概述
Package: wireless
RouterOS无线符合IEEE 802.11标准,它提供了对802.11a, 802.11b, 802.11g, 802.11n和802.11ac的完全支持,只要额外的功能,如WPA, WEP, AES加密,无线分配系统(WDS),动态频率选择(DFS),虚拟接入点,nstream和NV2专有协议等等。无线特性 不同无线协议的兼容性表。
无线可以在几种模式下工作:客户端(站)、接入点、无线网桥等。客户端/工作站也可以在不同的模式下运行,支持的模式的完整列表可以在 这里 找到。
通用接口属性
Sub-menu: /interface wireless
| 属性 | 说明 |
|---|---|
| adaptive-noise-immunity (ap-and-client-mode| client-mode| none; Default: none) | 此属性仅对基于Atheros芯片组的卡有效。 |
| allow-sharedkey (yes| no;Default:no) | 允许WEP共享密钥客户端连接。请注意,没有对这些客户端进行身份验证(WEP共享密钥不与任何东西进行比较)—它们只是被立即接受(如果访问列表允许的话) |
| ampdu-priorities (list of integer [0..7];Default:0) | AMPDU发送(聚合帧和使用块确认发送)应该协商和使用的帧优先级。使用ampdu将增加吞吐量,但可能增加延迟,因此,对于实时流量(语音、视频)可能不理想。因此,默认情况下,ampdu仅对尽力而为的流量启用。 |
| amsdu-limit (integer [0..8192];Default:8192) | 协商时允许设备准备的最大AMSDU。AMSDU聚合可以显著提高吞吐量,特别是对于小帧,但是可能会增加延迟,因为聚合帧的重传导致丢包。发送和接收amsdu也会增加CPU使用率。 |
| amsdu-threshold (integer [0..8192]; Default: 8192) | 允许包含在AMSDU中的最大帧大小。 |
| antenna-gain (integer [0..4294967295];Default:0) | 天线增益(dBi),根据国家规定计算最大发射功率。 |
| antenna-mode (ant-a | ant-b| rxa-txb | txa-rxb; Default: ) | 选择用于发射和接收的天线 - ant-a -只使用a天线 - ant-b -只使用b天线 - txa-rxb -使用天线a发射,天线b接收 - rxa-txb -使用b天线发射,a天线接收 |
| area (string; Default: ) | 标识一组无线网络。该值由AP宣布,可通过area-prefix在 connect-list 中匹配。这是一个专有的扩展。 |
| arp (disabled | enabled | proxy-arp | reply-only;Default:enabled) | 阅读更多 |
| arp-timeout (auto | integer; Default: auto) | ARP超时是指在没有收到来自IP的报文后,ARP记录在ARP表中保留的时间。auto等于/ip settings中arp-timeout的值,默认为30s |
| band (2ghz-b | 2ghz-b/g | 2ghz-b/g/n | 2ghz-onlyg | 2ghz-onlyn | 5ghz-a | 5ghz-a/n | 5ghz-onlyn | 5ghz-a/n/ac | 5ghz-onlyac | 5ghz-n/ac; Default: ) | 定义一组使用的数据速率、信道频率和宽度。 |
| basic-rates-a/g (12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps | 6Mbps | 9Mbps;Default:6Mbps) | 类似于basic-rate -b属性,但用于5ghz、5ghz-10mhz、5ghz-5mhz、5ghz-turbo、2.4ghz-b/g、2.4ghz-onlyg、2ghz-10mhz、2ghz-5mhz和2.4ghz-g-turbo频段。 |
| basic-rates-b (11Mbps | 1Mbps | 2Mbps | 5.5Mbps; Default: 1Mbps) | 用于2.4ghz-b、2.4ghz-b/g和仅2.4ghz频段的基本速率列表。 客户端只有在支持AP宣布的所有基本速率时才会连接到AP。AP只有在支持其他AP的所有基本速率时才会建立WDS链路。 此属性仅在AP模式下生效,并且当配置了rate-set的值时。 |
| bridge-mode (disabled | enabled;Default:enabled) | 允许使用站桥模式。阅读更多 |
| burst-time (integer | disabled;Default:disabled) | 以微秒为单位的时间,用于不停止发送数据。请注意,该网络中没有其他无线网卡能够在爆发时间微秒内传输数据。此设置仅适用于基于AR5000、AR5001X和AR5001X+芯片组的卡。 |
| channel-width (20/40/80/160mhz-Ceeeeeee | 20/40/80/160mhz-XXXXXXXX | 20/40/80/160mhz-eCeeeeee | 20/40/80/160mhz-eeCeeeee | 20/40/80/160mhz-eeeCeeee | 20/40/80/160mhz-eeeeCeee | 20/40/80/160mhz-eeeeeCee | 20/40/80/160mhz-eeeeeeCe | 20/40/80/160mhz-eeeeeeeC | 20/40/80mhz-Ceee | 20/40/80mhz-eCee | 20/40/80mhz-eeCe | 20/40/80mhz-eeeC | 20/40/80mhz-XXXX | 20/40mhz-Ce | 20/40mhz-eC | 20/40mhz-XX | 40mhz-turbo | 20mhz | 10mhz | 5mhz; Default: 20mhz) | 使用扩展通道(例如Ce, eC等)允许额外的20MHz扩展通道,如果它应该位于控制(主)通道下方或上方。扩展通道允许802.11n设备总共使用高达40MHz (802.11ac高达160MHz)的频谱,从而增加最大吞吐量。扩展为XX和XXXX的通道宽度根据每个频率上运行的并发设备数量自动扫描一个较少拥挤的控制通道频率,并自动选择“C”-控制通道频率。 |
| comment (string; Default: ) | 接口简要说明 |
| compression (yes | no;Default:no) | 将此属性设置为yes将允许使用硬件压缩。无线接口必须支持硬件压缩。与不使用压缩的设备的连接仍然可以工作。 |
| country (name of the country | no_country_set; Default: etsi) | 限制每个频率的可用频带、频率和最大发射功率。还指定scan-list的默认值。值no_country_set是FCC兼容的通道集合。 |
| default-ap-tx-limit (integer [0..4294967295]; Default: 0) | 这是对于不匹配 access-list 中的任何条目的客户端的ap-tx-limit的值。0表示没有限制。 |
| default-authentication (yes | no;Default:yes) | 对于AP模式,对于不匹配 access-list 中的任何条目的客户端,这是 authentication 的值。对于站模式,对于不匹配 连接列表 中的任何条目的ap,这是connect的值 |
| default-client-tx-limit (integer [0..4294967295];Default:0) | 对于不匹配 access-list 中的任何条目的客户端,client-txt-limit的值。0表示没有限制 |
| default-forwarding (yes | no;Default:yes) | 对于不匹配 access-list 中的任何条目的客户端,forwarding的值 |
| disable-running-check (yes | no; Default: no) | 当设置为yes时,接口将始终具有运行标志。如果值设置为no ,路由器确定卡是否启动并运行-对于AP,一个或多个客户端必须注册到它,对于站,它应该连接到AP |
| disabled (yes | no;Default:yes) | 接口是否被禁用 |
| disconnect-timeout (time [0s. 15s];Default:3s) | 此间隔从最低数据速率的第三次发送失败开始测量。此时3*(hw-retries + 1)帧以最低数据速率传输失败。在断开连接超时期间数据包传输将以on-fail-retry-time间隔重新尝试。如果在disconnect-timeout期间没有帧可以成功传输,则连接关闭,此事件记录为“大量数据丢失”。成功的帧传输重置该定时器。 |
| distance (integer | dynamic | indoors; Default: dynamic) | 在认为传输不成功之前等待单播帧(ack)确认的时间,或简而言之ACK-Timeout。距离值具有以下行为: - Dynamic—使AP检测并使用适用于所有连接的客户端的最小超时。 - “Indoor”- 采用硬件芯片厂商提供的默认ACK超时值。 - Number -使用公式中的输入值:ACK-timeout =((距离* 1000)+ 299)/ 300 us; 在nstream /NV2协议中不使用确认。 |
| frame-lifetime (integer [0..4294967295]; Default: 0) | 丢弃排队等待发送的帧超过帧生存期的帧。默认情况下,当此属性的值为0时,只有在连接关闭后才丢弃帧。 |
| frequency (integer [0..4294967295];Default:) | 以MHz为单位的信道频率值,AP将在其上工作。 允许值取决于所选频带,并受国家设置和无线网卡能力的限制。如果接口处于站模式,或处于wds-slave模式,或DFS处于活动状态,则此设置不起作用。 注:如果使用模式"superchannel",则卡支持的任何频率都可以被接受,但在RouterOS客户端上,必须在 scan-list 中配置任何非标准频率,否则不会在非标准范围内扫描。在Winbox中,扫描列表频率在bold中,任何其他频率意味着客户端将需要配置扫描列表。 |
| frequency-mode (manual-txpower | regulatory-domain | superchannel; Default: regulatory_domain) | 三种频率模式可用: - regulation -domain -根据country的值限制可用信道和每个信道的最大发射功率 - manual-txpower -同上,不限制最大发射功率。 - superchannel -一致性测试模式。允许卡支持的所有通道。 每个波段的可用信道列表可以在/interface wireless info allowed-channels中看到。此模式允许您在默认扫描列表和/或监管域之外测试无线通道。此模式应仅在受控环境中使用,或者在您所在地区拥有使用该模式的特殊权限。在v4.3之前,这被称为自定义频率升级,或超级通道。从RouterOS v4.3开始,该模式无需对所有安装进行特殊的密钥升级即可使用。 |
| frequency-offset (integer [-2147483648..2147483647]; Default: 0) | 如果使用的无线网卡的工作频率与RouterOS中显示的频率不同,如果网卡中使用了变频器,则允许指定偏移量。因此,如果您的卡工作在4000MHz,但RouterOS显示5000MHz,将偏移量设置为1000MHz,它将正确显示。单位为MHz,可正可负。 |
| guard-interval (any | long;Default:any) | 是否允许使用短保护间隔(参考802.11n MCS规范,看看这可能如何影响吞吐量)。“any”将使用short或long,取决于数据速率,“long”将使用long。 |
| hide-ssid (yes | no; Default: no) | - yes - AP在信标帧中不包含SSID,对广播SSID的探测请求不予回应。 - no - AP在信标帧中包含SSID,对广播SSID的探测请求进行应答。 此属性仅在AP模式下有效。将其设置为_yes_可以将该网络从某些客户端软件显示的无线网络列表中删除。更改此设置不会提高无线网络的安全性,因为SSID包含在AP发送的其他帧中。 |
| ht-basic-mcs (list of (mcs-0 | mcs-1 | mcs-2 | mcs-3 | mcs-4 | mcs-5 | mcs-6 | mcs-7 | mcs-8 | mcs-9 | mcs-10 | mcs-11 | mcs-12 | mcs-13 | mcs-14 | mcs-15 | mcs-16 | mcs-17 | mcs-18 | mcs-19 | mcs-20 | mcs-21 | mcs-22 | mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11n。 |
| ht-supported-mcs (list of (mcs-0 | mcs-1 | mcs-2 | mcs-3 | mcs-4 | mcs-5 | mcs-6 | mcs-7 | mcs-8 | mcs-9 | mcs-10 | mcs-11 | mcs-12 | mcs-13 | mcs-14 | mcs-15 | mcs-16 | mcs-17 | mcs-18 | mcs-19 | mcs-20 | mcs-21 | mcs-22 | mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7; mcs-8; mcs-9; mcs-10; mcs-11; mcs-12; mcs-13; mcs-14; mcs-15; mcs-16; mcs-17; mcs-18; mcs-19; mcs-20; mcs-21; mcs-22; mcs-23) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11n。 |
| hw-fragmentation-threshold (integer[256..3000] | disabled; Default: 0) | 指定通过无线介质传输时的最大片段大小(以字节为单位)。802.11标准数据包(在802.11术语中称为MSDU)分片允许数据包在通过无线介质传输之前被分片,以增加成功传输的可能性(只有未正确传输的数据包才会被重新传输)。请注意,由于协议开销和发送方和接收方资源使用的增加,传输分片数据包比传输未分片数据包效率低。 |
| hw-protection-mode (cts-to-self | none | rts-cts; Default: none) | 框架保护支持属性 阅读更多 |
| hw-protection-threshold (integer [0..65535]; Default: 0) | 框架保护支持属性 阅读更多 |
| hw-retries (integer [0..15]; Default: 7) | 重试发送帧而不认为传输失败的次数。失败时降低数据速率并重新发送帧。在最低支持速率上连续发生三次故障,将暂停到该目的地的传输,持续时间为on-fail-retry-time。之后,再次发送帧。帧被重传,直到传输成功,或者直到客户端在断开连接超时后被断开。在此期间,如果超过了帧生存期,帧将被丢弃。 |
| installation (any | indoor | outdoor; Default: any) | 调整扫描列表,以使用室内,室外或所有频率的国家设置。 |
| interworking-profile (enabled| disabled;Default:disabled) | |
| keepalive-frames (enabled | disabled;Default:enabled) | 仅当无线接口处于mode=ap-bridge时适用。如果客户端没有通信大约20秒,AP发送一个“keepalive帧”。 注意,禁用该功能可能导致注册表中的“幽灵”客户端。 |
| l2mtu (integer [0..65536]; Default: 1600) | |
| mac-address (MAC; Default: ) | |
| master-interface (string; Default: ) | 具有virtual-ap功能的无线接口名称。虚拟AP接口只有在主接口处于ap-bridge、bridge、station或wds-slave模式时才能工作。此属性仅适用于虚拟AP接口。 |
| max-station-count (integer [1..2007];Default:2007) | 最大关联客户端数。WDS链接也算在这个限制之内。 |
| mode (station | station-wds | ap-bridge | bridge | alignment-only | nstreme-dual-slave | wds-slave | station-pseudobridge | station-pseudobridge-clone | station-bridge; Default: station) | 在不同的站点和接入点(AP)模式之间进行选择。 基站模式: - station -基站模式。查找并连接到可接受的AP。 - station-wds -与station相同,但使用专有扩展与AP创建WDS链接。AP配置必须允许与此设备建立WDS链路。注意,这种模式不使用wds中的条目。 - station-pseudobridge -与station相同,但增加了对所有流量进行MAC地址转换。允许接口桥接。 - station-pseudobridge-clone -与station-pseudobridge相同,但使用station-bridge-clone-mac地址连接AP。 - station-bridge -在站设备上提供与协议无关的透明L2桥接支持。当使用桥模式参数使能时,RouterOS AP接受站桥模式的客户端。在这种模式下,AP维护一个转发表,其中包含了通过哪个站设备可以访问的MAC地址的信息。仅适用于RouterOS ap。在station-bridge模式下,不可能连接到CAPsMAN控制的CAP。 美联社模式: - ap-bridge -AP模式。 - bridge -与ap-bridge相同,但仅限于一个关联的客户端。 - wds-slave -与ap-bridge相同,但扫描具有相同ssid的AP并建立WDS链接。如果此链接丢失或无法建立,则继续扫描。如果dfs-mode为radar-detect,则在扫描过程中不会发现启用了hide-ssid的ap。 特殊的模式: - aligned-only -将接口设置为连续发射模式,用于瞄准远端天线。 - _nstream -dual-slave -允许在nstream-dual设置中使用该接口。 在伪桥模式下,MAC地址转换的工作原理是对数据包进行检测,并建立相应的IP地址和MAC地址表。所有的报文都以伪桥使用的MAC地址发送给AP,接收到的报文的MAC地址从地址转换表中恢复。对于所有非ip数据包,地址转换表中只有一个条目,因此网桥网络中的多个主机不能可靠地使用非ip协议。注意:目前IPv6不能在伪桥上工作 |
| mtu (integer [0..65536]; Default: 1500) | |
| multicast-buffering (disabled | enabled; Default: enabled) | 对于节电的客户端,缓冲组播数据包,直到下一个信标时间。客户端应该唤醒接收信标,通过接收信标,它看到有组播包等待,它应该等待组播包发送。 |
| multicast-helper (default | disabled | full; Default: default) | 当设置为full时,组播报文以单播目的MAC地址发送,解决了无线链路上的 组播问题 。此选项应仅在接入点上启用,客户端应配置为station-bridge模式。从v5.15开始可用。 - disabled - 关闭helper功能,发送带组播目的MAC地址的组播报文 - DHCP - DHCP报文发送前,将MAC地址转换为单播MAC地址 - full - all组播包的MAC地址在发送之前被更改为单播MAC地址 - default -当前设置为_disabled_的默认选项。值可以在以后的版本中更改。 |
| name (string; Default: ) | 接口名称 |
| noise-floor-threshold (default | integer [-128..127]; Default: default) | 仅供高级使用,因为它会严重影响接口的性能。可以手动设置噪声底阈值。缺省情况下,是动态计算的。此属性还会影响接收到的信号强度。此属性仅对非交流芯片有效。 |
| nv2-cell-radius (integer [10..200]; Default: 30) | 设置会影响AP分配给客户端发起连接的争用时隙的大小,也会影响用于估计到客户端的距离的时隙的大小。当设置过小时,较远的客户端可能连接困难和/或断开“测距超时”错误。虽然在正常操作期间,此设置的影响应该可以忽略不计,但为了保持最大性能,建议在没有必要的情况下不要增加此设置,因此AP不是保留实际上从未使用过的时间,而是将其分配给实际的数据传输。 - AP:到最远客户端的距离,单位为km - Station:无效果 |
| nv2-noise-floor-offset (default | integer [0..20]; Default: default) | |
| nv2-preshared-key (string; Default: ) | |
| nv2-qos (default | frame-priority; Default: default) | 设置报文优先级机制,首先发送高优先级队列的数据,然后发送低优先级队列的数据,直到队列优先级达到0。当链路被高优先级队列数据填满时,不发送低优先级队列数据。非常小心地使用它,设置在AP上有效 - frame-priority -手动设置,可以调整与Mangle规则。 - default -小报文优先级的默认设置 |
| nv2-queue-count (integer [2..8]; Default: 2) | |
| nv2-security (_disabled | enabled_; Default: disabled) |
| on-fail-retry-time (time [100ms..1s]; Default: 100ms) | 按最低速率第三次发送失败后,等待指定的时间间隔后重试。 |
| periodic-calibration (default | disabled | enabled; Default: default) | 如果 info default-periodic-calibration属性为enabled,则设置default将启用周期性校准。该属性的值取决于无线网卡的类型。此属性仅对基于Atheros芯片组的卡有效。 |
| periodic-calibration-interval (integer [1..10000]; Default: 60) | 此属性仅对基于Atheros芯片组的卡有效。 |
| preamble-mode (both | long | short; Default: both) | 短前导模式是802.11b标准的一种选项,可以减少每帧开销。 - AP: - long -不要使用简短的前言。 - short_宣布短序文功能。不接受来自不具备此功能的客户端的连接。 - _both -宣布简短的序言能力。 - Station: - long -不要使用简短的前言。 - _short -不支持短序文的AP不连接。 - both -如果AP支持,使用简短的序言。 |
| prism-cardtype (100mW | 200mW | 30mW; Default: ) | 指定安装的Prism无线卡的类型。 |
| proprietary-extensions (post-2.9.25| pre-2.9.25; Default: post-2.9.25) | RouterOS在管理框架的信息元素中包含专有信息。此参数控制如何包含此信息。 |
| radio-name (string; Default: MAC address of an interface) | 设备的描述性名称,显示在远端设备的注册表项中。这是一个专有的扩展。 |
| rate-selection (advanced | legacy;Default:advanced) | 从v5.9开始,默认值为advanced,因为旧模式效率低下。 |
| rate-set (configured | default; Default: default) | 有两种选择: - default -使用默认的基本和支持的速率集。basic-rates和supported-rates参数中的值不起作用。 - configured -使用basic-rates、supported-rates、basic-mcs、mcs中的值。阅读更多。 |
| rx-chains (list of integer [0..3]; Default: 0) | 用哪根天线接收。在当前的microtik路由器中,RX链和TX链必须同时使能,才能使能该链。 |
| scan-list (Comma separated list of frequencies and frequency ranges | default. Since v6.35 (wireless-rep) type also support range:step option; Default: default) | default值是卡支持的选定频段的所有通道,并由国家和频率模式设置允许(此列表可在 info 中看到)。对于5ghz波段通道的默认扫描列表,采用20MHz步进,5ghz-turbo波段-采用40MHz步进,所有其他频段-采用5MHz步进。如果手动指定了scan-list,那么将获取所有匹配的通道。(示例:scan-list=default,5200-5245,2412-2427 -这将使用当前频带扫描列表的默认值,并添加到它支持的频率从5200-5245或2412-2427范围。) 从带有Winbox或Webfig的RouterOS v6.0开始,为了输入多个频率,需要将每个频率或频率范围添加到单独的多个扫描列表中。从v6.0开始,Winbox/Webfig不再支持使用逗号来分隔频率。 从RouterOS v6.35 (wireless-rep)开始,扫描列表支持步长特性,可以手动指定扫描步长。示例:scan-list=5500-5600:20将生成这样的扫描列表值5500,5520,5540,5560,5580,5600 |
| security-profile (string; Default: default) | security-profiles |
| secondary-channel (integer;Default:"") | 辅助通道,需要启用80+80MHz传输。要禁用80+80MHz功能,请将辅助通道设置为“”或通过CLI/GUI取消该值。 |
| ssid (string (0..)32 chars);Default: system/identity 的值 | SSID(服务集标识符)是标识无线网络的名称。 |
| skip-dfs-channels (string | 10min-cac | all | disabled;Default:disalbed) | 这些值用于跳过所有DFS通道或跳过范围为5600-5650MHz的DFS CAC通道,检测可能长达10分钟。 |
| station-bridge-clone-mac (MAC; Default: ) | 此属性仅在 station-pseudobridge-clone 模式下有效。 连接AP时使用此MAC地址。如果此值为 00:00:00:00:00:00,站将初始使用无线接口的MAC地址。 一旦需要传输具有其他设备MAC地址的数据包,站将使用该地址重新连接到AP。 |
| station-roaming (disabled | enabled; Default: disabled) | 站点漫游功能仅适用于802.11无线协议,并且仅适用于站点模式。阅读更多 |
| supported-rates-a/g (list of rates [12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps | 6Mbps | 9Mbps]; Default: 6Mbps; 9Mbps; 12Mbps; 18Mbps; 24Mbps; 36Mbps; 48Mbps; 54Mbps) | 支持的速率列表,用于除2ghz-b以外的所有频段。 |
| supported-rate -b (list of rates [11Mbps | 1Mbps | 2Mbps | 5.5Mbps];Default:1Mbps; 2Mbps; 5.5Mbps; 11Mbps) | 支持速率列表,用于2ghz-b、2ghz-b/g和2ghz-b/g/n频段。两台设备只能使用各自支持的速率进行通信。只有当rate-set的值为configured时,此属性才有效。 |
| tdma-period-size (integer [1..10];Default:2) | TDMA周期,单位为毫秒。它可以帮助较长距离的链接,它可以稍微增加带宽,但延迟也会增加。 |
| tx-chains (list of integer [0..3];Default:0) | 使用哪些天线进行传输。在当前的microtik路由器中,RX链和TX链必须同时使能,才能使能该链。 |
| x-power (integer [-30..40];Default:) | 对于802.11ac无线接口,它是总功率,但对于802.11a/b/g/n,它是每条链的功率。 |
| tx-power-mode (default, card-rates, all-rates-fixed, manual-table; Default: default) | 设置无线网卡的x-power模式 - default -使用存储在卡中的值 - all-rate -fixed -对所有数据速率使用相同的传输功率。如果传输功率高于卡的额定使用率,可能会损坏卡。 -手动表-分别定义每个速率的发射功率。如果传输功率高于卡的额定使用率,可能会损坏卡。 - card-rates—根据“tx-power”参数的值计算每个速率的使用发射功率。遗留模式仅与当前已停产的产品兼容。 |
| update-stats-interval (; Default: ) | 多久从客户端请求更新一次信号强度和ccq值。 对 registration-table 的访问也会触发这些值的更新。 这是专有的扩展。 |
| vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-7) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11ac。 您可以设置每个空间流的MCS间隔 - none -将不使用选定的空间流 - MCS 0-7 - client必须支持MCS-0到MCS-7 - MCS 0-8 - client必须支持MCS-0到MCS-8 - MCS 0-9 - client必须支持MCS-0到MCS-9 |
| vht-supported-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-9) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11ac。 您可以设置每个空间流的MCS间隔 - none -将不使用选定的空间流 - MCS 0-7 - client必须支持MCS-0到MCS-7 - MCS 0-8 - client必须支持MCS-0到MCS-8 - MCS 0-9 - client必须支持MCS-0到MCS-9 |
| wds-cost-range (start [-end] integer[0..4294967295]; Default: 50-150) | WDS链路的桥接端口开销根据测量的链路吞吐量自动调整。如果港口成本变化超过10%,或者距离上次调整超过20秒,则每5秒重新计算和调整一次。 将此属性设置为_0_将禁用自动成本调整。 自动调整不适用于手动配置为桥接端口的WDS链路。 |
| wds-default-bridge (string | none; Default: none) | 当WDS链路建立并且WDS接口的状态变为running时,它将作为网桥端口添加到该属性指定的网桥接口中。当WDS链路丢失时,WDS接口将从网桥中移除。如果在wds链接激活时,wds接口已经包含在桥设置中,则不会将其添加到指定的桥中,并且将(需要编辑)。 |
| wds-default-cost (integer [0..4294967295]; Default: 100) | WDS链路的初始桥接端口开销。 |
| wds-ignore-ssid (yes | no;Default:no) | 缺省情况下,两台ap工作在同一频率且SSID值相同时,才允许创建WDS链路。如果将此属性设置为yes,则不会检查远程AP的SSID。此属性对来自station-wds模式的客户端的连接没有影响。如果wds-mode是static-mesh或dynamic-mesh,它也不起作用。 |
| wds-mode (disabled | dynamic | dynamic-mesh | static | static-mesh; Default: disabled) | 控制WDS与其他设备(station-wds_模式下的ap和客户端)的链路建立方式。 - _disabled 不允许WDS链接。 - static 只允许在WDS中手工配置的WDS链路 - dynamic 还允许与WDS中未配置的设备进行链接,通过动态创建所需的项。这种动态WDS表项在与另一个AP的连接丢失后自动删除。 -mesh模式使用不同(更好)的方式建立AP之间的链路,这与非mesh模式下的AP不兼容。这种方法避免了仅由两个ap中的一个创建单边WDS链路。这样的链接不能传递任何数据。当AP或站点与另一个AP建立WDS连接时,它使用connect-list检查该连接是否被允许。当“station-wds”模式下的站与AP建立连接时,AP使用access-list检查是否允许建立连接。如果mode为station-wds,则此属性不起作用。 |
| wireless-protocol (802.11 | any | nstreme | nv2 | nv2-nstreme | nv2-nstreme-802.11 | unspecified; Default: any) | 指定无线接口使用的协议; - unspecified -以前版本的RouterOS (v3. x, v4.x)使用的协议模式。nstream通过旧的enable- nstream设置启用,Nv2配置是不可能的。 - any : on AP -常规802.11接入点或nstream接入点;在没有特定顺序的站选接入点上,可以通过连接表规则进行更改。 - nstreme -启用nstream协议(与旧的enable- nstream设置相同)。 - nv2 -启用Nv2协议。 - nv2 nstreme : on AP -使用第一个无线协议设置,总是Nv2;on station -搜索Nv2接入点,然后搜索nstream接入点。 - nstream 802.11_ -在AP上-使用第一个无线协议设置,总是Nv2;on station -搜索Nv2接入点,然后搜索nstream接入点,然后搜索常规802.11接入点。 警告! Nv2不支持虚拟AP |
| wmm-support (disabled | enabled | required; Default: disabled) | 是否启用 WMM。仅适用于频段B和g。其他频段无论如何都会启用 |
| wps-mode (disabled | push-button | push-button-virtual-only; Default: depending on the device model) | 阅读更多 |
802.11n无线芯片组代表每条链的功率和802.11ac
无线芯片组表示总功率,参考下表:802.11n和802.11ac上的发射功率表示
无线芯片组信号电平表示
| 无线芯片组 | 启用链 | 每链功率 | 总功率 |
|---|---|---|---|
| 802.11n | 1 | Equal to the selected Tx Power | Equal to the selected Tx Power |
| 802.11n | 2 | Equal to the selected Tx Power | +3dBm |
| 802.11n | 3 | Equal to the selected Tx Power | +5dBm |
| 802.11ac | 1 | Equal to the selected Tx Power | Equal to the selected Tx Power |
| 802.11ac | 2 | -3dBm | Equal to the selected Tx Power |
| 802.11ac | 3 | -5dBm | Equal to the selected Tx Power |
| 802.11ac | 4 | -6dBm | Equal to the selected Tx Power |
基本MCS Rate表
默认的基本和支持的费率,取决于所选的波段
| band | basic rates | basic-HT-mcs | basic-VHT-mcs | VHT-mcs | HT-mcs | supported rates |
|---|---|---|---|---|---|---|
| 2.4ghz-b | 1 | - | - | - | - | 1-11 |
| 2.4ghz-onlyg | 6 | - | - | - | - | 1-11,6-54 |
| 2.4ghz-onlyn | 6 | 0-7 | - | - | 0-23 | 1-11,6-54 |
| 2.4ghz-b/g | 1-11 | - | - | - | - | 1-11,6-54 |
| 2.4ghz-b/g/n | 1-11 | none | - | - | 0-23 | 1-11,6-54 |
| 2.4ghz-g/n | 6 | none | - | - | 0-23 | 6-54 |
| 2.4ghz-g-turbo | 6 | - | - | - | - | 6-54 |
| 5ghz-a | 6 | - | - | - | - | 6-54 |
| 5ghz-a/n | 6 | none | - | - | 0-23 | 6-54 |
| 5ghz-onlyn | 6 | 0-7 | - | - | 0-23 | 6-54 |
| 5ghz-a/n/ac | 6 | none | none | 0-9 | 0-23 | 6-54 |
| 5ghz-onlyac | 6 | none | 0-7 | 0-9 | 0-23 | 6-54 |
rate-set=configured时使用的设置
| band | used settings |
|---|---|
| 2.4ghz-b | basic-b, supported-b |
| 2.4ghz-b/g, 2.4ghz-onlyg | basic-b, supported-b, basic-a/g, supported-a/g |
| 2.4ghz-onlyn, 2.4ghz-b/g/n | basic-b, supported-b, basic-a/g, supported-a/g, ht-basic-mcs, ht-supported-mcs |
| 2.4ghz-g/n | basic-a/g,supported-a/g,ht-basic-mcs,ht-supported-mcs |
| 5ghz-a | basic-a/g,supported-a/g |
| 5ghz-a/n, 5ghz-onlyn | basic-a/g,supported-a/g,ht-basic-mcs,ht-supported-mcs |
| 5ghz-a/n/ac, 5ghz-onlyac | basic-a/g,supported-a/g,ht-basic-mcs,ht-supported-mcs,vht-basic-mcs,vht-supported-mcs |
独立于 rate-set 的设置:
允许的MCS取决于链的数量:
1 chain: 0-7
2 chains: 0-15
3 chains: 0-23
如果不使用标准信道宽度(20Mhz),则2ghz模式(2.4ghz-b除外)不使用b速率(1-11)。
帧保护支持(RTS/CTS)
802.11标准通过使用RTS/CTS协议提供了保护传输免受其他设备传输的手段。帧保护有助于解决“隐节点”问题。有几种类型的保护:
基于RTS/CTS的保护-设备首先发送RequestToSend帧,然后等待来自预定目的地的ClearToSend帧。通过“看到”RTS或CTS帧802.11兼容设备知道有人要传输,因此不发起传输自己
基于“CTS到自身”的保护-愿意发送帧的设备将CTS帧发送给“自身”。在RTS/CTS协议中,每个接收到此帧的802.11兼容设备都知道不发送。基于“CTS到自己”的保护开销较小,但必须考虑到这只能防止设备接收CTS帧(例如,如果有2个“隐藏”站,它们使用“CTS到自己”保护是没有用的,因为它们将无法接收其他站发送的CTS -在这种情况下,站必须使用RTS/CTS,以便其他站通过看到AP发送的CTS知道不发送)。
通过无线接口的hw-protection-mode设置控制保护模式。可能的值:none -表示无保护(默认), RTS -CTS表示基于RTS/CTS的保护, CTS-to-self表示基于“CTS自我”保护。
使用保护的帧大小阈值由无线接口的hw-protection-threshold设置控制。
例如,要在AP上对所有帧启用基于“CTS-to-self”的帧保护,而不依赖于帧的大小,使用命令:
[admin@MikroTik] /interface wireless> set 0 hw-protection-mode=cts-to-self hw-protection-threshold=0
启用基于客户机的RTS/CTS保护,使用命令:
[admin@MikroTik] /interface wireless> set 0 hw-protection-mode=rts-cts hw-protection-threshold=0
Nv2
MikroTik开发了一种基于TDMA技术(时分多址)的新无线协议- (nstream版本2)。参见Nv2文档: Nv2
TDMA是一种用于共享介质网络的信道接入方法。它允许多个用户通过将信号划分为不同的时隙来共享相同的频率通道。用户一个接一个地快速连续传输,每个人都使用自己的时隙。这允许多个站点共享相同的传输介质(例如无线电频率频道),而仅使用其频道容量的一部分。
Nv2最重要的好处是:
增加速度
PTM环境下更多的客户端连接
更低的延迟
没有距离限制
长距离不扣分
Nv2协议限制是511个客户端。
警告: Nv2不支持虚拟AP
Nv2故障处理
使用tdma-period-size增加长途吞吐量。在每个“周期”中,接入点会留出一部分未使用的时间用于数据传输(等于round trip time -可以从客户端发送和接收帧的时间),它用于确保客户端在向其发送自己的数据包之前可以从接入点接收到最后一帧。距离越远,周期越长。
例如,接入点与客户端之间的距离为30km。帧以100us单向发送,往返时间分别为~200us。tdma-period-size默认值为2ms,表示10%的时间未使用。当tdma-period-size增加到4ms时,只有5%的时间未使用。对于60km的无线链路,往返时间为400ms,未使用时间为20%,缺省tdma周期大小为2ms,未使用时间为10%。tdma-period-size值越大,链路延迟时间越长。
访问列表
Sub-menu: /interface wireless access-list
接入点使用访问列表来限制其他设备允许的连接,并控制连接参数。
逐个处理访问列表规则,直到找到匹配的规则。然后执行匹配规则中的操作。如果action指定应该接受客户端,则客户端被接受,可能会用访问列表规则中指定的参数重写它的默认连接参数。
访问列表规则有以下参数:
客户端匹配参数:
address -客户端的MAC地址
interface -可选接口,与客户端实际连接的接口进行比较
time -规则匹配的时间
signal-range -客户端信号的匹配范围
allow-signal-out- range -选项,允许客户端的信号始终或一段时间间隔超出范围
连接参数:
ap-tx-limit发送到客户端的速率限制
client-tx-limit -到AP方向的tx限速(仅适用于RouterOS客户端)
private-passphrase -当使用PSK认证算法时,该客户端使用的PSK密码
VLAN-mode - VLAN标记模式指定来自客户端的流量是否被标记(去往客户端的流量不被标记)。
VLAN-ID - 配置VLAN标签时使用的VLAN ID
操作:
依次检查访问列表规则。
禁用的规则总是被忽略。
只应用第一条匹配规则。
如果远程连接没有匹配规则,则使用无线接口配置中的默认值。
如果远端设备被具有“authentication=no”的规则匹配,则拒绝来自该远端设备的连接。
警告: 如果ACL中没有关于连接AP的客户端的条目(无线,调试wlan2: A0:0B:BA:D7:4D:B2不在本地ACL中,默认接受),则该客户端的ACL将在所有连接时间内被忽略。
例如,如果客户端在连接期间的信号是-41,有ACL规则
/interface/wireless/access-list
add authentication=yes forwarding=yes interface=wlan2 signal-range=-55..0
然后匹配到ACL规则,但是如果信号降到-55以下,客户端不会被断开。
请注意,如果在无线接口上设置了“default-authentication=yes”,即使没有匹配的访问列表项,客户端也可以加入。 为了使其正确工作,需要客户端与任何ACL规则匹配。
如果在前面的例子中修改ACL规则:
/interface/wireless/access-list
add interface=wlan2 signal-range=-55..0
add authentication=no forwarding=no interface=wlan2 signal-range=-120..-56
如果信号下降到-56,客户端将断开连接。
属性
| 属性 | 说明 |
|---|---|
| ap-tx-limit (integer [0..4294967295]; Default: 0) | 限制向该客户端传输数据的速率。值0表示没有限制。值的单位是比特每秒。 |
| authentication (yes | no; Default: yes) | - no -客户端关联总是失败。 - yes -使用接口的 security-profile 中配置的认证过程。 |
| client-tx-limit (integer [0..4294967295]; Default: 0) | 要求客户限制数据传输速率。值0表示没有限制。 这是一个被RouterOS客户端支持的专有扩展。 值的单位是比特每秒。 |
| comment (string; Default: ) | 入口的简短说明 |
| disabled (yes | no; Default: no) | |
| forwarding (yes | no; Default: yes) | |
| - no -客户端不能发送帧到连接到同一接入点的其他站。 - yes -客户端可以发送帧到同一接入点上的其他站。 |
|
| interface (string | any | all; Default: any) | 带有interface=any的规则用于任何无线接口,interface=all定义了 interface- List 所有名称。若要使规则仅应用于一个无线接口,请将该接口指定为此属性的值。 |
| mac-address (MAC; Default: 00:00:00:00:00:00) | 规则匹配指定MAC地址的客户端。值00:00:00:00:00:00:00总是匹配。 |
| management-protection-key (string; Default: "") | |
| private-algo (104bit-wep | 40bit-wep | aes-ccm | none | tkip; Default: none) | 仅适用于WEP模式。 |
| private-key (string;Default:"") | 仅适用于WEP模式。 |
| private-pre-shared-key (string;Default:"") | 用于WPA PSK模式。 |
| signal-range (NUM..NUM - both NUM are numbers in the range -120..120; Default: -120..120) | 如果电台的信号强度在范围内,则规则匹配。 如果该站的信号强度超出规则规定的范围,接入点将断开该站的连接。 |
| time (TIME-TIME,sun,mon,tue,wed,thu,fri,sat - TIME is time interval 0..86400 seconds; all day names are optional; value can be unset; Default: ) | 规则只在指定时间内匹配。 车站将在指定时间结束后断开连接。开始和结束时间都表示为从午夜开始的时间,00:00。 规则将只在一周中的指定日期进行匹配。 |
Sub-menu: /interface wireless align
校准工具用于帮助校准运行此工具的设备。
| 属性 | 说明 |
|---|---|
| active-mode (yes| no; Default: yes) | 如果处于活动模式,将发送帧进行对齐。 |
| audio-max (integer [-2147483648..2147483647];Default:-20) | 寻呼机的最大信号强度 |
| audio-min (integer [-2147483648..2147483647];Default:-100) | 寻呼机的最小信号强度 |
| audio-monitor (MAC;Default:00:00:00:00:00) | 哪个MAC地址用于音频监控 |
| filter-mac (MAC;Default:00:00:00:00:00) | 过滤后的MAC地址将显示在监控屏幕上。 |
| frame-size (integer [200. 1500];Default:300) | 监视器使用的帧的大小。 |
| frames-per-second (integer [1..100];Default:25) | 帧传输间隔 |
| receive-all (yes | no;Default:no) | 如果设置为“yes”,监视器将找到所有可用的设备。 |
| ssid-all (yes | no;Default:no) | 是否在监视器中显示所有ssid或仅在无线设置中显示一个ssid。 |
菜单特定命令
| 属性 | 说明 |
|---|---|
| monitor (interface name) | 启动对齐监控 |
| Test -audio (integer[-2147483648..2147483647]) | 测试传呼机 |
Sub-menu: /interface wireless connect-list
Connect-list用于为远程访问点的连接分配优先级和安全设置,并限制允许的连接。Connect-list是规则的有序列表。connect-list中的每个规则都附加到特定的无线接口,在该规则的interface属性中指定(这与 access-list 不同,那里的规则可以应用于所有接口)。规则可以匹配远程接入点的MAC地址、信号强度等参数。
操作:
连接列表规则总是按顺序检查,从第一个开始。
禁用的规则总是被忽略。
只应用第一条匹配规则。
如果无线接口配置中提供了SSID或确切的无线协议,则忽略无线接口配置中未包含的SSID或无线协议。
如果connect-list中没有任何与远程接入点匹配的规则,则使用无线接口配置中的默认值。
如果接入点被值为“connect=no”的规则匹配,则不会尝试连接该接入点。
如果接入点被值为“connect=yes”的规则匹配,则尝试连接该接入点。
站模式下,如果多个远程接入点都被连接列表中“connect=yes”的规则匹配,则会选择连接列表中更靠前的一个接入点进行连接。
如果没有远程接入点被connect=yes值的连接列表规则匹配,则 default-authentication 接口属性的值决定站点是否会尝试连接任何接入点。如果 default-authentication=yes,站点将选择信号最好且安全兼容的接入点。
在接入点模式下,与远端设备建立WDS链路前需要检查连接列表。如果接入点没有被连接列表中的任何规则匹配,则 default-authentication 的值决定是否建立WDS链路。
属性
| 属性 | 说明 |
|---|---|
| 3gpp (string; Default: ) | |
| area-prefix (string; Default: ) | 如果AP(专有扩展)的区域值以指定值开头,则规则匹配。area value是一个专有的扩展。 |
| comment (string;Default:) | 条目的简短描述 |
| connect (yes | no;Default:yes) | 可用选项: - yes —连接到符合此规则的接入点。 - no -不连接任何符合此规则的接入点。 |
| disabled (yes | no; Default: no) | |
| mac-address (MAC; Default: 00:00:00:00:00:00) | 规则只匹配指定MAC地址的AP。值00:00:00:00:00:00:00总是匹配。 |
| security-profile (string | none; Default: none) | 连接到匹配的接入点时使用的 安全配置文件 的名称,如果该属性的值为none,则使用接口配置中指定的安全配置文件。在站点模式下,规则将只匹配能够支持指定安全配置文件的接入点。取值none将匹配接口配置中指定的支持安全配置文件的接入点。在接入点模式下,此属性的值将不用于匹配远程设备。 |
| signal-range (NUM..NUM - both NUM are numbers in the range -120..120; Default: -120..120) | 如果接入点的信号强度在范围内,则规则匹配。如果站点与符合此规则的接入点建立连接,当信号强度超出指定范围时,站点将断开与该接入点的连接。 |
| ssid (string;Default:"") | 规则匹配具有此SSID的接入点。空值匹配任何SSID。此属性仅在站模式接口ssid为空或接入点模式接口wds-ignore-ssid=yes |
| wireless-protocol (802.11 | any | nstream | tdma;Default:any) | |
| interface (string;Default:) | 连接列表中的每条规则仅适用于此设置指定的一个无线接口。 |
使用
只将站点连接限制到特定的接入点
设置“default-authentication”接口属性的值为“no”。
/interface wireless set station-wlan default-authentication=no
创建匹配允许访问点的规则。这些规则必须有connect=yes和interface等于站无线接口的名称。
/interface wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22:33:00:01
/interface wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22:33:00:02
禁止连接到特定的接入点
将“default-authentication”接口属性的值设置为“yes”。
/interface wireless set station-wlan default-authentication=yes
Create connect=no规则匹配那些站点不应该连接的接入点。这些规则必须有connect=no 和 interface 等于站无线接口的名称。
/interface wireless connect-list add interface=station-wlan connect=no mac-address=00:11:22:33:44:55
选择首选接入点
创建匹配首选接入点的规则。这些规则必须有connect=yes和interface等于站点无线接口的名称。
将匹配首选接入点的规则按优先级排列在连接列表中较高的位置。
限制WDS链路的建立
将匹配允许访问点的规则放在顶部。
连接列表末尾添加deny-all规则。
信息
Sub-menu: /interface wireless info
| 属性 | 说明 |
|---|---|
| 2ghz-10mhz-power-channels () | |
| 2ghz-11n-channels () | |
| 2ghz-5mhz-power-channels () | |
| 2ghz-b-channels () | |
| 2ghz-g-channels () | |
| 2ghz-g-turbo-channels () | |
| 5ghz-10mhz-power-channels () | |
| 5ghz-11n-channels () | |
| 5ghz-5mhz-power-channels () | |
| 5ghz-channels () | |
| 5ghz-turbo-channels () | |
| allowed-channels | 每个波段的可用频道列表 |
| capabilities () | |
| country-info() | 以国家名称为参数,显示可用的频带、频率和每个频率的最大发射功率。 |
| chip-info () | |
| default-periodic-calibration () | |
| firmware () | |
| ht-chains () | |
| interface-type () | |
| name () | |
| pci-info () | |
| supported-bands () |
手动TX功率表
Sub-menu: /interface wireless manual-tx-power-table
| 属性 | 说明 |
|---|---|
| comment (string; Default: ) | 条目的简短描述 |
| manual-tx-powers (list of [Rate:TxPower]; |Rate ::= 11Mbps | 12Mbps | 18Mbps | 1Mbps | 24Mbps | ...TxPower ::= integer [-30..30]; Default: ) | |
| name (string) | tx功率应用到无线接口的名称。 |
无线硬件表
警告: 您必须遵守您所在国家的监管领域要求。如果允许使用其他频率,请注意,天线增益和发射功率可能会根据电路板和频率而降低。设备仅针对监管频率进行校准,使用非标准频率风险自负。该列表仅指定无线芯片接受的频率,由于产品内置的天线,设备设计,滤波器和其他因素,这些频率可能并不总是工作。严格使用,风险自负
可以从产品页面推断出支持的通道宽度,要做到这一点,您需要检查以下参数:链数和最大数据速率。一旦知道了这些参数,就需要查看调制和编码方案(MCS)表,例如: https://mcsindex.com/。
如果以hAP ac为例,以看到链的数量是3,MCS表中的最大数据速率是1300。在MCS表中,需要找到3个空间流链的入口,以及各自的数据速率,在这种情况下,80MHz是支持的最大信道宽度。
集成无线接口频率表
| 单板名称 | 无线接口 | 频率范围[MHz] | 支持的信道宽度[MHz] |
|---|---|---|---|
| 2011UAS-2HnD | 1 | 2312-2732 | 20,40 |
| 751G-2HnD | 1 | 2200-2700 | 20,40 and advanced channel support |
| 751U-2HnD | 1 | 2200-2700 | 20,40 and advanced channel support |
| 911-2Hn | 1 | 2312-2732 | 20,40 |
| 911-5HacD | 1 | 4920-6100 | 20,40,80 |
| 911-5Hn | 1 | 4920-6100 | 5,10,20,40 |
| 911-5HnD | 1 | 4920-6100 | 20,40 |
| 911G-2HPnD | 1 | 2312-2732 | 20,40 |
| 911G-5HPacDr2 /-NB /-QRT | 1 | 4920-6100 | 5,10,20,40,80 |
| 911G-5HPnD /-QRT | 1 | 4920-6100 | 5,10,20,40 |
| 912UAG-2HPnD /-OUT | 1 | 2312-2732 | 20,40 |
| 912UAG-5HPnD /-OUT | 1 | 4920-6100 | 5,10,20,40 |
| 912UAG-6HPnD /-OUT | 1 | 5500-6500 | and 20,40 |
| 921GS-5HPacD-15S /-19S | 1 | 4920-6100 | 51,101,20,40,80 |
| 22UGS-5HPacD2HnD | 2 | 4920-5925,2412-2482 | 20,40,80 and 20,40 |
| 921UAGS-5SHPacD-NM | 1 | 4920-6100 | 20,40,80 |
| 921UAGS-5SHPacT-NM | 1 | 4920-6100 | 20,40,80 |
| 922UAGS-5HPacD /-NM | 1 | 4920-6100 | 20,40,80 |
| 922UAGS-5HPacT /-NM | 1 | 4920-6100 | 20,40,80 |
| 941-2nD /-TC | 1 | 2312-2732 | 20,40 |
| 951G-2HnD | 1 | 2312-2732 | 20,40 |
| 951Ui-2HnD | 1 | 2312-2732 | 20,40 |
| 951Ui-2nD | 1 | 2312-2732 | 20,40 |
| 952Ui-5ac2nD /-TC | 2 | 2312-2732,4920-6100 | 20,40 and 20,40,80 |
| 953GS-5HnT /-RP | 1 | 4920-6100 | 5,10,20,40 |
| 962UiGS-5HacT2HnT | 2 | 2312-2732,4920-6100 | 20,40 and 20,40,80 |
| cAP2n | 1 | 2312-2732 | 20,40 |
| cAP2nD | 1 | 2312-2732 | 20,40 |
| cAPL-2nD | 1 | 2312-2732 | 20,40 |
| CRS109-8G-1S-2HnD-IN | 1 | 2312-2732 | 20,40 |
| CRS125-24G-1S-2HnD-IN | 1 | 2312-2732 | 20,40 |
| Disc-5nD | 1 | 4920-6100 | 20,40 |
| DynaDishG-5HacD | 1 | 4920-6100 | 51,101,20,40,80 |
| DynaDishG-6HnD | 1 | 5500-6500 | 20,40 |
| Groove52HPn | 1 | 4920-6100,2312-2732 | 5,10,20,40 and 5,10,20,40 |
| GrooveA-52HPn | 1 | 4920-6100,2312-2732 | 5,10,20,40 and 5,10,20,40 |
| GrooveG-52HPacn | 1 | 4920-6100,2312-2732 | 20,40,80 and 20,40 |
| GrooveGA-52HPacn | 1 | 4920-6100,2312-2732 | 20,40,80 and 20,40 |
| LDF-5nD | 1 | 4920-6100 | 20,40 |
| LHG-5nD | 1 | 4920-6100 | 20,40 |
| mAP2n | 1 | 2312-2732 | 20,40 |
| mAP2nD | 1 | 2312-2732 | 20,40 |
| mAPL-2nD | 1 | 2312-2732 | 20,40 |
| Metal2SHPn | 1 | 2200-2700 | 20,40 and advanced channel support |
| Metal5SHPn | 1 | 4800-6100 | 5,10,20,40 and advanced channel support |
| Metal9HPn | 1 | 902-928 | 5,10,20 |
| MetalG-52SHPacn | 1 | 4920-6100,2312-2732 | 20,40,80 and 20,40 |
| OmniTikG-5HacD | 1 | 4920-6100 | 20,40,80 |
| OmniTikPG-5HacD | 1 | 4920-6100 | 20,40,80 |
| OmniTIKU-5HnD | 1 | 4800-6100 | 5,10,20,40 |
| OmniTIKUPA-5HnD | 1 | 4800-6100 | 5,10,20,40 |
| QRTG-2SHPnD | 1 | 2312-2732 | 20,40 |
| SEXTANTG-5HPnD | 1 | 4920-6100 | 20,40 |
| SXT2nDr2 | 1 | 2312-2732 | 20,40 |
| SXT5HacD2n | 2 | 2312-2732,4920-6100 | 51,101,20,40 and 51,101,20,40,80 |
| SXT5HPnDr2 | 1 | 4920-6100 | 20,40 |
| SXT5nDr2 | 1 | 4920-6100 | 20,40 |
| SXTG-2HnD | 1 | 2200-2700 | 20,40 |
| SXTG-2HnDr2 | 1 | 2300-2700 | 20,40 |
| SXTG-5HPacD | 1 | 4920-6100 | 51,101,20,40,80 |
| SXTG-5HPacD-HG /-SA | 1 | 4920-6100 | 51,101,20,40,80 |
| SXTG-5HPnD-HGr2 /-SAr2 | 1 | 4920-6100 | 20,40 |
| SXTG-6HPnD | 1 | 5500-6500 | 20,40 |
| SXTsq2nD | 1 | 2312-2484 | 20,40 |
| wAP2nD /-BE | 1 | 2312-2732 | 20,40 |
| wAPG-5HacT2HnD /-BE | 2 | 2312-2732,4920-6100 | 20,40 and 20,40,80 |
| R11e-2HnD | 1 | 2312-2732 | 20,40 |
| R11e-2HPnD | 1 | 2312-2732 | 20,40 |
| R11e-5HacD | 1 | 4920-6100 | 20,40,80 |
| R11e-5HacT | 1 | 4920-6100 | 20,40,80 |
| R11e-5HnD | 1 | 4920-6100 | 20,40 |
| R2SHPn | 1 | 2200-2700 | 20,40 and advanced channel support |
| R52H | 1 | 4920-6100,2192-2507 | 20 and 20 |
| R52HnD | 1 | 4800-6100,2200-2700 | 20,40 and 20,40 |
| R52nM | 1 | 4800-6100,2200-2700 | 20,40 and 20,40 and advanced channel support |
| R5SHPn | 1 | 4800-6100 | 20,40 and advanced channel support |
注:
仅支持802.11a/n标准
概述
高级通道功能为无线接口配置提供了更多的机会:
覆盖多个频带和信道宽度的扫描列表;
硬件允许的非标准通道中心频率(以KHz粒度指定);
硬件允许的非标准信道宽度(用KHz粒度指定)。
硬件支持
非标准中心频率和宽度通道只能与支持它的接口一起使用。
目前,只有基于Atheros AR92xx的芯片支持以下范围的非标准中心频率和带宽:
中心频率范围:2200MHz-2500MHz带阶跃0.5MHz (500KHz),带宽范围:2.5MHz-30MHz宽阶跃0.5MHz (500KHz);
中心频率范围:4800MHz-6100MHz带阶跃0.5MHz (500KHz),带宽范围:2.5MHz-30MHz宽阶跃0.5MHz (500KHz);
AR93xx不支持此特性
高级频道在接口无线频道菜单中配置。该菜单包含用户自定义通道的有序列表,这些通道可以通过list属性进行分组。通道有以下属性:
name -可以引用该通道的名称。如果在添加通道时未指定name,则从通道频率和宽度自动生成;
list -该通道所属的列表名称。列表可用于对频道进行分组;
frequency -通道中心频率以MHz为单位,允许指定小数MHz部分,例如 5181.5;
width -以MHz为单位的信道宽度,允许指定小数MHz部分,例如 14.5;
band -定义使用该信道时的默认数据速率集;
extension-channel -指定11n扩展通道的位置。
为了在无线接口配置中使用高级通道,一些接口设置接受通道名称或列表名称作为参数。可以将接口配置为接口不支持的通道。在这种情况下,接口将无法操作。正确配置通道是管理员的责任。
频率
要在无线接口中使用特定的高级信道(适用于使用接口频率设置的模式),请在接口频率设置中指定信道名称。以配置接口中心频率为5500MHz,通道宽度为14MHz为例,命令如下:
[admin@MikroTik] /interface wireless> channels add name=MYCHAN frequency=5500 width=14 band=5ghz-onlyn
list=MYLIST
[admin@MikroTik] /interface wireless> set wlan1 frequency=MYCHAN
scan-list
接口 scan-list 用于多种模式,要么为通道列表收集信息(如交互式scan命令),要么选择通道工作(如任何站模式或执行DFS的AP模式)。接口 scan-list 可配置以下以逗号分隔的列表:
默认的。11通道列表为给定的国家和接口频带和通道宽度;
以兆赫为单位的数字频率范围;
高级通道,按名称命名;
高级通道列表,由列表名称指代。
例如,配置接口扫描5180MHz、5200MHz和5220MHz,首先使用信道宽度20MHz,然后使用信道宽度10MHz,可以发出以下命令:
[admin@MikroTik] /interface wireless> channels add frequency=5180 width=20 band=5ghz-a list=20MHz-list
[admin@MikroTik] /interface wireless> channels add frequency=5200 width=20 band=5ghz-a list=20MHz-list
[admin@MikroTik] /interface wireless> channels add frequency=5220 width=20 band=5ghz-a list=20MHz-list
[admin@MikroTik] /interface wireless> channels add frequency=5180 width=10 band=5ghz-a list=10MHz-list
[admin@MikroTik] /interface wireless> channels add frequency=5200 width=10 band=5ghz-a list=10MHz-list
[admin@MikroTik] /interface wireless> channels add frequency=5220 width=10 band=5ghz-a list=10MHz-list
[admin@MikroTik] /interface wireless> set wlan1 scan-list=20MHz-list,10MHz-list
Sub-menu: /interface wireless nstreme
此菜单允许将无线网卡切换到nstream模式。在这种情况下,该卡将只与nstream客户端工作。
| 属性 | 说明 |
|---|---|
| comment (string; Default: ) | 条目的简短描述 |
| disable-csma (yes| no;Default:no) | 使用轮询时禁用CSMA/CA(性能更好) |
| enable- nstream ** (yes| no;Default:no**) | 是否将卡切换到nstream模式 |
| enable-polling (yes| no;Default:yes) | 是否对客户端使用轮询 |
| frame -limit (integer [100..4000];Default:3200) | 最大帧大小 |
| frame -policy (best-fit| dynamic-size| exactly -size| none;默认值:none) | 如何组合帧的方法。许多帧可以组合成一个更大的帧,以减少协议开销(从而提高速度)。卡不等待帧,但如果有许多数据包排队等待传输,它们可以组合在一起。有几种框架方法: - none -不做任何特别的事情,不合并数据包(帧被禁用) - best-fit -在一个帧中放入尽可能多的数据包,直到满足帧限制限制,但不分片数据包 - exact-size - 把尽可能多的数据包放在一个帧中,直到帧限制的限制被满足,即使碎片将需要(最佳性能) - dynamic-size - 动态选择最佳的帧大小 |
| name (string) | 要设置的接口名。只读的。 |
注意: 这里的设置(除了启用nstream)只与接入点相关,它们对客户端设备被忽略!客户端自动适应AP设置。 WDS for nstream协议要求在其中一个对等体上使用station-wds模式。在AP模式(网桥和AP-网桥)之间使用WDS的配置将无法工作。
Sub-menu: /interface wireless nstreme-dual
nstream -双从模式下的两个无线电可以组合在一起进行nstream - 2点对点连接。要将无线接口放入nstreme2组,应该将其模式设置为nstreme-dual-slave。使用nstreme2, /interface wireless菜单中的许多参数被忽略,除了:
频率模式
国家
天线增益
发射功率
tx-power-mode
antenna-mode
| 属性 | 说明 |
|---|---|
| arp (disabled| enabled| proxy-arp| reply-only; Default: enabled) | 阅读更多 |
| comment (string;Default:) | 条目的简短描述 |
| disable-csma (yes | no;Default:no) | 关闭CSMA/CA(性能更好) |
| disable-running-check (yes | no;Default:no) | 即使与远程对等端没有连接,接口是否也应始终被视为正在运行 |
| disabled (yes | no;Default:yes) | |
| frame -limit (integer [64..4000];Default:2560) | 最大帧大小 |
| framer-policy (best-fit| exact-size | none; Default: none) | 如何组合帧的方法。许多帧可以合并成一个更大的帧,以减少协议开销(从而提高速度)。卡不等待帧,但如果有许多数据包排队等待传输,它们可以合并。有几种框架方法: - none -不做任何特殊操作,不合并报文 - best-fit -在一个帧中放入尽可能多的数据包,直到满足帧限制限制,但不分片数据包 - exact-size -将尽可能多的数据包放在一帧中,直到满足帧限制限制,即使需要分片(最佳性能) |
| ht-channel-width (2040mhz | 20mhz | 40mhz; Default: 20mhz) | |
| ht-guard-interval (both | long | short; Default: long) | |
| ht-rates (list of rates [1,2,3,4,5,6,7,8]; Default: 1,2,3,4,5,6,7,8) | |
| ht-streams (both | double | single; Default: single) | |
| l2mtu (integer [0..65536]; Default: ) | |
| mtu (integer [0..65536]; Default: 1500) | |
| name (string; Default: ) | 条目名称 |
| rates-a/g (list of rates [6Mbps,9Mbps, 12Mbps, 18Mbps, 24Mbps, 36Mbps, 48Mbps, 54Mbps]; Default: 6Mbps,9Mbps,12Mbps, 18Mbps, 24Mbps, 36Mbps, 48Mbps, 54Mbps) | 支持802.11a或802.11g标准的速率 |
| rate -b (list of rate [1Mbps, 2Mbps, 5.5Mbps, 11Mbps];Default:1Mbps, 2Mbps, 5.5Mbps, 11Mbps) | 802.11b标准支持的速率 |
| remote-mac (_mac;Default:00:00:00:00:00) | 连接到哪个MAC地址(这将是远程接收卡的MAC地址) |
| rx-band (2ghz-b ghz-g | 2 | 2 ghz-n ghz-a | 5 | 5 ghz-n;Default:) | 接收无线电的工作频段 |
| rx-channel-width (10mhz;Default:20mhz) | |
| rx-frequency (integer [0..4294967295];Default:) | RX卡工作频率以Mhz为单位。 |
| rx-radio (string;Default:) | 用于接收的接口名称。 |
| tx-band (2ghz-b ghz-g | 2 | 2 ghz-n ghz-a | 5 | 5 ghz-n;Default:) | 发射无线电的工作频段 |
| tx-channel-width (10mhz;Default:20mhz) | |
| tx-frequency (integer [0..4294967295];Default:) | TX卡工作频率以Mhz为单位。 |
| tx-radio (string;Default:) | 用于传输的接口名称。 |
警告: WDS不能用于nstream -dual链接。
注意: tx- frequency和rx- frequency之间的差异应该在200MHz左右(建议更多),因为可能会发生干扰!
注: 可以使用不同的波段为rx和tx链接。例如,使用2ghz-g发送数据,使用2ghz-b频段接收数据。
Sub-menu: /interface wireless registration-table
在注册表中,可以看到有关当前连接的客户端的各种信息。它仅用于接入点。
所有属性都是只读的。
| 属性 | 说明 |
|---|---|
| 802.1x-port-enabled (yes | no) | 是否允许与对等端进行数据交换(即,如果需要,是否完成802.1x认证) |
| ack-timeout (integer) | 当前ack-timeout值 |
| ap (yes | no) | 显示注册设备是否被配置为接入点。 |
| ap-tx-limit (integer) | AP传输速率限制;以比特每秒为单位 |
| authentication-type() | 对端使用的认证方式 |
| bridge (yes | no) | |
| bytes (integer , integer) | 发送和接收的报文字节数 |
| client-tx-limit (integer) | AP传输速率限制;以比特每秒为单位 |
| comment (string) | 条目说明。如果指定,则从适当的 访问列表 条目中获取注释。 |
| compression (_yes\ | no_) |
| distance (integer) | |
| encryption (aes-ccm| tkip) | 使用的单播加密算法 |
| evm-ch0 () | |
| evm-ch1 () | |
| evm-ch2 () | |
| frame-bytes (integer,integer) | 发送和接收的数据字节数,不包括报头信息 |
| frames (integer,integer) | 需要通过无线链路发送的帧数。该值可与hw-frames进行比较,以检查无线重传。阅读更多 |
| framing-current-size (integer) | 当前组合帧的大小 |
| frames -limit (integer) | 组合帧的最大大小 |
| frames -mode() | 如何组合帧的方法 |
| group-encryption() | 使用的组加密算法 |
| hw-frame-bytes (integer,integer) | 发送和接收的数据字节数,包括报头信息 |
| hw-frames (integer,integer) | 驱动程序通过无线链路发送的帧数。该值可以与帧进行比较,以检查无线重传。阅读更多 |
| interface (string) | 无线客户端关联的无线接口名称 |
| last-activity (time) | 最后一个接口数据tx/rx活动 |
| last-IP (IP Address) | 从注册客户端收到的最后一个IP包中找到的IP地址 |
| MAC-address (MAC) | 注册客户端的MAC地址 |
| management-protection (yes | no) | |
| nstreme (yes| no) | 显示 nstream 是否启用 |
| p-throughput (integer) | 考虑到有效传输速率和硬件重试次数,对给定对等端期望的估计近似吞吐量。5秒计算一次 |
| packed-bytes (integer,Integer) | 打包成更大帧用于发送/接收的字节数(帧) |
| packets-frames (integer, integer) | 用于发送/接收的更大帧数(分帧) |
| packets (integer.integer) | 发送和接收的网络层报文数 |
| radio-name (string) | 对等体的无线电名称 |
| RouterOS-version (string) | 注册客户端的RouterOS版本 |
| rx-ccq () | 接收的客户端连接质量(CCQ)。阅读更多 |
| rx-rate (integer) | 接收数据速率 |
| signal-strength (integer) | AP接收到的客户端信号平均强度 |
| signal-strength-ch0 () | |
| signal-strength-ch1 () | |
| signal-strength-ch2 () | |
| signal-to-noise () | |
| strength-at-rates () | 不同速率下的信号强度水平以及这些速率持续的时间 used |
| tdma-retx () | |
| tdma-rx-size () | |
| tdma-timing-offset () | tdma时间偏移与距离成正比,大约是传播延迟的两倍。AP测量这一点,以便它可以告诉客户端使用什么偏移量用于它们的传输——然后客户端从它们的目标传输时间中减去这个偏移量,这样就可以考虑传播延迟,并且传输在预期的时候到达AP。您可能偶尔会在近距离客户端看到小的负值(例如很少使用),因为在不同芯片组的发送器或接收器硬件中可能会产生额外的未计算的延迟。 |
| tdma-tx-size (integer) | 设备发送的可检测丢失数据单元的大小(计算CRC的数据单元),以字节为单位。一般来说,越大越好,因为开销越少。另一方面,在这个设置中,小的值不能总是被认为是连接不好的信号——如果设备没有足够的待处理数据来允许它使用更大的数据单元(例如,如果你只是通过链路ping),这个值不会上升。 |
| tdma-windfull () | |
| tx-ccq () | 传输的客户端连接质量(CCQ)。阅读更多 |
| tx-evm-ch0 () | |
| tx-evm-ch1 () | |
| tx-evm-ch2 () | |
| tx-frames-timed-out () | |
| tx-rate () | |
| tx-signal-strength () | |
| tx-signal-strength-ch0 () | |
| tx-signal-strength-ch1 () | |
| tx-signal-strength-ch2 () | |
| uptime (time) | 客户端与访问点关联的时间 |
| wds (yes | no)连接的客户端是否使用WDS | |
| wmm-enabled (yes | no) | 显示 WMM 是否启用。 |
Sub-menu: /interface wireless security-profiles
安全配置文件在控制台中/interface wireless Security -profiles路径下配置,或者在WinBox中“无线”窗口的“安全配置文件”选项卡中配置。安全配置文件由连接列表中的无线接口 Security -profile 属性和`Security -profile <https://help.mikrotik.com/docs/display/ROS/Wireless+Interface#WirelessInterface-Generalinterfaceproperties>`_ 属性引用。
基本属性
| 属性 | 说明 |
|---|---|
| mode (none | static-keys-optional | static-keys-required | dynamic-keys; Default: none) | 安全配置文件的加密方式。 - none —不加密。加密帧不被接受。 - static-keys-required - WEP模式。不接受和不发送未加密的帧。设置为static-keys-required模式的站点不会连接到设置为static-keys-optional模式的接入点。 - static-keys-optional - WEP模式。支持加密和解密,但也允许接收和发送未加密的帧。如果加密算法指定为none,设备将发送未加密的帧。设置为static-keys-optional模式的站点不会连接到设置为static-keys-required模式的接入点。参见: static-sta-private-algo, static-transmit-key。 dynamic-keysWPA模式。 |
| name (text; Default: ) | 安全配置文件的名称 |
WPA属性
只有当mode设置为dynamic- keyys时,这些属性才有效。
| 属性 | 说明 |
|---|---|
| authentication-types (wpa-psk | wpa2-psk| wpa-eap| wpa2-eap; Default: ) | 支持的认证类型集合,可选择多个值。接入点将发布支持的身份验证类型,只有当客户端支持任何已发布的身份验证类型时,客户端才会连接到接入点。 |
| disable-pmkid (no| yes;Default:no) | 是否在接入点发出的EAPOL帧中包含PMKID。禁用PMKID可能会导致使用PMKID连接到接入点的设备出现兼容性问题。 - yes -从EAPOL帧中移除PMKID(提高安全性,降低兼容性) - no -在EAPOL帧中包含PMKID(降低安全性,提高兼容性)。 此属性仅对接入点有效。 |
| unicast-ciphers (tkip | aes-ccm; Default: aes-ccm) | 接入点宣布它支持指定的密码,可以选择多个值。客户端只尝试连接到至少支持指定密码之一的接入点。其中一个密码将用于加密在接入点和站之间发送的单播帧。 |
| group-ciphers (tkip | aes-ccm;Default:aes-ccm) | 接入点发布这些密码中的一个,可以选择多个值。接入点使用它来加密所有广播和组播帧。客户端只尝试连接到使用指定组密码之一的接入点。 - tkip -临时密钥完整性协议-加密协议,与传统的WEP设备兼容,但增强以纠正一些WEP缺陷。 - AES -ccm -更安全的WPA加密协议,基于可靠的AES (Advanced encryption Standard)。没有WEP遗留的网络应该只使用这个密码。 |
| group-key-update (time: 30s..1d; Default: 5m) | 控制访问点更新组密钥的频率。该密钥用于加密所有广播和组播帧。属性仅对接入点有效。 |
| wpa-pre-shared-key (text;Default:) | WPA预共享密钥模式要求BSS中的所有设备具有公共密钥。此键的值可以是任意文本。通常称为WPA模式的网络密码。属性仅在将wpa-psk添加到 authentication-types 时生效。 |
| wpa2-pre-shared-key (text;Default:) | WPA2预共享密钥模式要求BSS中的所有设备具有公共密钥。此键的值可以是任意文本。通常称为WPA2模式的网络密码。属性仅在将wpa2-psk添加到 authentication-types 时生效。 |
注意: RouterOS还允许在RADIUSMAC认证响应中使用 private-pre-shared-key 属性或 Mikrotik-Wireless-Psk 属性覆盖特定客户端的预共享密钥值。这是一个扩展。
WPA EAP属性
只有当authentication-types包含wpa-eap或wpa2-eap,并且mode设置为dynamic-keys时,这些属性才有效。
| 属性 | 说明 |
|---|---|
| eap-methods (eap-tls | eap-ttls-mschapv2 | passthrough | peap; Default: passthrough) | 允许的认证方法类型,可选择多个。此属性仅对接入点有效。 - EAP - TLS -使用内置的EAP TLS认证。同时支持客户端和服务器证书。参见tls-mode和tls-certificate属性说明。 - eap- tls-mschapv2—使用eap- tls + MS-CHAPv2认证。 - passthrough -接入点将认证过程中继到RADIUS服务器。 - peap -使用受保护EAP认证。 |
| supplicant-identity (text; Default: Identity) | 客户端在EAP身份验证开始时发送的EAP标识。该值作为RADIUS EAP计费和RADIUS EAP直通认证发送的RADIUS消息中User-Name属性的值。 |
| mschapv2-username (text;Default:) | 当使用_eap- tls-mschapv2_认证方式时,用于认证的用户名。此属性仅对站点有效。 |
| mschapv2-password (text;Default:) | 使用_eap- tls-mschapv2_鉴权方式时用于鉴权的密码。此属性仅对站点有效。 |
| tls-mode (verify-certificate | dont-verify-certificate | no-certificates | verify-certificate-with-crl; Default: no-certificates) | 只有当eap-methods包含eap-tls时,此属性才有效。 - verify-certificate -要求远端设备拥有有效的证书。检查它是否由已知的证书颁发机构签名。没有额外的身份验证。证书可能包括有关其有效期间的信息。如果路由器的时间和日期不正确,它可能会因为路由器的时钟超出了时间和日期而拒绝有效的证书。另请参见 Certificates 配置。 - don -verify-certificate—不检查远端设备的证书。接入点不需要客户端提供证书。 - no-certificates—不使用证书。TLS会话采用2048位匿名Diffie-Hellman密钥交换建立。 - verify-certificate-with-crl—与verify-certificate相同,但通过检查证书吊销列表来检查证书是否有效。 |
| tls-certificate (none | name; Default: none) | 当tls-mode设置为verify-certificate或设置为not -verify-certificate时,接入点总是需要证书。当“接入点”配置“tls-mode”为“verify-certificate”时,客户端才需要证书。在这种情况下,客户端需要一个由接入点已知的CA签名的有效证书。此属性仅在tls-mode未设置为no-certificates且eap-methods包含eap-tls时有效。 |
注: “eap-methods”中允许的认证方法的顺序很重要,将使用相同的顺序向站点发送认证方法报价。示例:Access Point使用security-profile,其中eap-methods设置为eap-tls,passthrough; 1)接入点向客户端提供EAP-TLS方法; 2)客户拒绝; 3)接入点开始向radius服务器转发EAP通信。
注: 当AP用于直通时,不需要在AP本身添加证书,AP设备作为透明桥接器,将RADIUS服务器上的EAP-TLS关联数据转发给终端客户端。
注意: 当“TLS -mode”使用“验证证书”或“不验证证书”时,远程设备必须支持RC4-MD5,RC4-SHA或 DES-CBC3-SHA TLS密码套件之一。当使用“无证书”模式时,远端设备必须支持“ADH-DES-CBC3-SHA”密码套件。
RADIUS属性
| 属性 | 说明 |
|---|---|
| radius-mac-authentication (yes | no; Default: no) | 此属性影响访问点处理在 访问列表 中找不到的客户端的方式。 - no -根据无线接口的 default-authentication 属性的值允许或拒绝客户端认证。 - yes -以客户端MAC地址作为用户名查询RADIUS服务器。在这种情况下,default-authentication的值不起作用。 |
| radius-mac-accounting (yes | no; Default: no) | |
| radius-eap-accounting (yes | no; Default: no) | |
| radius-called-format (mac | mac:ssid | ssid; Default: mac:ssid) | |
| interim-update (time; Default: 0) | 当使用RADIUS计费时,Access Point会定期向RADIUS服务器发送更新的计费信息。此属性指定RADIUS服务器可以使用 account - interval - interval 属性覆盖的默认更新间隔。 |
| radius-mac-format (XX:XX:XX:XX:XX:XX | XXXX:XXXX:XXXX | XXXXXX:XXXXXX | XX-XX-XX-XX-XX-XX | XXXXXX-XXXXXX | XXXXXXXXXXXX | XX XX XX XX XX XX; Default: XX:XX:XX:XX:XX:XX) | 控制MAC认证和MAC计费RADIUS请求的User-Name属性中,接入点如何对客户端的MAC地址进行编码。 |
| radius-mac-mode (as-username | as-username-and-password;Default:as-username) | 在MAC认证期间发送Access- request时,默认接入点使用空密码。当此属性设置为_as-username-and-password_时,接入点将为User-Password属性使用与User-Name属性相同的值。 |
| radius-mac-caching (disabled | time;Default:disabled) | 如果设置为时间间隔,则接入点将在指定的时间内缓存RADIUS MAC认证响应,如果匹配的缓存项已经存在,则不联系RADIUS服务器。取值disabled将禁用缓存,接入点将始终与RADIUS服务器联系。 |
WEP属性
只有当mode设置为 static-keys-required 或 static-keys-optional 时,这些属性才有效。
| 属性 | 说明 |
|---|---|
| static-key-0 | static-key-1 | static-key-2| static-key-3 (hex; Default: ) | 密钥的十六进制表示。密钥长度必须适合所选算法。请参阅 静态配置的WEP密钥 一节。 |
| static-algo-0 | static-algo-1 | static-algo-2 | static-algo-3 (none| 40bit-wep| 104bit-wep| tkip | aes-ccm; Default: none) | 加密算法要与相应的密钥一起使用。 |
| static-transmit-key (key-0| key-1| key-2 | key-3; Default: key-0) | 接入点将使用指定的密钥为不使用私钥的客户端加密帧。接入点也将使用此密钥加密广播和组播帧。如果static-sta-private-algo设置为none,客户端将使用指定的密钥加密帧。如果对应的static-algo-N属性的值设置为none,则帧将不加密发送(当mode设置为static-keys-optional)或根本不发送(当mode设置为static-keys-required)。 |
| static-sta-private-key (hex; Default: ) | 密钥长度必须适合所选算法,请参阅 静态配置的WEP密钥 一节。此属性仅在站点上使用。接入点使用来自 private-key 属性或 microtik - wireless - enc -key 属性的相应密钥。 |
| static-sta-private-algo (none| 40bit-wep| 104bit-wep| tkip | aes-ccm; Default: none) | 与站私钥一起使用的加密算法。值_none_禁止使用私钥。此属性仅在站点上使用。接入点必须从 private-algo 属性或 microtik - wireless - c- algo 属性中获得相应的值。站私钥取代单播帧的密钥0。电台不会使用私钥解密广播帧。 |
管理框架保护
用于 :防去认证攻击,MAC地址克隆问题。
RouterOS实现了基于共享秘密的专有管理帧保护算法。管理帧保护是指RouterOS无线设备能够验证管理帧的来源,并确认该帧不是恶意的。该特性可以抵御来自基于RouterOS的无线设备的去认证和反关联攻击。
在security-profile中配置管理保护模式,设置 Management -protection。可能的值有:禁用 -管理保护禁用(默认),允许 -如果远程方支持则使用管理保护(对于AP -允许非管理保护和管理保护客户端,对于客户端-同时连接有和没有管理保护的AP), 要求仅与支持管理保护的远程设备建立关联(对于AP -仅接受支持管理保护的客户端)。对于客户端(仅连接支持管理保护的ap)。
管理保护共享密钥配置了security-profile Management -protection-key设置。
当接口处于AP模式时,安全配置文件中配置的默认管理保护密钥可以被access-list或RADIUS属性中指定的密钥覆盖。
[admin@mikrotik] /interface wireless security-profiles> print
0 name="default" mode=none authentication-types="" unicast-ciphers=""
group-ciphers="" wpa-pre-shared-key="" wpa2-pre-shared-key=""
supplicant-identity="n-str-p46" eap-methods=passthrough
tls-mode=no-certificates tls-certificate=none static-algo-0=none
static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none
static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none
static-sta-private-key="" radius-mac-authentication=no
radius-mac-accounting=no radius-eap-accounting=no interim-update=0s
radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username
radius-mac-caching=disabled group-key-update=5m
management-protection=disabled management-protection-key=""
[admin@mikrotik] /interface wireless security-profiles> set default management-protection=
allowed disabled required
操作详情
RADIUS MAC认证
注意:RAIDUS MAC身份验证被接入点用于在 access-list 中找不到的客户端,类似于无线接口的default-authentication属性。它控制客户端是被允许继续身份验证,还是被立即拒绝。
当 RADIUS -mac-authentication=yes时,接入点通过发送带有以下属性的access - request来查询RADIUS服务器:
用户名—客户端MAC地址。这是由radius-mac-format设置指定的编码。默认编码为“XX:XX:XX:XX:XX”。
Nas-Port-Id -无线接口名称。
User-Password—当radius-mac-mode=as-username-and-password时,该值与User-Name相同。否则此属性为空。
call - station - id—客户端MAC地址,编码为“XX-XX-XX-XX-XX-XX”。
—被叫站id—接入点的MAC地址和SSID,编码为“XX-XX-XX-XX-XX-XX:SSID”(减去MAC地址数字对,后面加冒号,最后加SSID值)。
Acct-Session-Id -当radius-mac-accounting=yes时添加。
当接入点从RADIUS服务器接收到access - accept或access - reject响应时,它存储响应并允许或拒绝客户端。接入点使用访问-接受响应中的以下RADIUS属性:
Ascend-Data-Rate
Ascend-Xmit-Rate
microtik - wireless - forwarding—同 access-list forwarding。
microtik - wireless - c- algo -同 access-list private-algo
mikrotik - wireless - cn -key—同 access-list private-key。
microtik - wireless - psk—同 access-list private-pre-shared-key
microtik - wireless - mpkey -与Access列表中的Management-protection-key相同
Session-Timeout—客户端断开连接的时间。
account - interval—覆盖“interim-update”的值。
Class -如果存在,则保存该属性的值并包含在Accounting-Request消息中。
添加RADIUS MAC身份验证缓存,以支持需要从接入点快速响应关联请求的客户端的RADIUS身份验证。这样的客户端在收到RADIUS服务器的响应之前超时。接入点将身份验证响应缓存一段时间,并可以立即回复来自同一客户端的重复关联请求。
RADIUS EAP直通认证
当使用WPA EAP认证类型时,通过MAC认证的客户端在被授权在无线网络上传递数据之前,需要进行EAP认证。使用直通EAP方法,接入点将中继身份验证到RADIUS服务器,并在访问请求RADIUS消息中使用以下属性:
User-Name - EAP请求方身份。该值在客户端安全配置文件的supplicant-identity属性中配置。
Nas-Port-Id -无线接口名称。
call - station - id—客户端MAC地址,编码为“XX-XX-XX-XX-XX-XX”。
被叫站id—接入点的MAC地址和SSID,编码为“XX-XX-XX-XX-XX-XX:SSID”(MAC地址数字对,以负号+冒号分隔,再加SSID值)。
accounting - session - id - radius-eap-accounting=yes时添加。
account - multi - session - id -接入点和客户端的MAC地址,唯一的8字节值,为所有共享单个EAP认证的计费会话共享。编码为aa - aa - aa - aa - aa - aa - cc - cc - cc - cc - cc - cc - cc - xx - xx - xx - xx - xx - xx - xx - xx - xx - xx - xx - xx - xx - xx。当radius-eap-accounting=yes时添加。
接入点使用访问-接受服务器响应中的以下RADIUS属性:
Class -如果存在,则保存该属性的值并包含在Accounting-Request消息中。
Session-Timeout—客户端断开连接的时间。此外,接入点将记住身份验证结果,如果在此期间客户端重新连接,它将立即获得授权,而无需重复EAP身份验证。
account - interval—覆盖“interim-update”的值。
静态配置的WEP密钥
不同的算法需要不同的密钥长度:
40bit-wep - 10位十六进制数字(40位)。如果密钥较长,则只使用前40位。
104bit-wep - 26位十六进制数字(104位)。如果密钥较长,则只使用前104位。
tkip -至少64位十六进制数字(256位)。
aes-ccm -至少32位十六进制数字(128位)。
密钥必须包含偶数个十六进制数字。
WDS安全配置
WDS链接可以使用所有可用的安全特性。但是,它们需要仔细配置安全参数。
可以对所有客户机使用一个安全配置文件,而对WDS链接使用不同的安全配置文件。WDS链接的安全配置文件在 connect-list 中指定。接入点在与另一个接入点建立WDS链路之前总是检查连接列表,并使用匹配连接列表条目的安全设置。当每个接入点都有与其他设备匹配的连接列表条目,具有connect=yes并指定兼容的安全配置文件时,WDS链接将工作。
如果接入点使用带有mode=dynamic-keys的安全配置文件,那么将对所有WDS链接使用加密。由于WPA身份验证和密钥交换不是对称的,因此其中一个接入点将充当客户端,以建立安全连接。这类似于 static-mesh 和 dynamic-mesh WDS模式的工作方式。如果启用了WPA加密,就不可能出现一些问题,比如在两个使用非mesh模式的配置错误的接入点之间建立单边WDS链接。然而,使用WPA的非-mesh_模式仍然存在其他问题(比如在配置不匹配的情况下不断尝试重新连接),这些问题可以通过使用-mesh_ WDS模式来解决。
一般来说,建立WPA保护的WDS链路的两个接入点上的WPA属性必须匹配。这些属性是 authentication-types 、unicast-ciphers 、group-ciphers 。对于非mesh WDS模式,这些属性需要在两个设备上具有相同的值。在mesh WDS模式中,每个接入点必须作为客户端支持另一个接入点。
理论上,在WDS链路上使用RADIUS MAC认证和其他RADIUS服务是可能的。然而,只有一个接入点将与RADIUS服务器交互,另一个接入点将作为客户端。
在RouterOS中实现eap-tls EAP方法特别适合WDS链路加密。Tls-mode=no-certificates不需要额外的配置,并且提供非常强的加密。
分配给WDS链路的安全配置文件中的 mode 、static-sta-private-key 和 static-sta-private-algo 参数需要在使用WPA加密建立WDS链路的两个接入点上具有相同的值。
连接列表中的安全配置文件和接入点匹配
客户端使用 connect-list security-profile属性的值只匹配那些支持必要安全性的接入点。
mode=static-keys-required和mode=static-keys-optional只匹配接口security-profile中具有相同mode的接入点。
如果mode=dynamic-keys,则如果所有 认证类型 、unicast-ciphers 和 group-ciphers 包含至少一个由接入点发布的值,则连接列表项匹配。
虚接口
VirtualAP
可以使用无线菜单中的add命令创建虚拟接入点。必须指定虚拟接口所属的master-interface。如果“主接口”模式为“站”模式,则虚拟AP只有在“主接口”激活时才能工作。虚拟AP可以拥有自己的SSID和安全配置文件。
虚拟AP接口只有在主接口处于ap-bridge 、bridge 、station或wds-slave模式时才能工作。它只支持802.11协议,不支持Nv2。
这个特性对于为不同类型的用户分离访问非常有用。您可以分配不同的带宽级别和密码,并指示用户连接到特定的虚拟网络,它将显示为无线客户端不同的SSID或不同的设备。例如,在使用QuickSet配置来宾网络时,会在后台使用VirtualAP功能。
建立一个虚拟ap: /interface> wireless add mode=ap-bridge master-interface=wlan1 ssid=guests security-profile=guests (首先需要创建这样的安全配置文件)
备注:每个物理接口最多可以创建127个虚拟接口。不建议创建更多的30,因为性能会开始下降
虚拟客户端
注: 在wireless-rep或wireless-cm2包中从6.35开始
还可以创建虚拟客户端,并在同一个物理接口上同时拥有AP和Client。这允许只使用一个硬件卡进行中继器设置。配置过程与上述完全相同,但使用模式站:
建立一个新的虚拟客户端: /interface> wireless add mode=station master-interface=wlan1 ssid=where-to-connect security-profile=your-profile (首先需要创建这样的安全配置文件)
注: 虚拟接口将始终使用主接口无线频率。如果主接口启用了“自动”频率,它将使用主接口选择的无线频率。
Sub-menu: /interface wireless sniffer
无线嗅探器允许捕获帧,包括无线电报头,802.11报头和其他无线相关信息。
| 属性 | 说明 |
|---|---|
| channel-time (; Default: 200ms) | 嗅探每个通道需要多长时间。仅当multiple-channels=yes时使用 |
| file-limit (integer [10..4294967295];Default:10) | 以字节为单位的分配文件大小,将用于存储捕获的数据。如果指定了file-name,则适用。 |
| file-name (string;Default:) | 用于存储捕获数据的文件名。 |
| memory-limit (integer [10..4294967295];Default:10) | 以千字节为单位用于存储捕获数据的已分配内存缓冲区。 |
| multiple-channels (yes| no; Default: no) | 是嗅探多个通道还是单个通道。no 不意味着所有的通道设置来自/interface wireless, |
| yes 表示所有通道设置将从/interface wireless下的scan-list获取。 | |
| only-headers (yes| no; Default: no) | 如果设置为yes,则嗅探器将只捕获存储在帧报头中的信息。 |
| receive-errors (yes | no;Default:no) | 是否处理接收到的FCS判断错误的数据包。 |
| streaming-enabled (yes | no;Default:no) | 是否将捕获的数据流到指定的流服务器 |
| streaming-max-rate (integer [0 . . 4294967295] ;Default:0) | 每秒允许的最大数据包数。0 =无限 |
| stream -server (IPv4;Default:0.0.0.0) | 流媒体服务器IP地址。 |
当使用 multiple-channels=yes 时,使用命令 /interface wireless info scan-list 来验证 /interface wireless channels 下定义的 scan-list
数据包
Sub-menu: /interface wireless sniffer packet
子菜单显示捕获的数据包。
使用Scan命令可以查看扫描列表中定义的频率范围内可用的AP。使用scan命令禁止接口操作(在扫描过程中断开无线链路)。由于RouterOS v6.35 (wireless-rep)支持后台扫描,可以在无线接口操作过程中使用,而不需要断开无线链路。仅支持使用802.11无线协议进行后台扫描。
扫描工具将继续扫描AP,直到用户停止扫描过程。可以对扫描工具使用“轮询”设置,在特定时间扫描扫描列表项。在使用脚本运行扫描工具时非常有用。查询一轮扫描命令的示例:
/interface wireless scan wlan1 rounds=1
“save-file”选项允许执行脚本/计划扫描,并将结果保存在文件中以供将来分析。此外,该功能与round设置一起允许从远程无线客户端获取扫描结果-执行该命令将启动扫描工具,断开无线链路,通过扫描列表频率进行扫描并将结果保存到文件中,退出扫描并连接无线链路。例子:
/interface wireless scan wlan1 rounds=1 save-file=scan1
要使用后台无线扫描,应该设置’background=yes'。例子:
/interface wireless scan wlan1 background=yes
后台扫描功能在以下条件下工作:
启用无线接口
对于AP模式下的无线接口-当它在802.11协议模式下工作并且在固定信道上时(即-信道选择和初始雷达检查结束)
适用于“Station”模式下的无线接口—连接802.11协议AP时。
在虚拟无线接口上也支持扫描命令,但有以下限制:
当虚拟接口与其主接口固定在信道上(主AP正在运行或主站已连接到AP)时才有可能。
扫描只在通道主接口开启时进行。
如果后台=yes|no没关系- on虚拟接口扫描不会断开客户端/AP,所以它总是“后台”
该工具监视周围的频率使用情况,并显示占用每个频率的设备。它在控制台和Winbox中都可用。Snooper将使用扫描列表中的频率。
Sub-menu: /interface wireless snooper
设置
频谱扫描
参见单独的文档 Manual:Spectral_scan
WDS
Sub-menu: /interface wireless wds
属性
| 属性 | 说明 |
|---|---|
| arp (disabled | enabled| proxy-arp | reply-only; Default: enabled) | |
| comment (string; Default: ) | |
| disable-running-check (yes| no; Default: no) | |
| disabled (yes | no; Default: yes) | |
| l2mtu (integer [0..65536]; Default: ) | |
| master-interface (string; Default: ) | |
| mtu (integer [0..65536]; Default: 1500) | |
| name (string; Default: ) | |
| wds-address (MAC; Default: 00:00:00:00:00:00) |
只读属性
| 属性 | 说明 |
|---|---|
| dynamic (yes| no) | |
| mac-address (MAC) | |
| running (yes| no) |
WPS
无线接口支持WPS Server和WPS Client(从RouterOS v6.35开始,无线代表包支持)。
WPS服务器
WPS服务器允许将支持WPS的无线客户端连接到使用预共享密钥保护的AP,而无需在客户端配置中指定该密钥。
通过更改无线接口的“WPS模式”设置,可以启用WPS服务器。例子:
/interface wireless set wlan1 wps-mode=push-button
wps模式有3个选项
禁用
按钮- WPS是通过按板子上的物理按钮激活的(很少有板子在板子外壳/标签上有这样的按钮标记)
push-button-virtual-only -通过按下RouterOS无线接口菜单中的“WPS Accept”按钮激活WPS
通过按下WPS物理/虚拟按钮,AP启用WPS功能。如果在2分钟内没有启动WPS进程,则停止WPS接受功能。
WPS服务器在少数标记有物理WPS按钮的单板上默认启用。例如,幸福生活,幸福生活,幸福生活,幸福生活,幸福生活
只有无线AP接口开启了PSK (Pre-Shared Key Authentication)功能,WPS Server才会激活。也可以为Virtual AP接口配置此模式。
WPS客户端
WPS客户端功能允许无线客户端获取启用了WPS服务器的AP的预共享密钥配置。WPS Client可以通过以下命令启用:
/interface wireless wps-client wlan1
WPS Client命令将WPS启用AP的所有信息显示在屏幕上。例子:
[admin@MikroTik] /interface wireless> wps-client wlan1
status: disconnected, success
ssid: MikroTik
mac-address: E4:8D:8C:D6:E0:AC
passphrase: presharedkey
authentication: wpa2-psk
encryption: aes-ccm
可以为WPS-Client命令指定其他设置:
create-profile创建指定名称的无线安全配置文件,并配置从WPS AP接收的安全详细信息,指定无线接口使用新创建的安全配置文件
ssid只从指定ssid的AP获取WPS信息
mac-address只从指定mac地址的AP获取WPS信息
无线中继器将允许从AP接收信号,并在本地使用相同的物理接口重复信号,以连接其他客户端。这将允许为无线客户端扩展无线服务。无线中继器功能将无线接口配置为以站桥或站伪桥选项连接AP,创建虚拟AP接口,创建网桥接口,并将主接口和虚拟接口都添加到网桥端口。
如果AP支持按钮启用WPS模式,可以用自动设置命令:
/interface wireless setup-repeater wlan1
设置重复器执行以下步骤:
-按下按钮搜索WPS AP -从AP获取SSID、密钥、信道 -重置主接口配置(与reset-configuration相同) 删除所有添加到主接口上的虚拟接口的桥端口(这样以后就不会有无效的桥端口悬空了) -移除加入该master的所有虚拟接口 -创建名为“<interfacename>-<ssid>-repeater”的安全配置文件,如果这样的安全配置文件已经存在,则不创建新的,只是更新设置 -配置主接口,接口模式选择如下:如果AP支持网桥模式,则使用station-bridge;如果AP支持WDS模式,则使用station-wds,否则使用station-pseudobridge -创建与master接口具有相同SSID和安全配置文件的虚拟AP接口 如果主接口不在某个网桥上,则创建一个新的网桥接口,并将主接口加入其中 -将虚拟AP接口加入到主接口所在的桥中。
如果AP不支持WPS,则可以用以下参数手动指定设置:
address -要设置中继器的AP MAC地址(可选)
ssid -要设置中继器的AP的ssid(可选)
passphrase -用于AP的密钥-如果指定了这个,命令将扫描AP并根据信标中的信息和这个passphrase创建安全配置文件。如果没有指定,命令将执行WPS来查找密码短语。
站漫游
站点漫游功能仅适用于802.11无线协议,并且仅适用于站点模式。当RouterOS无线客户端通过802.11无线协议与AP连接时,它会按指定的时间间隔周期性地进行后台扫描。当后台扫描发现信号较好的AP时,它会尝试漫游到该AP。当无线信号变差时,后台扫描的时间间隔会变短,当无线客户端信号变好时,后台扫描的时间间隔会变长。
Sub-menu: /interface wireless
使用VLAN标记可以将以太网端的虚拟AP流量与“本地转发”AP(无线接口与以太网桥接的AP)分开。这是必要的。ap以太网端的“管理”和“访客”网络流量。
VLAN被分配给无线接口,因此所有来自无线的数据都被标记为这个标签,只有这个标签的数据才会通过无线发送出去。这适用于所有无线协议,除了Nv2上没有虚拟AP支持。
您可以配置RADIUS认证服务器,以便在用户或用户组向网络进行身份验证时将其分配到特定的VLAN。要使用此选项,需要 RADIUS attributes。
注意: 如果要使用此选项,必须在RouterOS 6.37版本之前启用wireless-fp或wireless-cm2包。从RouterOS v6.37开始,可以使用常规的无线包。
| 属性 | 说明 |
|---|---|
| vlan-mode (no tag | user service tag | use tag; Default: no tag) | VLAN模式有三种: - no-tag - AP不使用VLAN标签 - use-service-tag - VLAN ID使用802.1ad标签类型 - use-tag - VLAN ID使用802.1q标签类型 |
| vlan-id (integer [1..4095]; Default: 1) | VLAN标识号 |
Vlan标签重写
通过访问列表和RADIUS属性(对于常规无线控制器和无线控制器),可以在每个客户端基础上覆盖每个接口VLAN标签。
这样,即使在同一接口上,流量也可以在无线客户端之间分离,但必须谨慎使用-只有“接口VLAN”广播/多播流量将被发送出去。如果其他(覆盖的)VLAN也需要工作广播/组播,那么现在可以使用multicast-helper(这会将每个组播数据包更改为单播,然后仅将其发送到具有匹配VLAN id的客户端)。
Winbox 是一个小实用程序,可以用快速简单的GUI管理microtik RouterOS。
注: 当前Tx功率为您提供有关当前在特定数据速率下使用的传输功率的信息。目前不支持Atheros 802.11ac芯片(例如QCA98xx)。
有关交互配置文件的更多信息,请参阅 manual。
realms-raw -十六进制值的字符串列表。每个字符串指定“NAI Realm Tuple”的内容,不包括“NAI Realm Data Field Length”字段。
每个十六进制编码字符串必须包含以下字段:
- NAI Realm Encoding (1 byte)
- NAI Realm Length (1 byte)
- NAI Realm (variable)
- EAP Method Count (1 byte)
- EAP Method Tuples (variable)
例如,值“00045465737401020d00”解码为:
- NAI Realm Encoding: 0 (rfc4282)
- NAI Realm Length: 4
- NAI Realm: Test
- EAP Method Count: 1
- EAP Method Length: 2
- EAP Method Tuple: TLS, no EAP method parameters
注意,设置“realms-raw=00045465737401020d00”会产生与设置“realms=Test:eap-tls”相同的通告内容。
有关完整的NAI Realm编码,请参阅802.11-2016,第9.4.5.10节。