Hari 1 00-2 Sesi 1 Sesi 2 Fundamentals & Performance Basic Config Sesi 3 Sesi 4 Advanced Config Hari 2 Access Management Wireless Security Hari 3 WDS & MESH Nstreme & Nv2 Hari 4 Wireless N MPLS / VPLS Bridge Mikrotik Indonesia http://www.mikrotik.co.id TEST 24-May-11 Schedule        00-3 Sessi 1 Coffee Break Sessi 2 Lunch Sessi 3 Coffee Break Sessi 4 08.30 – 10.15 10.15 – 10.30 10.30 - 12.15 12.15 – 13.15 13.15 – 15.00 15.00 – 15.15 15.15 - 17.00 Mikrotik Indonesia http://www.mikrotik.co.id 24-May-11 New Training Scheme 2009  Basic/Essential Training •  Advance Training  Wireless •   MikroTik Certified Routing Engineer (MTCRE) Traffic Control •  MikroTik Certified Wireless Engineer (MTCWE) Routing • MikroTik Certified Traffic Control Engineer (MTCTCE) User Managing • 00-4 MikroTik Certified Network Associate (MTCNA) MikroTik Certified User Managing Engineer (MTCUME) Mikrotik Indonesia http://www.mikrotik.co.id 24-May-11 Certification Test     00-5 Diadakan oleh Mikrotik.com Dilakukan pada sessi terakhir Yang lulus akan mendapatkan sertifikat yang diakui oleh mikrotik.com Sertifikat berlaku selama 3 tahun sejak dikeluarkan Mikrotik Indonesia http://www.mikrotik.co.id 24-May-11 Trainers  Valens Riyadi     Novan Chris   00-6 MTCNA (2004), Certified Consultant (2005) Certified Trainer (2006), MTCTCE (2009) MTCUME (2009) MTCNA (2006), Certified Trainer (2008) MTCWE (2008), MTCRE (2008), MTCTCE (2011) Mikrotik Indonesia http://www.mikrotik.co.id 24-May-11 Perkenalkan  Perkenalkanlah :     00-7 Nama Anda Tempat bekerja Kota / domisili Apa yang Anda kerjakan sehari-hari dan fitur-fitur apa yang ada di Mikrotik yang Anda gunakan Mikrotik Indonesia http://www.mikrotik.co.id 24-May-11 Thank You! info@mikrotik.co.id Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk kepentingan pengajaran, dan memberikan kredit dan link ke www.mikrotik.co.id Wireless Fundamentals & Performance Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Pada materi ini akan dijelaskan :  Wireless Fundamentals • • •  Wireless Performance     01-10 Frequency & Signal Tx Power & RX Sensitivity Wireless Modulation Data Rates SNR CCQ Frame vs HW-Frames Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless 802.11b/g 01-11 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless 802.11a/g (12) 20 MHz wide channels (5) 40MHz wide turbo channels 01-12 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Custom Frequencies  01-13 MikroTik RouterOS supports ISM Band and ‘custom’ frequencies for Atheros cards. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Supported Frequency  A/B/G Atheros chipset cards usually support such frequencies :    N Atheros chipset cards usually support such frequencies :   01-14 2Ghz band: 2192-2539Mhz 5Ghz band: 4920-6100Mhz 2Ghz band: 2192-2539Mhz 5Ghz band: 4800-6075Mhz Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Channels Width  Mikrotik mamiliki kemampuan untuk memanipulasi lebar pita kanal yang sangat berpengaruh pada performance link Wireless (Interference & Troughput).  Supported Channel Width : • • • •  01-15 5 MHz Channels 10 MHz Channels 20 MHz wide channels (standard) 40MHz wide turbo channels Pemilihan Channel Width (Wireless Band) yang tepat juga dapat meningkatkan ketahanan terhadap interferensi atau juga bisa meningkatkan troughput. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 5 MHz Channels  Band :     5 MHz channels Keuntungan :   Lebih fleksibel dan lebih tahan terhadap interferensi Kerugian :   01-16 2GHz-5MHz 5GHz-5MHz Penurunan Troughput Data-Rate / 4 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 10 MHz Channels  Band :     10 MHz channels Keuntungan :   Lebih fleksibel dan lebih tahan terhadap interferensi Kerugian :   01-17 2GHz-10MHz 5GHz-10MHz Penurunan Troughput Data-Rates / 2 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 20 MHz Channels   01-18 Band=2.4GHz-b/g,5GHz 20 MHz Wide channels (Standard Channel) Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 40 MHz Channels  Band :     40 MHz channels Keuntungan :   Bisa mendapatkan Troughput yang besar ~80-90 Mbps Kerugian :  01-19 2.4GHz-Tubo 5GHz-Turbo Rentan Interferensi Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TX Power & RX Sensitivity   01-20 Wireless Card memiliki spesifikasi TX Power dan RX Sensitivity yang bervariasi sesuai dengan kualitas dari card itu sendiri. Tidak hanya pada kualitas, TX power dan RX sensitivity juga akan berubah sesuai dengan Band yang digunakan dan besar troughput yang dilewatkan ke card tersebut. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TX Power   01-21 Mikrotik menampilkan secara detail power yang digunakan oleh card pada tiap Data-Rates atau troughput yang berbeda. TX power dapat diubah sesuai keinginan tetapi memaksakan tx power tinggi pada rate tertentu bisa mengakibatkan kerusakan pada wireless card. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TX Power - MIMO    01-22 Pada card Mikrotik berstandard N (MIMO) seperti seri card R52N,R2N TX power terbaca lebih detail. Karena adanya teknologi MIMO (Multiple IN Multiple Out) maka ada dua rangkaian Power Oscilator pada Card Wireless yang menyebabkan total power pada card bertambah dua kali lipat. Kenaikan dua kali lipat power maka akan bertambah 3db pada total power. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Modulation 01-23 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Modulation Detail    Modulasi adalah sebuah teknik dimana sebuah gelombang pembawa digunakan untuk membawa informasi dari satu tempat ke tempat lain. Di Wireless LAN gelombang analog digunakan untuk membawa informasi digital. Elemen Gelombang baik itu amplitudo, fase, atau frekuensi, dimodifikasi sedemikian rupa sehingga informasi yang hadir pada gelombang dapat diuraikan di sisi penerima. Tiga jenis utama dari modulasi digital adalah:    01-24 Amplitude Shift Keying (ASK) Phase Shift Keying (PSK) Frequency Shift Keying (FSK) Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Amplitude Modulation  01-25 Amplitude Shift Keying (ASK) – adalah modulasi yang melakukan modifikasi terhadap amplitudo dari sebuah gelombang. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 DPSK Modulation  01-26 Phase Shift Keying (PSK) - merupakan skema modulasi digital yang mengirimkan data dengan mengubah atau memodifikasi fase sinyal gelombang pembawa. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Modulation DSS,DPSK 01-27 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Modulation QPSK   01-28 QPSK menggunakan empat titik pada diagram konstelasi sekitar lingkaran. QPSK Dengan empat tahap dapat mengkodekan dua bit per simbol, yang ditunjukkan pada diagram dengan pengkodean tertentu untuk meminimalkan tingkat kesalahan bit (BER). Analisis matematika menunjukkan bahwa QPSK dapat digunakan baik untuk menggandakan data rate dibandingkan dengan sistem BPSK, tetapi tetap menjaga bandwidth yang sama dari sinyal. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frequency Modulation  01-29 Frequency Shift Keying (FSK) - adalah skema di mana informasi digital dikirimkan melalui perubahan frekuensi diskret gelombang pembawa. FSK termudah adalah FSK biner (BFSK). BFSK harafiah berarti menggunakan sepasang frekuensi diskrit untuk mengirimkan biner (0s dan 1s). Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 QAM Modulation   01-30 QAM mengirimkan data dengan mengubah beberapa aspek dari sinyal pembawa dan menyesuaikan sinyal data digital. QAM menggunakan amplitudo dari dua gelombang dan akan mengalami perubahan atau modifikasi untuk mewakili sinyal data digital. Modulasi amplitudo dua signal pembawa akan diekuivalen dan dapat dilihat sebagai amplitudo modulasi dan fase modulasi pembawa tunggal. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rate    01-31 802.11b 1, 2, 5.5, 11 Mbps 802.11a/g 6, 9, 12, 18, 24, 36, 48, 54 Mbps 802.11n Up to 100 ~ 200 Mbps Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Data Rates    01-32 Pada komunikasi Wireless Lan terdapat parameter Data Rate yang melambangkan kemampuan atau kapasitas transfer data (troughput) dari komunikasi wireless tersebut. Setiap satuan Data Rate sebenarnya menggunakan modulasi wireless yang berbeda, yaitu menggunakan teknik modulasi yang sudah disebutkan sebelumnya. Semakin besar Data Rate maka semakin kompleks modulasi yang digunakan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rate - DSSS,DPSK       01-33 16-QAM 54, 48, 36, 24 Mb/s QPSK 18, 12 Mb/s BPSK 9, 6 Mb/s DSSS 11, 5.5, 2, 1 Mb/s Data Rate untuk standard wireless 802.11b masih menggunakan modulasi standard DSSS,DPSK (Digital PSK). Bandwith maksimal yang bisa didapatkan adalah 11Mbps Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rate - BPSK       01-34 16-QAM 54, 48, 36, 24 Mb/s QPSK 18, 12 Mb/s BPSK 9, 6 Mb/s DSSS 11, 5.5, 2, 1 Mb/s Data Rate untuk standard wireless 802.11a/g menggunakan gabungan modulasi yang berbeda. Untuk data rate 6 dan 9 Mbps menggunakan modulasi BPSK. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rate - QPSK       01-35 16-QAM 54, 48, 36, 24 Mb/s QPSK 18, 12 Mb/s BPSK 9, 6 Mb/s DSSS 11, 5.5, 2, 1 Mb/s Data Rate untuk standard wireless 802.11a/g menggunakan gabungan modulasi yang berbeda. Untuk data rate 12 dan 18 Mbps menggunakan modulasi QPSK. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rate - QAM       01-36 16-QAM 54, 48, 36, 24 Mb/s QPSK 18, 12 Mb/s BPSK 9, 6 Mb/s DSSS 11, 5.5, 2, 1 Mb/s Data Rate untuk standard wireless 802.11a/g menggunakan gabungan modulasi yang berbeda. Untuk data rate 24 hingga 54 Mbps menggunakan modulasi QAM. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N – Data Rate  01-37 Dengan menggunakan modulasi 64QAM (64 Bit QAM) Wireless N bisa digunakan untuk mendapatkan transfer rate hingga 300Mbps teoritical atau 200Mbps real troughput. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Performance    01-38 Performance dari wireless link sangat bergantung dari kualitas signal yang didapatkan dari link wireless tersebut. Banyak sekali faktor yang mempengaruhi :  Interferensi  Freznel Zone  Visual LOS  Dll Parameter Data rate pada Wireless Lan tidak melambangkan secara harafiah dan pasti seberapa besar troughput dari wireless link tersebut. Karena data rate akan berubah secara dinamis sesuai dengan kondisi signal dan situasi di sekitar perangkat. Lebih mudahnya Data Rate adalah kemampuan maksimal troughput untuk komunikasi data half-duplex atau komunikasi satu arah. Untuk komunikasi dua arah atau Full-Duplex biasanya adalah setengah dari Data Rate (simetric Full Duplex). Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11a/g - 20Mhz 01-39 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11a/g - 20Mhz  Performance maksimal dari wireless standard 802.11a/b/g yang menggunakan lebar kanal 20Mhz :   20 ~ 50 Mbps Menggunakan modulasi :  802.11b : DSSS-DPSK •  802.11a/g : BPSK, QPSK dan 16QAM •  01-40 5.5Mbps Half Duplex atau 11Mbps Full Duplex 20Mbps Half Duplex atau 40Mbps Full Duplex Disupport oleh sebagian besar wireless card. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 20 Mhz Single Chain 01-41 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 20 Mhz Single Chain  Performance maksimal dari wireless standard 802.11n Single Chain yang menggunakan lebar kanal 20Mhz :   25 ~ 50 Mbps Half Duplex Menggunakan modulasi :  802.11n 20Mhz Single Chain : BPSK, QPSK •   01-42 25Mbps Full Duplex atau 50Mbps Half Duplex Disupport hanya pada card berstandard 802.11N. Lebih stabil dibandingkan dengan standar 802.11a/g Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 40 Mhz Single Chain 01-43 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 40 Mhz Single Chain  Performance maksimal dari wireless standard 802.11n Single Chain yang menggunakan lebar kanal 40Mhz :   50 ~ 100 Mbps Menggunakan modulasi :  802.11n 40Mhz Single Chain : 16QAM •  01-44 50Mbps Full Duplex atau 100Mbps Half Duplex Disupport hanya pada card berstandard 802.11N. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 40 Mhz Dual Chain 01-45 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n – 40 Mhz Dual Chain  Performance maksimal dari wireless standard 802.11n Dual Chain yang menggunakan lebar kanal 40Mhz :   100 ~ 200 Mbps Menggunakan modulasi :  802.11n : 64QAM • 01-46 200Mbps Half Duplex atau 100Mbps Full Duplex Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 SNR – Signal to Noise Ratio     01-47 Sebuah wireless link yang menggunakan frekuensi tertentu akan menerima apa pun yang ditransmisikan, ditambah lagi kebisingan(gangguan) di sekitar perangkat. Jika kekuatan transmisi secara signifikan lebih kuat dari kebisingan, maka perangkat dapat efektif mengabaikan kebisingan. Jika sinyal yang diterima sebanding dengan kebisingan lingkungan sekitar, maka perangkat wireless tidak akan mampu membedakan sinyal dari perangkat lawan dengan kebisingan. Hal ini akan menyebabkan komunikasi wireless dan Data tidak berjalan dengan baik. SNR adalah rasio perbandingan antara signal yang diterima dengan gangguan sekitar. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 SNR - Test  Serangkaian tes dilakukan untuk menentukan dampak dari nilai SNR pada performance wireless dan juga berpengaruh pada kestabilan link terhadap beban link.      01-48 > 40dB SNR = Excellent signal (5 bars), Cepat terkoneksi, troughput maksimal dan stabil. 25dB to 40dB SNR = Very good signal (3 - 4 bars), Terkoneksi baik, troughput maksimal. 15dB to 25dB SNR = Low signal (2 bars), Terkoneksi baik, troughput tidak maksimal. 10dB - 15dB SNR = very low signal (1 bar), koneksi tidak terlalu stabil, troughput rendah. 5dB to 10dB SNR = no signal, koneksi sangat tidak stabil, troughput sangat rendah. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 SNR - Test 01-49 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 SNR - Test Results     01-50 Berdasarkan pengujian ini disarankan menggunakan sekitar 20dB sebagai SNR minimum untuk link wireless yang stabil. Dengan 20dB SNR menjamin hubungan konstan dengan kinerja yang cukup baik dan sudah bisa menggunakan QAM modulation. Pastikan untuk menggunakan Wireless Card dan antenna yang sama di kedua sisi jika memungkinkan. Perubahan yang terjadi di kondisi sekitar, seperti penambahan gangguan seperti dinding dan gerakan benda besar, akan mempengaruhi SNR juga. Merupakan ide yang baik dan tepat untuk memeriksa kembali SNR dari waktu ke waktu, bahkan setelah jaringan sudah beroperasional. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CCQ – Client Connection Quality    01-51 Client Connection Quality (CCQ) adalah nilai dalam persen yang menunjukkan efektifitas bandwidth yang digunakan terhadap bandwidth maksimum yang tersedia secara teoritis. CCQ adalah nilai rata-rata perbandingan Tmin / Treal, yang bisa dihitung untuk setiap frame data yang dikirimkan, dimana Tmin adalah waktu yang dibutuhkan untuk mengirim frame yang diberikan pada tingkat tertinggi tanpa pengiriman ulang Sedangkan Treal adalah waktu yang diperlukan untuk mentransmisikan frame di kondisi nyata. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CCQ - Test 01-52 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CCQ Performance   CCQ berbanding lurus dengan real troughput yang bisa didapatkan pada sebuah link wireless. Semakin bagus CCQ maka semakin tinggi troughput yang didapatkan. Tetapi Signal strength yang bagus tidak menjamin mendapatkan troughput yang tinggi. Hal ini disebabkan di wireless memiliki 2 type signal strength yaitu :    01-53 TX Signal Strength – signal dari perangkat yang diterima di perangkat lawan. RX Signal Strength – signal perangkat lawan yang diterima di perangkat tersebut. Jika kedua type signal strength tidak sama (rata-rata seimbang) maka komunikasi wireless tidak akan berjalan dengan baik. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CCQ – Registration Table  01-54 CCQ yang tinggi akan Mendapatkan Troughput Yang maksimal. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CCQ Performance  Untuk mendapatkan CCQ yang bagus ada beberapa kondisi yang harus dipenuhi.      Ada beberapa metode dan fungsi di mikrotik yang bisa digunakan untuk memperbaiki CCQ :   01-55 Signal Strength yang bagus. SNR yang besar. Freznel Zone terpenuhi secara ideal. Bebas Interferensi. Menggunakan protocol Nstreme dan Nstreme2 (RouterOS versi 5). Mengoptimalkan pengguaan parameter ACKTimeout untuk link jarak jauh. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frames vs HWFrames    01-56 Wireless Retransmission adalah kondisi dimana wireless card mengirimkan frame data tetapi tidak menerima acknowledgment (ACK) frame balasan, Card akan mengirimkan ulang sampai mendapatkan balasan. Jika nilai parameter HW-Frames lebih besar dibandingkan dengan nilai Frames berarti wireless card melakukan banyak pengiriman ulang. Tidak berlaku jika protocol nstreme diaktifkan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frames vs HWFrames  01-57 Perbandingan nilai Frames dan HWFrames secara tidak langsung menunjukkan performance dari link tersebut. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Basic Config & Tools Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Wireless Tools :        02-59 Scan Frequency Usage Spectral Scan/History Snooper Align Sniffer Basic Configuration Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Scan & Frequency Usage     02-60 Kedua tool Scan dan Frequency Usage samasama menggunakan Scanlist untuk parameter range frequency yang digunakan. Interface menjadi terdisable jika menggunakan tool ini. Scan Tool akan memperlihatkan AP mana saja yang aktif di sekitar perangkat. Frequency Usage menampilkan penggunaan atau load dari tiap frequency. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Scan Tool 02-61 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frequency Usage 02-62 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral Scan / History   Tool ini hanya bisa digunakan di Chipset Atheros terbaru yaitu Atheros Merlin 802.11n wireless cards. Range frequency yang ditampilkan   Value yang didapatkan   avg, avg-peak, interference, max, min Classify-samples (gangguan dari interferensi)  02-63 2ghz, 5ghz, current-channel, range wifi, bluetooth, microwave-oven, etc Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral History    Berbentuk Plot spectrogram. Perbedaan warna menunjukkan variasi dari power perangkat atau kekuatan signal. Terdapat opsi untuk menggunakan indikator Beep pada router untuk mendeskripsikan tiap baris hasil scan.  02-64 Nilai scan akan dibaca dari kiri ke kanan, semakin tinggi frequency suara menunjukkan nilai yang tinggi pada spectogram. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral History 02-65 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral History         02-66 Spectral History Command :  /interface wireless spectral-scan wlan1 Buckets – lebar kolom tiap frequency Duration – durasi lama scaning Audible – opsi pengunaan beeper Interval – lama interfal menampilkan tiap baris hasil scan Range – pilihan range frequency yang akan di scan  2.4ghz - scan whole 2.4ghz band  5ghz - scan whole 5ghz band  current-channel - scan current channel only (20 or 40 mhz wide) Samples – sampling yang akan digunakan untuk menentukan nilai rata-rata pada saat melakukan scaning. Value – pilihan untuk menentukan tampilan dari plot spectogram Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral History 02-67 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral Scan   Secara kontinu memonitor data spectral Setiap baris menampilkan data dari spectogram scan :    Frequency Numeric value of power average Character graphic bar : • • •  02-68 average power value - ':’ average peak hold - '.’ maximum lone floating - ':’ Menampilkan opsi Interferensi lebih detail Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral Scan 02-69 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Spectral Scan & Interference 02-70 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Snooper Tool  02-71 Dengan menggunakan Snooper tool maka bisa diketahui load dan besar traffic tiap frequensi. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Alignment 02-72 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Sniffer 02-73 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Sniffer  Dengan menggunakan wireless Sniffer maka bisa dilakukan sniffing packet data dari jaringan wireless.     02-74 channel-time – Berapa lama waktu yang digunakan untuk sniff tiap channel jika opsi “multiple channel” diaktifkan. file-limit – Batas besar file yang akan digunakan untuk menyimpan data sniffer. file-name – nama file yang akan digunakan untuk menyimpan data sniffer dan akan disimpan di storage Router (PCAP format). memory-limit – besar memory yang akan digunakan untuk tool sniffer. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Sniffer      02-75 multiple-channels – opsi jika ingin melakukan sniffing di multi channel atau tidak.  no - wireless sniffer sniffs only one channel in frequency that is configured in /interface wireless  yes - sniff in all channels that are listed in the scan-list in / interface wireless only-headers – opsi untuk melakukan sniffing terhadap seluruh paket data atau hanya paket header. streaming-enabled – opsi jika ingin melakukan pengiriman data sniffing ke sebuah server tertentu (TZSP format). streaming-max-rate – batas maksimal paket data (pps) yang akan diterima oleh router.  0 - no packet per second limitation streaming-server – alamat ip dari server yang menerima data sniffing. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] Wireless Tools  Aktifkan Wireless Router :     02-76 Lakukan scan dan snoop untuk mendapatkan gambaran dari kondisi wireless disekitar perangkat. Scan / Snoop di band 2.4Ghz dan 5Ghz. Gunakan Spectral Tool (Scan dan History) untuk mendapatkan gambaran lebih detail terhadap interferensi. Aktifkan Audible Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Basic Config - Topology Internet WLAN1 10.10.10.1/24 WLAN1 10.10.10.X/24 ETHER1 192.168.1.1/24 ETHER1 192.168.2.1/24 ETHER1 192.168.X.1/24 ETHERNET PORT 192.168.1.2/24 ETHERNET PORT 192.168.2.2/24 ETHERNET PORT 192.168.X.2/24 MEJA 1 02-77 WLAN1 10.10.10.2/24 MEJA 2 Mikrotik Indonesia http://www.mikrotik.co.id MEJA X 5/24/11 IP Configuration Lab-1 adalah sebuah simulasi konfigurasi dasar sebuah Router Mikrotik yang akan digunakan di jaringan local seperti warnet, office, kampus atau bahkan di RT/RWNET X = nomor peserta 02-78   Routerboard Setting  WAN IP : 10.10.10.x/24  Gateway : 10.10.10.100  LAN IP : 192.168.x.1/24  DNS : 10.100.100.1  Src-NAT and DNS Server Laptop Setting  IP Address : 192.168.x.2/24  Gateway : 192.168.x.1  DNS : 192.168.x.1 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Basic Configuration  Parameter Untuk konfigurasi minimal      02-79 Mode Band Frequency SSID Scan-List Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Mode Station  Station modes:     02-80 station – Mode Client paling sederhana station-wds – mode station yang mengaktifkan WDS bridge station-pseudobridge – mode station tetapi ditabahkan fungsi MAC translation sehingga interface wireless bisa dimasukkan ke dalam bridge. station-pseudobridge-clone – mode station yang menggunakan fungsi station-bridgeclone-mac address Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Mode AP  AP modes:    02-81 ap-bridge – mode standard untuk Access Point. bridge – sama seperti mode ap-bridge tetapi hanya menerima satu client. wds-slave – mode ap-bridge tetapi mampu untuk melakukan scan terhadap AP yang memiliki SSID yang sama dan membangun WDS link ke AP tersebut. Jika terputus maka akan dilakukan scaning ulang dan akan terkoneksi kembali. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Mode Special    02-82 Special modes: alignment-only – mengaktifkan mode align transmit untuk digunakan sebagai membantu pointing antenna. nstreme-dual-slave – digunakan jika ingin menggunakan Dual-Nstreme Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Band – 2.4Ghz   02-83 band – Opsi untuk menentukan standard wireless yang ingin digunakan  2.4ghz-b – menggunakan standard IEEE 802.11b  2.4ghz-b/g - IEEE 802.11g (supports also legacy IEEE 802.11b protocol).  2.4ghz-g-turbo - IEEE 802.11g menggunakan double channel yang kecepatan teoritisnya adalah hingga 108 Mbit.  2.4ghz-onlyg – hanya menggunaan standard IEEE 802.11g  2ghz-10mhz – variasi dari IEEE 802.11g dengan menggunakan setengah dari lebar band standard (air rate of up to 27Mbit)  2ghz-5mhz - variasi dari IEEE 802.11g dengan menggunakan seperempat dari lebar band standard (air rate of up to 13.5Mbit) Turbo channel hanya support di card non-N dan hanya ada di ROS versi 2.xx,3.xx dan 4.xx. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Band – 5Ghz  5ghz – menggunakan standard IEEE 802.11a 54 Mbit.     02-84 5ghz-turbo - IEEE 802.11a menggunakan double channel yang kecepatan teoritisnya adalah hingga 108 Mbit. 5ghz-10mhz - variasi dari IEEE 802.11a dengan menggunakan setengah dari lebar band standard (air rate of up to 27Mbit) 5ghz-5mhz - variasi dari IEEE 802.11a dengan menggunakan seperempat dari lebar band standard (air rate of up to 13.5Mbit) Turbo channel hanya support di card non-N dan hanya ada di ROS versi 2.xx,3.xx dan 4.xx. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frequency,SSID & Scan-List     02-85 frequency – Frequency yang digunakan untuk AP. Parameter ini akan diabaikan Jika pada pernagkat diaktifkan mode “client”. ssid (text) – Sebagai identitas dari jaringan wireless. scan-list – nilai default adalah channel ISM (standard channel) sesuai dengan band yang digunakan. Scan list bisa berupa range, list dari channel yang dipisahkan dengan tanda comma atau bisa juga gabungan dari keduanya. Example: scan-list=default,2222,2312-2362  Dari scan list tersebut perangkat akan melakukan scan di default channel dan beberapa range frequency custom.  Penggunaan custom channel bergantung dari setting “channel-mode” Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Default TX & RX Limit  default-ap-tx-limit (integer; default: 0) – adalah limit traffic rate untuk pengiriman data dari AP ke tiap client (bps).   default-client-tx-limit (integer; default: 0) – adalah limit traffic rate untuk pengiriman data dari tiap client ke AP (bps). Hanya bekerja jika client sama-sama menggunakan mikrotik.  02-86 0 – berarti tanpa limit 0 – berarti tanpa limit Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Default Authenticate & Forward  default-authentication (default value: yes) :    default-forwarding (default value: yes) :  02-87 Jika digunakan mode AP maka semua client yang tidak dibatasi di access-list akan diautentikasi dan bisa terkoneksi. Jika digunakan di mode station maka wireless bisa terkoneksi ke AP manapun yang tidak dibatasi di connect-list. Adalah parameter yang digunakan untuk forwarding traffic dari client ke client yang lain dalam AP yang sama. Bisa dibatasi lebih spesifik per clientnya di access-list. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Hide SSID  hide-ssid (default value: no) :    02-88 yes – jika diaktifkan maka AP tidak akan memasukkan informasi SSID pada beacon frame dan tidak akan memberikan frame balasan berisi informasi SSID jika ada permintaan informasi SSID. no – AP akan memasukkan informasi SSID pada frame beacon dan akan memberikan informasi SSID jika ada permintaan informasi SSID. Setting ini hanya berpengaruh jika menggunakan mode AP, sebenarnya tidak berpengaruh banyak pada security karena informasi SSID tetap dimasukkan pada frame yang lain (bukan beacon frame). Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] Wireless Setup    02-89 Aktifkan mode ap-bridge pada salah satu router (Router meja1). Hubungkan router kedua (Router meja 2) menggunakan mode station. Hubungkan juga wireless tiap notebook untuk terkoneksi ke AP. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-4] Wireless Limit  02-90 Gunakan parameter default ap tx rate dan default client tx rate.  Test performancenya menggunakan bandwith test.  Test traffic antar client jika default forward di nonaktifkan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Advance Config Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Advanced Configuration :      Wireless Protocol DFS Country Regulation HW-retries HW-protection • •   03-92 RTS/CTS CTS to self Adaptive-noise-immunity WMM Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Advance Menu  03-93 Tombol Advanced Mode akan membuka beberapa parameter baru yang digunakan untuk melakukan configurasi wireless lebih detail. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Protocol  03-94 Dengan menggunakan fungsi ini pemilihan dan pengaktifan protocol standard 802.11, nstreme dan Nv2 menjadi lebih mudah dan fleksibel. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Protocol (1)     03-95 unspecified  AP - Membangun koneksi nstreme atau 802.11 menggunakan protocol nstreme yg lama  Client - terkoneksi dengan AP nstreme atau 802.11 menggunakan protocol nstreme yg lama any  AP - Sama seperti mode Unspecified  Client - Melakukan Scan dan akan terkoneksi terhadap semua network dan semua protocol 802.11  AP - Membangun koneksi 802.11 standard  Client - Hanya terkoneksi dengan protocol 802.11 Nstreme  AP - Membangun koneksi nstreme standard  Client - Hanya terkoneksi dengan protocol nstreme Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Protocol (2)  Nv2    Nv2-nstreme-802.11    AP - Membangun koneksi dengan protocol Nv2 Client - scan terhadap Nv2 jika ada akan terkoneksi, jika tidak ada akan scan terhadap Nstreme jika ada akan terkoneksi, jika tidak ada akan scan terhadap 802.11 jika ada akan terkoneksi. Nv2-nstreme   03-96 AP - Membangun koneksi dengan protocol Nv2 Client - Hanya terkoneksi dengan protocol Nv2 AP - Membangun koneksi dengan protocol Nv2 Client - scan terhadap Nv2 jika ada akan terkoneksi, jika tidak ada akan scan terhadap nstreme jika ada akan terkoneksi. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 DFS – Dynamic Frequency Selection  Dynamic Frequency Selection (DFS) standard regional di beberapa negara fungsi DFS harus diaktifkan di semua perangkat wireless.   03-97 “no radar detect” – pada saat wireless diaktifkan AP akan melakukan scan di tiap channel (sesuai parameter range di scan-list) dan secara otomatis akan memilih frequency yang paling sedikit digunakan. “radar detect” – menambahkan fungsi pendeteksi radar di 60detik pertama pada saat melakukan scan dan secara otomatis akan menghindari channel yang berdekatan dengan frequency radar. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] DFS mode     03-98 Aktifkan AP di masing-masing router dan gunakan frequency 5180Mhz. Aktifkan DFS pada mode “no radar detect”. Non-aktifkan wireless interface beberapa detik kemudian aktifkan kembali. Amati perubahan channel / frequency yang terjadi pada AP. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Country Regulations  03-99 Frequency mode :  “regulatory domain” – membatasi penggunaan TX-Power dan frequency pada AP sesuai dengan kebijakan tiap negara (Country).  “manual txpower” – mengabaikan batas TX-Power tetapi masih membatasi frequency yang digunakan.  “superchannel” – mengabaikan semua batasan.  “antenna gain” – parameter ini akan digunakan untuk menghitung EIRP dan akan disesuaikan dengan parameter Txpower pada wireless card. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-2] Country Regulation    03-100 Aktifkan Frequency Mode = Regulatory-domain. Tentukan negara dan masukkan parameter antenna gain. Amati perubahan TX power. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HW-Retries      HW-Retries Adalah parameter yang digunakan untuk menetukan berapa kali percobaan pengiriman ulang frame data sebelum sebuah link dari wireless tersebut dianggap putus. (default 15). Data rate akan diturunkan satu step kebawah ketika mendapatkan kegagalan pengiriman frame. Jika sudah tidak ada lagi rate yang lebih kecil dan masih mengalami 3 kali kegagalan pengiriman frame, maka transmisi akan di hentikan sementara selama parameter on-failretrytime. Kemudian frame data akan dicoba kembali dikirimkan. Frame data akan terus dikirimkan ulang sampai diterima dengan baik oleh perangkat lawan. Jika percobaan ini sudah mencapai limit parameter disconnecttimeout maka proses pengiriman ulang akan dihentikan dan dianggap terputus. 03-101 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HW-Protection   03-102 HW-protection digunakan untuk menanggulangi permasalahan “hidden node”. Hidden-node adalah kondisi di mana sebuah client yang terkoneksi pada sebuah AP tidak bisa mendeteksi adanya transmisi frame dari client lain. Yang mungkin bisa disebabkan karena posisi sebuah perangkat client terletak terlalu jauh dari client yang lain. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HW-Protection Method  HW-protection mengimplementasikan beberapa metode untuk mengatasi “hidden node” :    03-103 “CTS/RTS” protection “CTS to self” protection hw-protection-threshold – adalah batas besar frame yang akan di proteksi; 0 – used for all frames Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 RTS/CTS based Protection  Proteksi menggunakan RTS/CTS   03-104 Sebuah perangkat wireless client akan mengirimkan frame RTS (Request to Send) terlebih dahulu sebelum mengirimkan frame data. Dan akan menunggu frame CTS (Clear to Send) dari perangkat lawan. Ketika perangkat client lain yang menggunakan standard 802.11 yang sama tidak mendapatkan frame CTS maka perangkat client tersebut akan mengetahui bahwa akan ada perangkat yang akan mengirimkan frame data. Sehingga perangkat client tersebut akan menunggu dan menahan pengiriman frame. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 “CTS to self” based Protection    Proteksi menggunakan metode “CTS to self” Perangkat client akan mengirimkan frame CTS ke dirinya sendiri dan perangkat client yang lain sehingga perangkat client yang lain yang menerima frame CTS ini akan menunda transmisi framenya. Proteksi yang menggunakan “CTS to self” tidak banyak mengalami overhead, tetapi hanya akan memproteksi terhadap perangkat client yang menerima frame CTS saja. 03-105 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 CTS to self or RTS/CTS   Jika terdapat 2 atau lebih perangkat client yang mengalami kondisi hidden-node maka mode proteksi "CTS to self“ tidak akan berpengaruh pada perangkat tersebut, karena frame CTS tidak akan didapatkan dari perangkat client yang lain. Dalam kasus ini maka perangkat client yang terkena kondisi hidden-node tersebut harus menggunakan RTS/CTS sehingga client yang lain akan mendapatkan frame CTS dari AP. 03-106 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HW-Fragmentation Threshold   03-107 HW-fragmentation-threshold (byte) adalah parameter untuk menetukan besar fragmentasi (pemecahan) yang akan dilakukan pada data sebelum dikirimkan ke media wireless. Fragmentasi memungkinkan untuk memecah paket data menjadi beberapa bagian yang ukurannya lebih kecil sebelum dikirimkan untuk memperbesar tingkat keberhasilan terkirimnya paket data tersebut ke perangkat tujuan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HW-Fragmentation Threshold   03-108 Jika terjadi fragmentasi pada sebuah paket data dan terjadi kegagalan pada proses transmisinya, maka bagian fragmentasi data yang gagal saja yang akan dikirim ulang dan bukan paket secara keseluruhan. Transmisi dari paket data yang ter-fragmentasi dirasa akan kurang efisien karena akan terjadi overhead dari protocol dan juga peningkatan penggunaan resource hardware dari kedua sisi perangkat (pengirim dan penerima). Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Adaptive-Noise Immunity     Adaptive-noise-immunity adalah sebuah fungsi untuk menyesuaikan secara otomatis beberpa parameter penerimaan signal, untuk meminimalisasi terjadinya interferensi dan noise. Hanya bekerja di chipset Atheros 5212 ke atas Fungsi ini menggunakan load CPU untuk melakukan kalkulasi Terdapat 3 options:  None – tidak diaktifkan  Client-mode – hanya diaktifkan jika mode menggunakan station atau station-wds.  Ap-and-client-mode – akan diaktifkan pada mode apapun 03-109 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WMM – Wireless Multi Media   03-110 WMM bekerja dengan membagi trafik wireless ke dalam 4 kategori akses:  1,2 – background,  0,3 - best effort,  4,5 – video,  6,7 - voice. Implementasi QoS diterapkan pada paket yang dikirim, oleh karena itu perangkat transmisi memperlakukan paket berbeda satu sama lain Untuk menentukan prioritas dilakukan oleh :  Bridge or IP firewall  Ingress (VLAN or WMM)  DSCP Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Modifying Data Rates   03-111 default – option untuk pemilihan data-rate (modulasi) yang digunakan oleh interface. Pemilihan dikalkulasi secara otomatis. configured – option untuk menggunakan parameter basic-rates dan supported-rates. Pemilihan rate dilakukan secara manual. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rates Changing Options     Data-rate yang digunakan adalah data rate dari parameter Supported-rate yang paling stabil yang bisa digunakan oleh client. Dan AP akan menurunkan data rate dari supportedrates ke Basic-rates jika client mengalami permasalahan menggunakan data rate tinggi. Tidak direkomendasikan untuk menonaktifkan data rate rendah dan hanya mengaktifkan data rate tinggi. Karena akan memperbanyak kemungkinan terputusnya link (modulasi terlalu kompleks). AP dan client harus sama-sama support Basic-rate untuk bisa saling terkomunikasi dengan baik satu sama lain. 03-112 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] Data Rate Lab   03-113 Konfigurasi AP untuk hanya menggunakan sampai maksimal 24Mbps dan coba test performancenya. Konfigurasi AP untuk menggunakan hanya data rate 54Mbps kemudian test troughputnya serta amati kestabilan linknya. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rates up to 24Mbps 03-114 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rates only 54Mbps 03-115 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TX Power Option   TX-power yang berbeda untuk tiap data rate, semakin tinggi data rate semakin rendah power yang dipancarkan. Dengan menggunakan data rate rendah dan menonaktifkan data rate tinggi akan memperbaiki kualitas signal karena secara prinsip power akan lebih besar jika menggunakan data rate rendah. 03-116 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TX Power Mode     Default – menggunakan setting tx-power default dari data eeprom wireless card. Card-rates – menggunakan parameter txpower untuk mengkalkulasi power yang dikeluarkan oleh card menggunakan algoritma tersendiri. All-rates-fixed – menggunakan tx power yang sama untuk semua data rate. Manual-table – menggunakan nilai tx power yang berbeda untuk tiap rate yang ditentukan secara manual sesuai angka yang ada di tabel tx power. 03-117 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Proprietary Extensions    Adalah beberapa parameter / fungsi khusus yang hanya bisa digunakan oleh sesama mikrotik dan kompatibilitasnya di beberapa perangkat vendor lain. Area – sebuah parameter berupa string yang mendeskripsikan area (group) dari AP. Parameter ini bisa dispesifikkan di connect-list sebagai area prefix. proprietary-extensions (default value: post-2.9.25) : RouterOS memiliki metode tertentu untuk melakukan management pengiriman frame data.   03-118 pre-2.9.25 – Metode ini compatible dengan RouterOS versi baru tetapi tidak compatible dengan beberapa vendor client contohnya seperti vendor Centrino post-2.9.25 – Metode ini adalah metode standard yang comaptible dengan sebagian besar card yang beredar di pasaran dan juga card keluaran baru. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Access Management Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Access Management :    Access List Connect List Centralized Access List Management: •  04-120 Radius Mac Authentication VAP ! Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Default Policy    04-121 default-forwarding (on AP) – opsi security dimana wireless client boleh berkomunikasi dengan client yang lain secara langsung atau tidak. (bisa dikonfigurasi lebih detail per client di access-list). default-authentication – opsi security yang digunakan untuk wireless client atau wireless AP yang tidak dikonfigurasi secara khusus di Accesslist atau di connect-list. Kedua opsi tersebut menjadi tidak berfungsi atau diabaikan jika setting khusus terhadap sebuah wireless client atau bisa juga wireless AP yang dilakukan di access-list dan connect-list. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Access Management       Access List – adalah filter autentikasi sebuah AP (mode Access Point) terhadap client yang terkoneksi. Connect List – adalah filter autentikasi sebuah wireless client (mode Station) terhadap AP mana yang ingin terkoneksi. Rule autentikasi atau filter autentikasi dibaca secara terurut dari atas ke bawah seperti halnya sebuah filter firewall sampai request autentikasi mencapai kecocokan. Sangat dimungkinkan untuk memasang beberapa filter untuk mac-address yang sama dan juga satu rule untuk semua macaddress. Sebuah rule filter mac-adress bisa diterapkan pada sebuah interface wireless saja atau bisa juga untuk semua interface. Jika tidak ada rule yang sesuai maka akan digunakan default policy (default authentication & default forward) dari wireless interface tersebut. 04-122 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Access List  Mampu membatasi autentikasi client tertentu berdasarkan kekuatan signalnya (signal stregth).   Mampu untuk membatasi autentikasi client tertentu berdasarkan waktu yang sudah ditentukan.   Contoh: hanya memperbolehkan client dengan signal bagus yang boleh terkoneksi jika tidak maka client tidak bisa terkoneksi sama sekali. Contoh: hanya memperbolehkan client bisa terkoneksi pada hari weekend saja. Mampu untuk membatasi autentikasi client berdasarkan ketentuan security tertentu.  04-123 Contoh: memperbolehkan client hanya bisa terkoneksi menggunakan WPA key tertentu. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Access List 04-124 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Autentication & limit  authentication (yes or no) :    forwarding (yes or no) :     04-125 no – client tidak akan pernah terkoneksi. yes – akan mengautentikasi client dan akan dilanjutkan dengan meminta prosedur keamanan sesuai dengan parameter security-profile di Interface. no – client tidak akan bisa mengirimkan frame ke client yang lain walaupun masih terkoneksi dengan AP yang sama. yes – client bisa mengirimkan frame data ke client lain yang terkoneksi ke AP yang sama. ap-tx-limit (default : 0) : limit kecepatan data dari ap ke client. Nilai 0 berarti tidak terlimit. client-tx-limit (default : 0) : akan meminta client untuk membatasi kecepatan transmisinya. Nilai 0 berarti tidak terlimit. Fungsi in hanya berjalan di sesama RouterOS Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Mac-address & Interface  mac-address (default: 00:00:00:00:00:00) : Adalah parameter Untuk memasang filter terhadap client yang menggunakan mac-address tertentu.   interface (default: all) : adalah parameter untuk menetukan interface mana yang akan menggunakan filter tersebut.  04-126 Nilai default yaitu 00:00:00:00:00:00 melambangkan semua macaddress. Nilai default All berarti rule ini akan digunakan di semua interface di router. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] Access List Mac filter    04-127 Gunakan filter Macaddress untuk menetukan client yang terkoneksi. Aktifkan rate limit berbeda untuk tiap client. Test troughpunya Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Range Signal & Time   signal-range (NUM..NUM – kedua parameter NUM adalah range antara -120..120; default : -120..120) : adalah paremeter untuk membatasi client yang terkoneksi dengan kekuatan signal tertentu.  Client hanya bisa terkoneksi jika signal strength yang didapatkannya masuk dalam range yang sudah ditentukan. Jika signal mengalami perubahan dan tidak masuk dalam range maka client akan diputus koneksinya. time (TIME-TIME,sun,mon,tue,wed,thu,fri,sat - TIME adalah interval waktu 0..86400 seconds) : Rule ini akan dijalankan sesuai dengan waktu dan hari yang sudah ditentukan. 04-128 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-2] Access List Signal Filter   Gunakan filter Signal untuk menetukan client yang terkoneksi Tentukan waktu koneksi yang berbeda untuk tiap client *ubah clock pada router untuk test pada seting time *ubah tx power supaya mempengaruhi signal 04-129 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Private Security Policy    04-130 private-algo (none, 40bit-wep, 104bit-wep, aes-ccm or tkip) : algoritma enkripsi WEP. private-key : kunci enkripsi WEP private-pre-shared-key : digunakan untuk metode kamanan WPA PSK. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Connect List    04-131 Connect-list – digunakan untuk memberikan prioritas dan mengimplementasikan beberapa parameter keamanan pada sebuah wireless interface client yang akan terkoneksi pada sebuah AP. Hampir sama dengan access-list, Connect-list juga berbentuk kumpulan beberapa rule yang akan dibaca terurut dari atas ke bawah. Tetapi tidak seperti acces-list, setiap rule connect-list hanya bisa diimplementasikan pada interface wireless yang spesifik. Klasifikasi filtering pada Rule connect-list bisa berupa MAC-address dari AP, signal strength dan beberapa parameter lain. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List    04-132 connect (yes or no) : yes – terkoneksi ke AP yang sesuai dengan rule. no – tidak terkoneksi ke AP yang sesuai dengna rule Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List - Operation       04-133 Rule Connect-list akan dibaca terurut dari atas ke bawah. Rule yang tidak aktif akan diabaikan. Jika ada beberapa rule connect-list yang memiliki klasifikasi yang sesuai (mac-address,signal-strength) maka rule yang digunakan adalah rule paling awal. Jika tidak terdapat rule yang cocok pada sebuah access point, maka kebijakan default yang akan digunakan (default authentication). Jika terdapat rule yang cocok pada sebuah access point dan terdapat parameter connect=no maka koneksi ke AP tersebut tidak akan dilakukan. Jika terdapat rule yang cocok pada sebuah access point dan terdapat parameter connect=yes maka koneksi ke AP tersebut akan dilakukan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect-list on WDS   Pada mode access point biasa access-list tidak digunakan. Tetapi jika mada Mode AP dan mengaktifkan WDS maka Connect-list akan menjadi policy untuk komunikasi antar AP (wds). Rule connect list akan dipertimbangkan terlebih dahulu sebelum membuat link WDS ke perangkat AP lain. Jika tidak ada rule yang cocok pada connect-list maka interface akan menggunakan policy default (default authentication) sebagai parameter penentu pembuatan link WDS. 04-134 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List - Clasification   04-135 interface – nama interface untuk rule yang akan dibuat, hanya bisa menggunakan satu interface untuk tiap rule. mac-address (default : 00:00:00:00:00:00) : untuk menentukan mac-address dari AP. Nilai default 00:00:00:00:00:00 berarti semua macaddress. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List - Clasification   area-prefix (text) : parameter klasifikasi untuk menentukan nilai area dari sebuah AP. Hanya bisa digunakan di perangkat Mikrotik. ssid (text) : parameter klasifikasi untuk menetukan SSID dari AP yang ingin dikoneksikan, jika dikosongkan berarti semua ssid.  04-136 Parameter ini hanya berfungsi jika mode station diaktifkan di interface dan parameter ssid di interface tersebut kosong, atau jika pada mode Access Point dan parameter wds-ignore-ssid=yes Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] Connect List AP Filter   Gunakan filter Mac-address untuk menetukan AP yang ingin dikoneksikan Gunakan filter area untuk menetukan AP mana yang ingin dikoneksikan *coba koneksikan ke AP yang lain dengan area yang berbeda 04-137 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List – Area Filter  04-138 Filter berikut akan memberikan perintah ke wireless client untuk terkoneksi ke AP manapun dengan ssid apapun yang masuk di “area1” Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Connect List – Signal Filter     04-139 signal-range (NUM..NUM – kedua parameter NUM adalah range antara -120..120; default : -120..120) : adalah paremeter untuk membatasi koneksi ke sebuah AP dengan kekuatan signal tertentu. AP hanya bisa terkoneksi jika signal strength yang didapatkannya masuk dalam range yang sudah ditentukan. Jika signal mengalami perubahan dan tidak masuk dalam range maka koneksi ke AP akan diputus. security-profile (nama security-profile, or none) : adalah nama security profile yang akan digunakan untuk terkoneksi ke sebuah AP. Jika nilai “none” digunakan mala kebijakan security yang digunakan adalah kebijakan keamanan yang terpasang di interface. Untuk interface yang mengaktifkan mode AP tidak akan menggunakan parameter ini. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-4] Connect List Signal Filter  Gunakan filter signal untuk menetukan AP yang ingin dikoneksikan *ubah parameter tx-power untuk mempengaruhi signal 04-140 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Signal Filter      Rule berikut akan memerintahkan wireless interface yang : Menggunakan mode client atau AP - WDS Terkoneksi ke AP mana saja Dengan ssid apapun Tetapi hanya di AP yang memiliki signal strength minimal -10db 04-141 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 RADIUS MAC Authentication     Wireless Mikrotik sudah support untuk melakukan autentikasi mac-address yang tersentralisasi dengan menggunakan bantuan RADIUS server. Termasuk fungsi accounting juga sudah bisa dilakukan untuk memonitor seberapa besar traffic dari client tersebut. Sudah mampu juga untuk menggunakan fitur “Radius Incoming” yang mampu melakukan pemutusan akses client langsung dari Radius server. MAC mode – parameter mac-address akan menjadi username saja atau menjadi username dan password di Radius. 04-142 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 04-143 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP – Virtual Access Point   "Virtual Access Point" adalah sebuah entitas logis yang diciptakan dari interface fisik Access Point (AP). Ketika sebuah AP secara fisik mendukung beberapa "Virtual AP", maka setiap AP Virtual menjadi sebuah AP virtual yang independen, meskipun hanya ada satu interface fisik. 04-144 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP Benefit   Virtual AP memungkinkan penyedia jaringan untuk menawarkan beberapa layanan yang berbeda, serta memungkinkan untuk beberapa penyedia jaringan untuk berbagi infrastruktur fisik yang sama. Keuntungan meliputi: Channel Conservation – karena adanya regulasi pada setiap negara dan standard komunikasi tertentu yang ada di area yang penting (ex: bandara), maka penggunaan channel menjadi sangat terbatas. Dengan menggunakan VAP beberapa provider bisa berbagi infrastruktur dan melanggar regulasi yang ada. 04-145 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP Benefit  04-146 Capital expenditure reduction – tuntutan service yang memadai untuk menunjang perkembangan ekonomi, menyebabkan perlunya efisiensi dalam mengembangkan infrastruktur. Dalam rangka memberikan hasil yang lebih baik pada biaya instalasi dan pemeliharaan penyebaran infrastruktur nirkabel, adalah lebih hemat untuk membangun infrastruktur dan berbagi di antara beberapa penyedia, daripada untuk membangun infrastruktur yang tumpang tindih Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP Interface 04-147 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Mikrotik VAP    Virtual Access Point (VAP) interface digunakan untuk membuat sebuah AP Logis yang memiliki SSID dan Mac-address yang berbeda. Bisa disamakan seperti operasional VLAN tetapi menggunakan media Wireless. Secara teoritis mikrotik mampu untuk menciptakan 128 VAP di setiap interface fisiknya . RouterOS mikrotik support VAP pada wireless interface berchipset Atheros AR5212 sampai chipset terbaru saat ini. 04-148 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP - Configuration    ssid (default: MikroTik) – identitas dari wireless network yang akan terdistribusikan oleh VAP master-interface (name) – interface fisik yang akan digunakan oleh VAP security-profile (default: default) – security profile yang akan digunakan untuk memberikan parameter security pada jaringan wireless VAP. 04-149 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP - Limit  default-ap-tx-limit (integer; default: 0) – adalah limit traffic rate untuk pengiriman data dari AP ke tiap client (bps).   default-client-tx-limit (integer; default: 0) – adalah limit traffic rate untuk pengiriman data dari tiap client ke AP (bps). Hanya bekerja jika client samasama menggunakan mikrotik.  04-150 0 – berarti tanpa limit 0 – berarti tanpa limit Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP - Authentication   default-authentication (default value: yes) : Jika digunakan mode AP maka semua client yang tidak dibatasi di access-list akan diautentikasi dan bisa terkoneksi. default-forwarding (default value: yes) : Adalah parameter yang digunakan untuk AP-isolation atau untuk membatasi forwarding traffic dari client ke client yang lain dalam AP yang sama. Bisa dibatasi lebih spesifik per clientnya di access-list. 04-151 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-5] VAP Lab VAP1 Network 10.20.20.x/24    Buat VAP dan SSID yang berbeda untuk tiap client. Tambah ip address berbeda segmen untuk tiap VAP beserta clientnya. Routing akan dilakukan untuk menghubungkan client dari setiap VAP. VAP2 Network 10.30.30.x/24 VAP3 Network 10.40.40.x/24 04-152 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP – Advanced Menu 04-153 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP – Advanced Config   area (default: "") – adalah parameter area yang digunakan untuk grouping dari VAP tersebut. Parameter ini juga akan berpengaruh di connectlist jika terdapat filter berdasarkan area. max-station-count (integer; default: 2007) – jumlah client (secara teoritis) yang bisa terkoneksi ke VAP dalam waktu bersamaan. 04-154 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VAP – Advanced Config   wmm-support (disabled | enabled | required) – option untuk mengaktifkan WMM pada VAP. proprietary-extensions (default value: post-2.9.25) : RouterOS memiliki metode tertentu untuk melakukan management pengiriman frame data.  pre-2.9.25 – Metode ini compatible dengan RouterOS versi baru tetapi tidak compatible dengan beberapa vendor client contohnya seperti vendor Centrino  post-2.9.25 – Metode ini adalah metode standard yang comaptible dengan sebagian besar card yang beredar di pasaran dan juga card keluaran baru. 04-155 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-6] VAP Limit Lab 10 mbps / 10 mbps VAP1 Network 10.20.20.x/24  Limit traffic untuk tiap VAP 2 mbps VAP2 Network 10.30.30.x/24 5 mbps VAP3 Network 10.40.40.x/24 04-156 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Security Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Authentication WPA    Encryption      05-158 PSK Authentication EAP Authentication AES TKIP WEP EAP RADIUS & EAP-TLS Security Management Protection Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Security Principles   Authentication – untuk memastikan bahwa komunikasi antar node (AP ke client dan sebaliknya) adalah benar-benar dari node perangkat yang memang terpercaya. Data encryption :   05-159 Confidentiality – untuk memastikan informasi data yang terjadi antar node memang hanya untuk node yang memang memiliki akses. Integrity – untuk memastikan informasi data yang terjadi antar node benar-benar tidak terjadi pengubahan dari sumber atau node yang lain. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 05-160 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Security Profile - Mode  Mode:      05-161 None static-keys-optional static-keys-required dynamic-keys default value: none Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Security Profile - Mode     none – enkripsi tidak dilakukan, jika terkoneksi ke frame yang terenkripsi maka komunikasi akan ditolak. static-keys-required – menggunakan metode enkripsi WEP, jika menggunakan metode ini maka komunikasi frame antar antar node yang tidak terenkripsi tidak dapat dilakukan atau ditolak.  Jika client (mode station) yang menggunakan mode keamanan static-keys-required tidak akan dapat terkoneksi ke AP yang menggunakan mode keamanan static-keys-optional. static-keys-optional – menggunakan metode enkripsi WEP, tetapi juga mampu menerima serta mengirimkan frame data yang tidak terenkripsi.  Jika client (mode station) yang menggunakan mode keamanan static-keys-optional tidak akan dapat terkoneksi dengan AP yang menggunakan mode keamanan static-keys-required. dynamic-keys – menggunakan metode keamanan WPA. 05-162 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Authentication Tree 05-163 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 PSK Authentication     05-164 Pre-Shared Key adalah sebuah mekanisme autentikasi yang menggunakan sebuah kata kunci yang sebelumnya sudah didistribusikan diantara kedua node (AP-Client). Metode ini Banyak digunakan di autentikasi komunikasi wireless. Pada sebuah security profile sangat memungkinakn untuk memasang beberapa metode autentikasi yang berbeda. Memungkinkan juga menggunakan “PSK key” yang berbeda untuk tiap node koneksi (client) dengan menggunakan Access List. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 EAP Authentication      EAP – Extensible Authentication Protocol Memungkinkan administrator jaringan wireless untuk menggunakan metode autentikasi wireless yang beragam di RouterOS. Saat ini terdapat 40 macam metode autentikasi yang termasuk didalam golongan EAP. RouterOS support salah satunya yaitu EAP-TLS. RouterOS juga mampu menggunakan metode “Passtrough” yang akan meminta atau meneruskan metode autentikasi ke RADIUS Server. 05-165 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Encryption 05-166 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Encryption AES-CCM    AES-CCM – AES with CTR with CBC-MAC AES - Advanced Encryption Standard adalah sebuah metode enkripsi yang menggunakan blok pengkodean (Cipher) tetap yang besarnya 128bit. Untuk kunci (key) pengurainya bisa menggunakan 128,192 dan 256bit. CTR - Counter menghasilkan blok keystream dengan melakukan enkripsi secara berurutan nilai dari counter 05-167 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 AES-CCM (2)   CBC - Cipher Block Chaining setiap blok kodetext akan dibandingkan dengan blok sebelumnya dengan menggunakan logika XOR. Dengan cara ini, setiap blok kodetext akan bergantung pada semua blok plaintext kunci. MAC - Message Authentication Code memungkinkan untuk mendeteksi adanya perubahan pada isi pesan. 05-168 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Encryption - TKIP     TKIP – Temporal Key Integrity Protocol adalah sebuah protocol keamanan yang khusus digunakan di jaringan Wireless 802.11. TKIP ini adalah sebuah penyempurnaan dari protocol terdahulu WEP berdasarkan Cipher stream RC4. Tidak seperti WEP, TKIP menghasilkan "per-packet key mixing", sebuah pesan yang ter-integrity yang memeriksa dan sebuah mekanisme "re-keying" sehingga pengalamatan menjadi isu pengamanan dengan WEP. Hal ini menambah kerumitan dari pen-dekodean kunci dengan menurunkan ketersediaan jumlah data kepada cracker, itu telah dienkripsi menggunakan suatu kunci khusus. 05-169 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WEP     Wired Equivalent Privacy adalah protocol security untuk wireless network terdahulu yang sudah mulai jarang digunakan. Selain sederhana tingkat keamanannya tidak terlalu kuat. Tidak memiliki proses Autentikasi. Tidak direkomendasikan lagi untuk menggunakan metode keamanan ini karena dirasa sangat rentan terhadap tool hacking yang berkembang saat ini. 05-170 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 05-171 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Pre-Shared Key (PSK)      Untuk menggunakan autentikasi metode PSK : Gunakan mode “Dynamic Keys” Aktifkan pilihan “WPAx-PSK” pada parameter authentication type Tentukan pengkodean yang digunakan untuk enkripsi Unicast and Group Ciphers (AES-CCM, TKIP) Tentukan WPAx-Pre-Shared Key 05-172 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WPA-PSK 05-173 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WPA properties     Hanya berfungsi jika security profile menggunakan mode=dynamic-keys. authentication-types – menentukan metode autentikasi yang akan digunakan. AP akan menawarkan metode autentikasi yang diguankan dan client akan terkoneksi ke AP menggunakan metode autentikasi yang disupport. Jika tidak ada satu pun metode yang ditawarkan cocok maka client tidak akan dapat terkoneksi. unicast-ciphers – AP akan menawarkan semua ciphers yang digunakan, client akan mencoba terkoneksi menggunakan ciphers yang ada. Client dapat terkoneksi menggunakan minimal satu ciphers. salah satu ciphers akan digunakan untuk melakukan enkripsi frame komunikasi unicast yang terjadi antara AP-Client. 05-174 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WPA properties (2)      group-ciphers – AP akan menawarkan semua ciphers yang digunakan, dan metode tersebut akan digunakan untuk melakukan enkripsi dari frame traffic broadcast dan multicast. Client dapat terkoneksi menggunakan minimal satu ciphers. tkip – protocol enkripsi yang kompatibel dengan protocol WEP tetapi sudah menggunakan metode baru yang memperbaiki kekurangan WEP. aes-ccm – protocol WPA yang lebih aman dibandingkan dengan WEP. group-key-update (time interval in the 30s..1h range; default value: 5m) : interval untuk melakukan pembaharuan groupkey. Parameter ini tidak berpengaruh pada wireless yang menggunakan mode client. wpa-pre-shared-key, wpa2-pre-shared-key (text) : key yang digunakan untuk menggunakan autentikasi WPA di seluruh jaringan wireless yang terkoneksi. Nilai bisa berupa text. 05-175 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] WPA Lab   05-176 Gunakan WPA-PSK untuk mengamankan jaringan wireless Security profile pada interface akan mempengaruhi semua client Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Security Profile - Interface 05-177 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-2] WPA Lab + Access List   05-178 Gunakan WPA-PSK untuk mengamankan jaringan wireless Gunakan access-list untuk menetukan pre-shared-key yang berbeda di tiap client Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Access List – Personal PSK 05-179 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] WEP Lab   05-180 Gunakan WEP untuk mengamankan jaringan wireless Security profile pada interface akan mempengarui semua client Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Security Profile - Interface 05-181 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-4] WEP Lab + Access List   05-182 Gunakan WEP untuk mengamankan jaringan wireless Gunakan access-list untuk menetukan WEP private-key yang berbeda di tiap client Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WEP with Access-List 05-183 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 EAP Authentication Security  Untuk mengaktifkan fitur keamanan autentikasi EAPPassthrough:       Gunakan mode “Dynamic Keys” Aktifkan type autentikasi “WPAx-EAP” Aktifkan autentikasi menggunakan MAC-address Pilih Metode EAP menggunakan metode “Passthrough” Aktifkan Radius Cleint Untuk mengaktifkan autentikasi menggunakan metode EAP-TLS    05-184 Aktifkan type autentikasi “WPAx-EAP” Gunakan opsi TLS jika ingin menggunakan Certificate Import certificate SSL kemudian decript menggunakan key yang ada Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 EAP-Passthrough RADIUS 05-185 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 EAP-TLS – Import Certificate 05-186 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WPA-EAP  05-187 Dengan menggunakan Autentication WPAEAP Maka traffic akan dibuatkan Sesi enkripsi menggunakan 2048 bit anonymous DiffieHellman key exchange Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 EAP-TLS 05-188 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Management Frame Protection    RouterOS mengimplementasikan protocol keamanan khusus yang hanya bisa digunakan di sesama wirless mikrotik, yaitu algoritma Management Frame Protection. Perangkat wireless mikrotik mampu untuk memastikan bahwa asal frame yang diterima adalah dari node yang benar-benar terverifikasi dan bukan dari sumber yang lain yang bermaksud jahat. Mampu untuk mengatasi serangan deauthentication dan disassociation di perangkat wireless mikrotik. 05-189 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Management Protection Settings     Diimplementasikan dan dikonfigurasi di security profile disabled – tidak menggunakan management protection allowed – mengaktifkan management protection jika disupport oleh perangkat lawan.  Jika digunakan di AP – memperbolehkan perangkat client terkoneksi walaupun tidak support management protection.  Jika digunakan di Client – mampu terkoneksi ke AP yang support management protection atau ke AP yang tidak menggunakan protocol ini. required – hanya bisa terkoneksi ke perangkat lawan yang support management protection.  Jika digunakan di AP – hanya memperbolehkan client yang menggunakan management protection.  Jika digunakan di Client – hanya bisa terkoneksi ke AP yang menggunakan protocol ini. 05-190 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Management-protection-key    Dikonfigurasi menggunakan parameter management-protection-key. Management Protection Key bisa ditentukan secara spesifik di Access-List atau bisa juga ditentukan menggunakan atribut di RADIUS. 05-191 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless – WDS Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  WDS    WDS topology    06-193 Dynamic WDS Interface Static WDS Interface Point-to-Point WDS Multi AP WDS RSTP Bridge Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS – Wireless Distribution System    Dengan menggunakan WDS system memungkinkan untuk melakukan konfigurasi wireless yang sedikit berbeda untuk meningkatkan jangkauan area jaringan wireless. Dengan menggunakan beberapa perangkat AP menjadi sebuah satu kesatuan. Dengan menggunakan WDS ini memungkinkan komunikasi data melewati beberapa AP seperti halnya sebuah jaringan ethernet, bisa diibaratkan perangkat AP tersebut sebagai sebuah switch. Beberapa AP yang tergabung di dalam Jaringan WDS harus menggunakan band, frequency dan SSID yang sama. 06-194 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless WDS 06-195 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Distribution System  Sebuah perangkat AP (menggunakan mode bridge / apbridge) memungkinkan untuk membangun sebuah jaringan WDS dengan :      Perangkat AP lain yang menggunakan mode bridge / apbridge Perangkat AP lain yang menggunakan mode wds-slave (memiliki kemampuan untuk adaptasi terhadap perubahan frequency) Perangkat client yang menggunakan mode station-wds (metode lama untuk mengimplementasikan wireless bridge) Fungsi DFS harus dimatikan di jaringan WDS. Implementasi WDS bisa berlainan di setiap vendor perangkat AP, tidak semua perangkat AP yang berlainan vendor bisa digabungkan dalam satu kesatuan WDS. 06-196 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS – Mode  Terdapat 4 mode operasional WDS :      Dynamic – interface WDS akan secara otomatis segera dibuat ketika sudah menemukan perangkat AP lain yang kompatibel dengan perangkat AP tersebut. Static – interface WDS harus dibuat secar manual Dynamic-Mesh – hampir sama seperti mode dynamic tetapi menggunakan protocol yang baru, yaitu menggunakan protocol HWMP+ (penyempurnaan WDS standard) Static-Mesh – mirip dengan mode static, tetapi sudah menggunakan protocol baru sebagai penyempurnaan WDS standard yaitu protocol HWMP+. Protocol baru HWMP+ tidak kompatibel atau tidak disupport secara penuh dengan mode dynamic / static standard mode serupa dari vendor lain. 06-197 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS Mode 06-198 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS - Parameter  Jika ingin mengimplementasikan Dynamic WDS pada sebuah bridge, maka parameter wds-default-bridge bisa digunakan.     Ketika link antar node WDS mengalami perubahan (terputus dan terkoneksi kembali), maka interface interface WDS akan secara otomatis dimasukkan dalam port interface di interface bridge tersebut. WDS Default Cost – cost (beban logika untuk perhitungan prioritas antar port) di dalam jaringan WDS WDS Cost Range – nilai margin cost yang akan diperhitungkan berdasarkan besar troughput link WDS. WDS Ignore SSID – adalah pilihan dimana jaringan WDS akan mengabaikan parameter SSID atau tidak. 06-199 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Dynamic WDS Interface    06-200 Interface WDS yang bersifat Dynamic diciptakan sebagai interface virtual dan memiliki indikasi (tanda “D”) di menu WDS. Ketika link dari dynamic WDS ini terputus maka ip yang terpasang pada interface tersebut akan ter-disable secara otomatis dan terlepas dari jaringan WDS. Hal yang sama juga terjadi di bridge interface. Direkomendasikan untuk menggunakan parameter “wds-default-bridge” untuk menunjuk ke bridge interface dan memasang ip di bridge interface tersebut. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Static WDS Interface    Untuk mengimplementasikan WDS menggunakan mode static maka parameter “master-interface” dan juga “wdsaddress” yaitu mac-address node lawan harus ditentukan secara manual. Interface WDS yang dibuat secara static tidak akan hilang jika link terputus. Jika menggunakan metode ini maka parameter “wdsdefault-bridge” sebaiknya diubah menjadi “none”. 06-201 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS – Point to Point 06-202 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] WDS p2p Static 06-203 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Activate WDS & Interface 06-204 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS Interface in Bridge 06-205 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS – Single Band 06-206 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-2] WDS – Multi AP 06-207 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS Dynamic Activation 06-208 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS - Bridge  06-209 Flag “D” di interface WDS dalam bridge port, menunjukkan Interface WDS akan secara otomatis ditambahkan pada bridge port. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] WDS Slave 06-210 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS-Slave Config   06-211 Ubah mode interface dari 3 anggota WDS multi AP Menjadi mode wireless WDS-slave. Coba lakukan pengubahan frequency pada APmaster dan amati status dari interface yang menggunakan Mode WDS-slave. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 WDS – Multi Band 06-212 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Bridge on WDS Networks     WDS Multi AP tidak akan berjalan sempurna tanpa adanya fungsi bridge. Untuk mengimplementasikan WDS Multi AP seluruh interface WDS harus masuk di dalam bridge interface, dan juga interface lain (interface fisik / master) yang terkoneksi langsung dengan client. Untuk mencegah terjadinya looping di dalam bridge dan juga untuk mengimplementasikan redundant link, maka ada baiknya mengaktifkan juga protocol Spanning Tree Protocol (STP/RSTP). RSTP bekerja lebih responsif walaupun terjadi perubahan topologi pada jaringan WDS. 06-213 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 (Rapid) Spanning Tree Protocol  (R)STP akan mengurangi terjadinya duplikasi macaddress di beberapa bridge interface yang tergabung pada sebuah jaringan WDS, dengan cara menon-aktifkan port yang terhubung ke macaddress tersebut.   Langkah awal RSTP akan memilih root bridge berdasarkan Bridge ID yang paling kecil. Kemudian RSTP akan menggunakan metode breadth-first search algorithm untuk menjadikan root bridge sebagai titik awal. • • 06-214 Jika algoritma mendapatkan sebuah mac-address untuk pertama kalinya maka link akan dibiarkan aktif. Jika algoritma menemukan mac-address untuk kedua kalinya maka RSTP akan menon-aktifkan link tersebut. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 RSTP – Loop Avoider 06-215 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 RSTP - Tree 06-216 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Bridge – Port State  06-217 Port State adalah status dari port dari sebuah bridge. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Port State - Root  Root Port adalah port pada beberapa bridge yang terkoneksi langsung ke Root Bridge. R 06-218 Mikrotik Indonesia http://www.mikrotik.co.id R 5/24/11 Port State - Designated   Designated Port adalah port yang melakukan forward traffic dalam bridge tersebut. Bisa dikatakan adalah jalur terpendek yang dikalkulasi oleh algoritma RSTP. D D R R D 06-219 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Port State - Alternate  Alternate Port adalah port yang di block, tetapi merupakan jalur alternatif yang menuju ke Root Bridge yang berada di bridge berbeda . R D A 06-220 Mikrotik Indonesia http://www.mikrotik.co.id D R D 5/24/11 Port State - Backup  Backup Port adalah port yang di block, tetapi merupakan jalur alternatif yang menuju ke Root Bridge yang berada di bridge yang sama. R D A 06-221 Mikrotik Indonesia http://www.mikrotik.co.id D R D B 5/24/11 RSTP Activation 06-222 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless MESH Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  HWMP+     07-224 Layer 2 Routing Raective Mode Proactive Mode Portal Router Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Layer-2 Routing for Mesh Networks      Mikrotik memberikan alternatif yang berbeda untuk jaringan WDS, yaitu menggunakan RSTP - HWMP+. HWMP+ adalah sebuah protocol yang spesifik digunakan untuk menerapkan protocol routing leyer-2 untuk jaringan wireless Mesh. Protocol HWMP+ adalah pengembangan dari Hybrid Wireless Mesh Protocol draft standarisasi IEEE 802.11s. Tetapi Protocol HWMP+ ini sendiri tidak kompatibel dengan IEEE 802.11s HWMP+ hanya berfungsi di mode WDS tertentu yaitu :   07-225 wds-mode=static-mesh wds-mode=dynamic-mesh Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 HWMP+   Untuk mengkonfigurasi HWMP+ maka gunakan menu “Mesh”. Metode konfigurasinya hampir sama dengan konfigurasi bridge. HWMP+ mengoptimalkan logika routing berdasarkan kalkulasi kapasitas dan juga beban dari link tersebut (metric).   07-226 Khusus untuk link Ethernet, metric dikonfigurasi secara static. Sedangkan untuk link WDS, metric akan selalu diupdate dan ditentukan secara dinamis. Perhitungan metric dari link WDS ini diambil dari kalkulasi antara kekuatan signal wireless dan juga data rate yang digunakan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Reactive Mode Discover  07-227 Semua jalur antar node di dalam jaringan MESH akan dipetakan, dengan memberikan atau mengirimkan pesan Path Request (PREQ) ke seluruh jaringan. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Reactive Mode Response  Node tujuan bisa berupa sebuah perangkat AP atau router yang saling terhubung satu sama lain akan memberikan pesan balasan, berupa pesan Path Response(PREP) 07-228 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Proactive Mode    07-229 Pada saat menggunakan mode Proactive sebuah router akan berfungsi sebagai “Portal”. Biasanya router portal tersebut adalah router yang salah satu interfacenya terhubung dengan network lain. Bisa juga sebagai router terluar dari sebuah jaringan MESH. Mode Proactive ini sangat cocok jika traffic yang terjadi diantara node didalam jaringan mesh lebih banyak dibandingkan dengan traffic yang terjadi antara portal node. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Proactive Mode Announcement  07-230 Portal node dari sebuah jaringan MESH akan memberitahukan keberadaannya ke semua node didalam jaringan mesh tersebut dengan mengirimkan pesan Root Announcement (RANN). Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Proactive Mode Response   Node-node yang ada di dalam jaringan mesh akan memberikan balasan dengan pesan Path Registration atau sering disebut sebagai (PREG) message. Dengan adanya signaling ini maka bisa dibuatkan skema pohon routing dengan titik awal ada di router portal. 07-231 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Portals     Jalur routing ke router portal akan dianggap seperti Mesh default route. Jika sebuah internal node dalam suatu kondisi tertentu tidak mengetahui jalur ke node yang lain di dalam jaringan mesh yang sama, maka data akan dilemparkan ke router portal terdekat. Router portal tersebut akan berusaha untuk menemukan jalur ke node tujuan, jika dibutuhkan router portal akan menjadi pengganti dari node tersebut dan traffic data akan disalurkan melewati router portal terlebih dahulu sebelum dikirimkan ke node ujuan. Jika Hal ini terjadi maka akan terjadi penurunan efisiensi terhadap fungsi routing itu sendiri, kecuali jika traffic data memang dikirimkan ke router portal itu sendiri atau dikirimkan ke network 07-232 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Mesh Configuration Settings    Reoptimize paths – akan mengirimkan pesan PREQ secara berkala untuk meminta data mac-address ke seluruh jaringan mesh.  Jika tidak mendapatkan balasan “no-reply” untuk reoptimization PREQ, maka struktur path yang sudah ada akan tetap dipertahankan.  Fungsi ini akan efektif jika digunakan di mode proactive dan juga di mobile mesh networks hwmp-preq-destination-only – jika menggunakan “no” maka pesan PREQ tidak hanya bisa dijawab oleh node tujuan tetapi bisa juga dibalas oleh router lain yang memiliki jalur ke node tujuan. hwmp-preq-reply-and-forward – setting ini hanya akan efektif jika parameter hwmp-preq-destination-only=no. Router yang ada di tengah akan tetap meneruskan pesan PREQ ke node tujuan (dengan flag atau tanda bahwa node tujuan saja yang bisa menjawab) 07-233 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] WDS-MESH      07-234 Konfigurasi interface wireless sebagai AP menggunakan SSID yang sama dengan SSID router depan. Aktifkan mode Static-mesh pada interface tersebut. Buat sebuah WDS link antara router peserta dengan router depan. Konfigurasi jaringan MESH, dengan menambahkan WDS interface menjadi port di MESH bridge. Gunakan MESH traceroute untuk melakukan pengecekan jalur ke node atau route yang lain. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Activate WDS-MESH   07-235 Aktifkan WDS menggunakan mode Static MESH Gunakan Wlan1 sebagai master interface dan letakkan mac address dari node lawan sebagai WDS Address Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 MESH Bridge  Buat MESH bridge bernama mesh1, kemudian masukkan interface wlan1 dan wds1 ke dalam mesh bridge. 07-236 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 MESH Traceroute  07-237 Gunakan MESH traceroute untuk memeriksa jalur menuju node atau router tertentu. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-2] WDS-MESH (2)   07-238 Buat sekali lagi WDS link ke router peserta yang lain kemudian tambahakan link WDS tersebut ke MESH bridge port. Cek kembali jalur atau route ke node peserta lain menggunakan MESH traceroute. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-3] WDS-MESH Expand  07-239 Kembangkan jaringan MESH yang sudah ada dengan menambah client Notebook. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Nstreme & Nv2 Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Nstreme    08-241 Frames Dual-Nstreme Nv2 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Mikrotik Nstreme  Nstreme adalah wireless protocol yang MikroTik's proprietary (protocol yang tidak kompatibel dengan vendor lain), yang digunakan untuk meningkatkan unjuk kerja jaringan wireless point-to-point maupun point-to-multipoint. 08-242 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nstreme Protocol       Keuntungan dari penggunaan Nstreme protocol : Client polling – malkukan kontrol terhadap jaringan wireless point-to-multipoint dengan mengaktifkan client polling (menyerupai sebuah AP meggunakan kontrol TokenRing). Disable CSMA. Tidak ada limitasi protocol (ACK timeout) di link wireless jarak jauh. Beban protocol di tiap frame data akan menjadi lebih ringan sehingga akan mempermudah untuk mendapatkan data-rate yang tinggi. Tidak ada lagi protocol yang menyebabkan penurunan kecepatan data-rate untuk link jarak jauh. 08-243 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nstreme Protocol: Frames   framer-limit – batas maksimal besar frame data framer-policy – untuk menetukan metode yang digunakan untuk mengkombinasikan frame data.     08-244 none – tidak ada kombinasi atau penggabungan paket. best-fit – akan menggabungkan atau mengumpulkan beberapa paket data kedalam sebuah frame yang besar hingga mencapai limit (sesuai parameter frame limit) tetapi tidak akan ada pemecahan paket. exact-size – hampir sama seperti metode best-fit tetapi akan ada pemecahan paket di packet terakhir. dynamic-size – secara dinamis akan menggunakan besar frame yang ideal. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] Nstreme 08-245 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nstreme Activation    Aktifkan Nstreme di kedua Perangkat Wireless (AP & Client) Coba ubah pada parameter Framer Policy dan juga coba ubah nilai dari Framer Limit. Cek performance pada setiap perubahan parameternya temukan konfigurasi yang paling maksimal. 08-246 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nstreme Dual Protocol   Seperti halnya Nstreme, protocol Dual-Nstreme adalah MikroTik's proprietary (protocol yang tidak kompatibel dengan vendor lain). Penggunaan protocol memungkinkan dua card wireless (hanya card berchipset Atheros) memiliki fungsi yang berbeda satu sama lain. Satu card untuk transmit traffic dan yang satu untuk recieve traffic sepertihalnya transmisi kabel full duplex. 08-247 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nstreme Dual Interface    Ubah mode pada kedua interface wlan untuk menggunakan mode “nstreme-dual-slave” Buat Interface virtual baru “nstreme1” di menu nstremedual. Tentukan jalur traffic untuk Tx dan untuk Rx :       Interface wlan Channel-Width (5MHz, 10MHz, 20MHz, 40MHz) Band Frequency Tentukan parameter remote-mac-address, parameter ini adalah mac-address dari wireless card yang dikonfigurasi sebagai RX di sisi wireless router lawan. Bisa juga menggunakan framer-policy jika dibutuhkan. 08-248 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11  Parameter Remote mac adalah Macaddress dari wlan lawan yang menjadi Rx. 08-249 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 Protocol    08-250 Nv2 adalah protocol khusus yang dikembangkan sendiri oleh mikrotik untuk digunakan di Atheros wireless card. Nv2 dikembangkan berdasarkan protocol TDMA (Time Division Multiple Access). TDMA media access menyelesaikan permasalahan "hidden node" dan juga meningkatkan performance dari segi throughput dan latency, terutama pada topologi Point-to-multipoint. Nv2 sangat kompatibel dengan wireless card Atheros Chipset-N dan juga 802.11 mulai dari seri AR5212. Dengan kata lain Nv2 bisa diimplementasikan di jaringan wireless-n atau 802.11 tanpa harus mengupgrade / ganti hardware. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TDMA Based Protocol 08-251 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 Protocol – HOW ? (1)   Jaringan yang menggunakan Media Access Nv2 protocol di kontrol oleh sebuah Access Point yang mengimplementasikan protocol ini. AP yang menggunakan Nv2 membagi masa waktu "periods" yang secara dinamik diatur porsinya pada downlink traffic (data dikirim dari AP ke client) dan juga uplink (data dikirim dari client ke AP) berdasarkan status antrian AP dan clientnya. Porsi waktu untuk uplink dibagi lagi berdasarkan berapa jumlah client yang terkoneksi dan juga berdasarkan kebutuhan bandwith. Pada state awal AP memberitahukan ke semua client kapan dan berapa lama mereka boleh melakukan transmit data. 08-252 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 Protocol – HOW ? (2)    AP yang menggunakan Nv2 secara periodik sudah menyediakan slot waktu uplink untuk client yang berstatus "Unspecified" hal ini sangat berguna bagi client baru yang akan bergabung dengan jaringan Nv2 tersebut. Kemudian AP menghitung estimasi penambahan delay yang terjadi antara AP dan client di jaringan, kemudian secara periodik menjadwalkan slot waktu uplink untuk client baru tersebut sehingga client tersebut bisa masuk ke jaringan. Protocol Nv2 mengimplementasikan "Dynamic Rate Selection" dan Automatic Repeat reQuest (ARQ) di setiap client, hal ini akan menyebabkan Nv2 sangat reliable. Nv2 juga mampu meng-implementasikan variabel QoS berupa angka priority untuk antrian yang bisa bekerja sama dengan firewall, vlan dan MPLS EXP bits. 08-253 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 TDMA – Time Slot Scheduling 08-254 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 – Compatibility & Coexistence       Karena Nv2 tidak menggunakan teknologi CSMA, Nv2 akan menggangu jaringan lain. Jaringan wireless yang lain juga bisa mengganggu jairingan Nv2 tu sendiri karena signalnya dianggap sebagai noise. Nv2 hanya bekerja di sesama Mikrotik RouterOS. Nv2 hanya terdeteksi oleh Mikrotik RouterOS. Penggunaan Nv2 akan menggangu jaringan wireless lain yang menggunakan channel yang sama. Jaringan Nv2 juga akan terpengaruh oleh jaringan protocol Nv2 lain yang ada di channel yang sama. wireless Nv2 tidak akan terkoneksi dengan perangkat lain yang menggunakan protocol berbasis TDMA. 08-255 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 vs 802.11    Media Access dijadwalkan dan diatur oleh AP Hal ini akan menghilangkan permasalahan "Hidden-Node”. Mengurangi Penambahan delay - tidak ada lagi ACKs di setiap frame hal ini akan meningkatkan troughput terutama pada jarak jauh. Mengurangi per-frame overhead - Nv2 mengimplementasikan frame aggregation & fragmentation untuk memaksimalkan penggunaan media dan mengurangi beban tambahan pada frame (interframe, spaces dan preambles). 08-256 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 vs Nstreme    Mengurangi beban tambahan pada poling Dibandingkan dengan menyebar poling ke tiap client, Nv2 AP menyebarkan jadwal uplink yang diperuntukkan bagi semua client. Hal ini Bisa dianggap sebagai "Group Polling" yang lebih hemat waktu dan memperbanyak waktu untuk transfer data sehingga troughput bisa lebih besar di topologi point-to-multipoint. Mengurangi beban tambahan pada delay - Nv2 melakukan penjadwalan waktu uplink berdasarkan estimasi jarak (propagation delay) Control yang lebih baik pada latency - pengurangan beban frame dan slot waktu yang diatur secara dinamis memungkinkan untuk mengontrol latency 08-257 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2 - Configuration 08-258 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Nv2-cell-radius   Menentukan jarak terjauh dari client (km). Setting ini akan mempengaruhi kalkulasi slot waktu untuk terkoneksi yang akan dibagikan ke setiap client. Jika nilainya terlalu kecil akan menyulitkan client terjauh untuk terkoneksi dengan pesan error : "ranging timeout" error. Pada kondisi normal parameter ini bisa dibilang diabaikan, tetapi untuk menjaga performance Nv2 disarankan untuk tidak menambah nilainya jika tidak diperlukan. Karena jika asal ditambah maka AP akan menghabiskan waktu yang seharusnya bisa digunakan untuk mengefisienkan transmisi data. 08-259 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 tdma-period-size   Menentukan besar slot periode waktu (ms) yang digunakan AP untuk menjadwalkan Media Access. Mengecilkan nilai ini bisa mengurangi latency (AP bisa menjadwalkan lebih cepat) tetapi akan meningkatkan beban protocol sehingga troughput akan secara otomatis menurun. Jika ditambah maka akan meningkatkan troughput tetapi memperbesar latency. Untuk link Jarak jauh, diperlukan untuk menambah nilai tdma-period-size supaya throughput bisa ditingkatkan. Nilai harus disesuikan dengan jarak untuk mendapatkan troughput serta latency yang bisa diterima. 08-260 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline       09-262 MIMO 802.11n Data Rates Channel bonding Frame Aggregation Wireless card configuration TX-power for N cards Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n Features      Penggunaan standard Wireless N ini meningkatkan efisiensi penggunaan frequency sehingga mampu meningkatkan kecepatan data ratenya hingga 300Mbps (teoritis) 200Mbps (real). Mampu menggunakan double channel (channel bonding) yang secara standar menggunakan lebar band 20Mhz menjadi 2x20Mhz. Standard N bisa berfungsi normal dan optimal di kedua frequency 2.4Ghz dan juga 5Ghz. Menggunakan beberapa antenna untuk mengoperasikan trafik Transmit (Tx) dan juga Recieve (Rx) secara simultan. Adanya frame agregation untuk menurunkan beban header dari frame data yang akan meningkatkan efisiensi pengiriman frame tersebut. 09-263 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 MIMO    MIMO – Multiple Input and Multiple Output SDM – Spatial Division Multiplexing Multiple spatial streams across multiple antennas  Multiple antenna configurations for receive and transmit: • • • 09-264 1x1, 1x2, 1x3 2x2, 2x3 3x3 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 802.11n  DATA RATES Dengan memanfaatkan beberapa fungsi yang sudah disebutkan sebelumnya seperti, channel bonding dan frame agregation. Maka dengan modulasi yang tepat wireles N bisa mencapai kecepatan maksimal. 09-265 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Data Rates Config  Ketika menggunakan wireless N, data rate bisa dikonfigurasi secara manual di menu HT-MCS dan akan muncul jika parameter data-rate diubah menjadi “configured” 09-266 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Channel Bonding – 2x20Mhz      Channel bonding adalah salah satu fungsi di wireless N yang memungkinkan untuk menggunakan tambahan lebar frequency sebesar 20Mhz pada channel yang sudah ada. Channel tambahan bisa diletakkan di atas atau dibawah channel utama. Walaupun sudah menggunakan channel tambahan, perangkat AP masih bisa menerima koneksi dari client yang menggunakan chnnel standard. Pada saat kondisi ini terjadi maka channel yang digunakan adalah channel utama. Dengan menggunakan lebar frequency 2x20Mhz memungkinkan untuk menggunakan data-rate tinggi. 09-267 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Frame Aggregation    Dengan menggabungkan beberapa frame data menjadi satu frame akan mengurangi beban dari header. Parameter yang digunakan untuk melakukan agregasi frame adalah : Aggregation of MAC Service Data Units (AMSDU) Aggregation of MAC Protocol Data Units (AMPDU)    09-268 adalah mekanisme melakukan agregasi dengan melakukan negosisasi terlebih dahulu menggunakan blok acknowledgement. Dengan adanya agregasi ini akan meningkatkan troughput secara significan tetapi akan mengalami beban latency yang tinggi. Metode ini tidak bagus untuk real traffic tetapi bagus untuk traffic berpaket kecil. Selama melakukan pertukaran informasi AMSDUs yang sering terjadi maka akan berpengaruh juga pada load processor. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N Config (1)    ht-rxchains/ht-txchains – adalah opsi untuk menentukan antenna mana saja yang akan digunakan untuk fungsi transmit dan recieve.  Parameter antenna-mode di interface akan diabaikan di wireless card yang sudah menggunakan standard N. ht-amsdu-limit – besar maksimal gabungan frame yang boleh disiapkan oleh interface. ht-amsdu-threshold – besar maksimal frame yang akan dikirimkan dan sudah termasuk AMSDU. 09-269 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N Config (2)    ht-guard-interval – adalah opsi untuk menggunakan guard interval “short” atau “long” ht-extension-channel – opsi untuk menentukan channel tambahan sebesar 20Mhz diletakkan di atas atau di bawah main channel. ht-ampdu-priorities – pemilihan prioritas frame berdasarkan blok negosiasi AMPDU. 09-270 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N – TX Power    Ketika menggunakan dua chain bersamaan maka total power akan meningkat 3db (total-txpower). Ketika menggunakan 3 chain secara bersamaan maka power akan bertambah 5db. Tergantung dari type card N yang digunakan. 09-271 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 [LAB-1] Wireless N Setup 09-272 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless Card Configuration 09-273 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Performance Test    09-274 Koneksikan wireless N router Anda dengan wireless N router rekan Anda. Test performance-nya menggunakan tool Bandwith Test. Lakukan test jika menggunakan satu chain dan jika menggunakan dua chain. Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Outdoor setup    Test terlebih dahulu tiap chain satu-persatu secara terpisah pada link wireless N, sebelum menggunakan kedua chain secara bersamaan. Ketika mengaktifkan dual chain maka direkomendasikan untuk menggunakan antena yang berbeda polarisasi. Ketika menggunakan antenna dual-polarisasi maka direkomendasikan juga untuk mengisolasi antar antenna minimal 25db. 09-275 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VPLS / MPLS Bridge for Wireless N Certified Mikrotik Training - Advanced Class (MTCWE) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner) Training Outline  Transparent Bridging for N links :  10-277 Menggunakan MPLS/VPLS tunnel Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Wireless N - Bridge     WDS tidak akan memberikan kecepatan maksimal pada transfer data wireless N. Karena WDS tidak mensupport frame agregation yang diimplementasikan di wireless N. Bridge wireless N bisa menggunakan EOIP, tetapi karena besarnya packet header disebabkan proses encapsulasi tunnel maka akan menyebabkan overhead. Alternatif lain adalah menggunakan metode tunnel MPLS/VPLS yang mampu untuk pengiriman data yang tinggi dan juga tida terlalu banyak terjadi overhead pada packet. 10-278 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VPLS/MPLS Bridge   Konfigurasikan sebuah Wireless N Link (terdiri dari AP – Client) Konfigurasikan alamat IP untuk kedua node AP dan Client    Aktifkan LDP (Label Distribution Protocol) Sisi AP :    1.1.1.1/30 on wlan1 (AP) 1.1.1.2/30 on wlan1 (Station) /mpls ldp lsr-id=1.1.1.1 transportaddress=1.1.1.1; /mpls ldp interface add interface=wlan1 Aktifkan LDP (Label Distribution Protocol) Sisi Client :   10-279 /mpls ldp lsr-id=1.1.1.2 transportaddress=1.1.1.2; /mpls ldp interface add interface=wlan1 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 MPLS config 10-280 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VPLS/MPLS Bridge      Konfigurasi VPLS Tunnel AP side : /interface vpls add name=vpls1 remotepeer=1.1.1.2 vpls-id=1:1 disabled=no Konfigurasi VPLS Tunnel Client side : /interface vpls add name=vpls1 remotepeer=1.1.1.1 vpls-id=1:1 disabled=no Buat bridge interface baru dan masukkan interface ether1 dan vpls1 ke dalam bridge port. 10-281 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 VPLS Tunnel 10-282 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 MPLS Neighbour 10-283 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11 Next Step  Detail mengenai MPLS dan VPLS akan dibahas di Training Advance yang lain. 10-284 Mikrotik Indonesia http://www.mikrotik.co.id 5/24/11