Wireless Access

Management

Certified Mikrotik Training Advance Wireless Class
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)

Training Outline
Access Management :
o Access List
o Connect List
o Centralized Access List Management:
o Radius Mac Authentication
VAP !

04-2 Mikrotik Indonesia http://www.mikrotik.co.id Sep 2, 2010

Access Management
o default-forwarding (on AP) – pilihan dimana
wireless client boleh berkomunikasi dengan client
yang lain secara langsung atau tidak. (bisa
dikonfigurasi lebih detail per client di access-list).
o default-authentication – kebijakan yang diambil
untuk wireless client atau wireless AP yang tidak
dikonfigurasi secara khusus di Access-list atau di
connect-list.
o Kedua opsi tersebut menjadi tidak berfungsi atau
diabaikan jika setting khusus terhadap sebuah
wireless client atau bisa juga wireless AP yang
dilakukan di access-list dan connect-list.

04-3 Mikrotik Indonesia http://www.mikrotik.co.id Sep 2, 2010

Access Management
o Sangat dimungkinkan untuk memasang
beberapa filter untuk mac-address yang
sama dan juga satu rule untuk semua mac-
address.
o Sebuah rule filter mac-adress bisa
diterapkan pada sebuah interface wireless
saja atau bisa juga untuk semua interface.
o Jika tidak ada rule yang sesuai maka akan
digunakan default policy (default
authentication & default forward) dari
wireless interface tersebut.

04-4 Mikrotik Indonesia http://www.mikrotik.co.id Sep 2, 2010

mikrotik. 2010 .co. Wireless Access/Connect Lists o Access List – adalah filter autentikasi sebuah AP (mode Access Point) terhadap client yang terkoneksi. o Rule autentikasi atau filter autentikasi dibaca secara terurut dari atas ke bawah seperti halnya sebuah filter firewall sampai request autentikasi mencapai kecocokan. 04-5 Mikrotik Indonesia http://www.id Sep 2. o Connect List – adalah filter autentikasi sebuah wireless client (mode Station) terhadap AP mana yang ingin terkoneksi.

o Mampu untuk membatasi autentikasi client berdasarkan ketentuan security tertentu. 04-6 Mikrotik Indonesia http://www. Wireless Access List o Mampu membatasi autentikasi client tertentu berdasarkan kekuatan signalnya (signal stregth).id Sep 2. 2010 .mikrotik. o Contoh: hanya memperbolehkan client bisa terkoneksi pada hari weekend saja. o Contoh: hanya memperbolehkan client dengan signal bagus yang boleh terkoneksi jika tidak maka client tidak bisa terkoneksi sama sekali.co. o Mampu untuk membatasi autentikasi client tertentu berdasarkan waktu yang sudah ditentukan. o Contoh: memperbolehkan client hanya bisa terkoneksi menggunakan WPA key tertentu.

Access List 04-7 Mikrotik Indonesia http://www. 2010 .id Sep 2.co.mikrotik.

o yes – akan mengautentikasi client dan akan dilanjutkan dengan meminta prosedur keamanan sesuai dengan parameter security-profile di interface. Autentication o authentication (yes or no) : o no – client tidak akan pernah terkoneksi.mikrotik.co. 04-8 Mikrotik Indonesia http://www. 2010 . o yes – client bisa mengirimkan frame data ke client lain yang terkoneksi ke AP yang sama. o forwarding (yes or no) : o no – client tidak akan bisa mengirimkan frame ke client yang lain walaupun masih terkoneksi dengan AP yang sama.id Sep 2.

mikrotik. Fungsi in hanya berjalan di sesama RouterOS 04-9 Mikrotik Indonesia http://www. Nilai 0 berarti tidak terlimit. o client-tx-limit (default : 0) : akan meminta client untuk membatasi kecepatan transmisinya.id Sep 2. Nilai 0 berarti tidak terlimit.co. Limit o ap-tx-limit (default : 0) : limit kecepatan data dari ap ke client. 2010 .

mikrotik. o Nilai default All berarti rule ini akan digunakan di semua interface di router. o interface (default: all) : adalah parameter untuk menetukan interface mana yang akan menggunakan filter tersebut. Mac-address & Interface o mac-address (default: 00:00:00:00:00:00) : Adalah parameter Untuk memasang filter terhadap client yang menggunakan mac-address tertentu. 2010 .id Sep 2. o Nilai default yaitu 00:00:00:00:00:00 melambangkan semua mac- address. 04-10 Mikrotik Indonesia http://www.co.

10.10.10.10.10. [LAB-1] Access List Mac filter WLAN1 10Mbps/10Mbps • Gunakan filter Mac- 10.2/24 menetukan client yang terkoneksi. Wireless Notebook 10.10. • Aktifkan rate limit AP Station berbeda untuk tiap client.X+100/24 MEJA 1 04-11 Mikrotik Indonesia http://www.X+100/24 2Mbps X MEJA 2 Wireless Notebook 10.10.id Sep 2. 2010 .1/24 WLAN1 address untuk 10.mikrotik.co.10.

default : -120.mikrotik. 2010 .120) : adalah paremeter untuk membatasi client yang terkoneksi dengan kekuatan signal tertentu..id Sep 2. o Client hanya bisa terkoneksi jika signal strength yang didapatkannya masuk dalam range yang sudah ditentukan..120..NUM – kedua parameter NUM adalah range antara -120.co. Range Signal o signal-range (NUM. 04-12 Mikrotik Indonesia http://www. Jika signal mengalami perubahan dan tidak masuk dalam range maka client akan diputus koneksinya.

tue.id Sep 2.wed.sat - TIME adalah interval waktu 0.mon..sun.fri. Time o time (TIME- TIME.co.thu.86400 seconds) : Rule ini akan dijalankan sesuai dengan waktu dan hari yang sudah ditentukan. 04-13 Mikrotik Indonesia http://www. 2010 .mikrotik.

10.mikrotik.id Sep 2.10.10.X+100/24 *ubah clock pada router untuk test pada seting time MEJA 1 *ubah tx power supaya mempengaruhi signal 04-14 Mikrotik Indonesia http://www.10. 2010 .1/24 WLAN1 untuk menetukan 10.co.10.2/24 client yang terkoneksi • Tentukan waktu -20 koneksi yang berbeda AP Station untuk tiap client Wireless Notebook -40 10.X+100/24 -55 MEJA 2 Wireless Notebook 10. [LAB-2] Access List Signal filter WLAN1 • Gunakan filter Signal 10.10.10.10.

40bit-wep. o private-key : kunci enkripsi WEP o private-pre-shared-key : digunakan untuk metode kamanan WPA PSK. aes-ccm or tkip) : algoritma enkripsi WEP.mikrotik. 04-15 Mikrotik Indonesia http://www. Security Policy o private-algo (none. 2010 .id Sep 2. 104bit-wep.co.

04-16 Mikrotik Indonesia http://www. Wireless Connect List o Connect-list – digunakan untuk memberikan prioritas dan mengimplementasikan beberapa parameter keamanan pada sebuah wireless interface client yang akan terkoneksi pada sebuah AP. o Klasifikasi filtering pada Rule connect-list bisa berupa MAC-address dari AP. Connect-list juga berbentuk kumpulan beberapa rule yang akan dibaca terurut dari atas ke bawah.co. setiap rule connect-list hanya bisa diimplementasikan pada interface wireless yang spesifik. 2010 . signal strength dan beberapa parameter lain.id Sep 2. o Hampir sama dengan access-list.mikrotik. Tetapi tidak seperti access- list.

no – tidak terkoneksi ke AP yang sesuai dengna rule 04-17 Mikrotik Indonesia http://www. Connect List connect (yes or no) : yes – terkoneksi ke AP yang sesuai dengan rule.co.id Sep 2. 2010 .mikrotik.

Connect List - Operation o Rule Connect-list akan dibaca terurut dari atas ke bawah. 2010 . maka kebijakan default yang akan digunakan (default authentication). o Jika tidak terdapat rule yang cocok pada sebuah access point. o Jika ada beberapa rule connect-list yang memiliki klasifikasi yang sesuai (mac-address.mikrotik.id Sep 2. o Rule yang tidak aktif akan diabaikan.co.signal- strength) maka rule yang digunakan adalah rule paling awal. 04-18 Mikrotik Indonesia http://www.

Connect List – Operation (2) o Jika terdapat rule yang cocok pada sebuah access point dan terdapat parameter connect=no maka koneksi ke AP tersebut tidak akan dilakukan. 2010 . 04-19 Mikrotik Indonesia http://www.id Sep 2.mikrotik. Jika tidak ada rule yang cocok pada connect-list maka interface akan menggunakan kebijakan default (default authentication) sebagai parameter penentu pembuatan link WDS. rule connect list akan dipertimbangkan terlebih dahulu sebelum membuat link WDS ke perangkat AP lain.co. o Jika terdapat rule yang cocok pada sebuah access point dan terdapat parameter connect=yes maka koneksi ke AP tersebut akan dilakukan. o Pada mode access point.

Connect List – Mac address o interface – nama interface untuk rule yang akan dibuat.co. o mac-address (default : 00:00:00:00:00:00) : untuk menentukan mac-address dari AP. 2010 . hanya bisa menggunakan satu interface untuk tiap rule.mikrotik.id Sep 2. Nilai default 00:00:00:00:00:00 berarti semua mac-address. 04-20 Mikrotik Indonesia http://www.

atau jika pada mode Access Point dan parameter wds-ignore-ssid=yes 04-21 Mikrotik Indonesia http://www.mikrotik. 2010 .co. Hanya bisa digunakan di perangkat Mikrotik. o Parameter ini hanya berfungsi jika mode station diaktifkan di interface dan parameter ssid di interface tersebut kosong. Connect List – SSID o area-prefix (text) : parameter klasifikasi untuk menentukan nilai area dari sebuah AP. o ssid (text) : parameter klasifikasi untuk menetukan SSID dari AP yang ingin dikoneksikan.id Sep 2. jika dikosongkan berarti semua ssid.

2010 .id Sep 2.mikrotik.10.10. [LAB-3] Connect List AP Filter WLAN1 • Gunakan filter Mac-address untuk 10.2/24 menetukan AP yang ingin dikoneksikan • Gunakan filter area untuk Area1 menetukan AP mana yang ingin Station dikoneksikan Area ? Area 1 AP WLAN1 10.co.10.10.1/24 *coba koneksikan ke AP yang lain AP dengan area yang berbeda 04-22 Mikrotik Indonesia http://www.

mikrotik.id Sep 2.co. Connect List – Area Filter o Filter berikut akan memberikan perintah ke wireless client untuk terkoneksi ke AP manapun dengan ssid apapun yang masuk di “area1” 04-23 Mikrotik Indonesia http://www. 2010 .

04-24 Mikrotik Indonesia http://www. default : -120. Jika signal mengalami perubahan dan tidak masuk dalam range maka koneksi ke AP akan diputus.co.id Sep 2. Connect List – Signal Filter o signal-range (NUM.mikrotik. 2010 .120...NUM – kedua parameter NUM adalah range antara -120. o AP hanya bisa terkoneksi jika signal strength yang didapatkannya masuk dalam range yang sudah ditentukan..120) : adalah paremeter untuk membatasi koneksi ke sebuah AP dengan kekuatan signal tertentu.

04-25 Mikrotik Indonesia http://www. Connect List – Security Profile o security-profile (nama security-profile. 2010 . o Untuk interface yang mengaktifkan mode AP tidak akan menggunakan parameter ini.mikrotik. or none) : adalah nama security profile yang akan digunakan untuk terkoneksi ke sebuah AP. Jika nilai “none” digunakan mala kebijakan security yang digunakan adalah kebijakan keamanan yang terpasang di interface.co.id Sep 2.

co.10.id Sep 2.mikrotik. 2010 .10.2/24 menetukan AP yang ingin dikoneksikan Station -21 -35 AP WLAN1 10. [LAB-4] Connect List Signal Filter WLAN1 • Gunakan filter signal untuk 10.10.1/24 *ubah parameter tx-power untuk AP mempengaruhi signal 04-26 Mikrotik Indonesia http://www.10.

id Sep 2. Signal Filter o Rule berikut akan memerintahkan wireless interface yang : o Menggunakan mode client o Terkoneksi ke AP mana saja o Dengan ssid apapun o Tetapi hanya di AP yang memiliki signal strength minimal -10db 04-27 Mikrotik Indonesia http://www.mikrotik. 2010 .co.

RADIUS MAC Authentication Wireless Mikrotik sudah support untuk melakukan autentikasi mac-address yang tersentralisasi dengan menggunakan bantuan RADIUS server. Termasuk fungsi accounting juga sudah bisa dilakukan untuk memonitor seberapa besar traffic dari client tersebut. MAC mode – parameter mac-address akan menjadi username saja atau menjadi username dan password di Radius.id Sep 2.mikrotik.co. 04-28 Mikrotik Indonesia http://www. Sudah mampu juga untuk menggunakan fitur “Radius Incoming” yang mampu melakukan pemutusan akses client langsung dari Radius server. 2010 .

id Sep 2.mikrotik.co. Radius Mac Authentication 04-29 Mikrotik Indonesia http://www. 2010 .

co. 2010 . VAP – Virtual Access Point o "Virtual Access Point" adalah sebuah entitas logis yang diciptakan dari interface fisik Access Point (AP). meskipun hanya ada satu interface fisik. maka setiap AP Virtual menjadi sebuah AP virtual yang independen.id Sep 2. o Ketika sebuah AP secara fisik mendukung beberapa "Virtual AP".mikrotik. 04-30 Mikrotik Indonesia http://www.

o Keuntungan menggunakan VAP meliputi: o Channel Conservation – karena adanya regulasi pada setiap negara dan standard komunikasi tertentu yang ada di area yang pentig (ex: bandara). VAP Benefit o Virtual AP memungkinkan penyedia jaringan untuk menawarkan beberapa layanan yang berbeda. 2010 . serta memungkinkan untuk beberapa penyedia jaringan untuk berbagi infrastruktur fisik yang sama. 04-31 Mikrotik Indonesia http://www. maka penggunaan channel menjadi sangat terbatas.co. Dengan menggunakan VAP beberapa provider bisa berbagi infrastruktur tanpa melanggar regulasi yang ada.id Sep 2.mikrotik.

Dalam rangka memberikan hasil yang lebih baik pada biaya instalasi dan pemeliharaan infrastruktur nirkabel. VAP Benefit (2) o Capital expenditure reduction – tuntutan service yang memadai untuk menunjang perkembangan ekonomi.co. adalah lebih hemat untuk membangun infrastruktur dan berbagi di antara beberapa penyedia. 2010 .mikrotik.id Sep 2. daripada untuk membangun infrastruktur yang tumpang tindih 04-32 Mikrotik Indonesia http://www. menyebabkan perlunya efisiensi dalam mengembangkan infrastruktur.

id Sep 2.co. 2010 .mikrotik. VAP Interface 04-33 Mikrotik Indonesia http://www.

mikrotik. Bisa disamakan seperti operasional VLAN tetapi menggunakan media Wireless.id Sep 2. o Secara teoritis mikrotik mampu untuk menciptakan 128 VAP di setiap interface fisiknya . o RouterOS mikrotik support VAP pada wireless interface berchipset Atheros AR5212 sampai chipset terbaru saat ini.co. 04-34 Mikrotik Indonesia http://www. Mikrotik VAP o Virtual Access Point (VAP) interface digunakan untuk membuat sebuah AP Logis yang memiliki SSID dan Mac-address yang berbeda. 2010 .

co. VAP .Configuration o ssid (default: MikroTik) – identitas dari wireless network yang akan terdistribusikan oleh VAP o master-interface (name) – interface fisik yang akan digunakan oleh VAP o security-profile (default: default) – security profile yang akan digunakan untuk memberikan parameter security pada jaringan wireless VAP. 2010 .id Sep 2. 04-35 Mikrotik Indonesia http://www.mikrotik.

2010 . Hanya bekerja jika client sama-sama menggunakan mikrotik. – 0 – berarti tanpa limit 04-36 Mikrotik Indonesia http://www. default: 0) – adalah limit traffic rate untuk pengiriman data dari AP ke tiap client (bps).mikrotik.Limit • default-ap-tx-limit (integer. VAP . – 0 – berarti tanpa limit • default-client-tx-limit (integer.id Sep 2.co. default: 0) – adalah limit traffic rate untuk pengiriman data dari tiap client ke AP (bps).

04-37 Mikrotik Indonesia http://www. o default-forwarding (default value: yes) : o Adalah parameter yang digunakan untuk forwarding traffic dari client ke client yang lain dalam AP yang sama.Authentication o default-authentication (default value: yes) : o Jika digunakan mode AP maka semua client yang tidak dibatasi di access-list akan diautentikasi dan bisa terkoneksi. 2010 . Bisa dibatasi lebih spesifik per clientnya di access-list. o Jika digunakan di mode station maka wireless bisa terkoneksi ke AP manapun yang tidak dibatasi di connect-list.id Sep 2.co.mikrotik. VAP .

WLAN1 10.1/24 berbeda untuk tiap client.10.X+100/24 MEJA 1 04-38 Mikrotik Indonesia http://www.2/24 • Tambah ip address untuk tiap VAP interface. [LAB-5] VAP Lab • Buat VAP dan SSID yang WLAN1 10.X+100/24 VAP3 MEJA 2 Wireless Notebook 10.10.10. • Routing akan dilakukan VAP1 Station untuk menghubungkan client AP dari setiap VAP.mikrotik.10.co. VAP2 Wireless Notebook 10.10.10.id Sep 2.10. 2010 .10.

mikrotik.id Sep 2.co. 2010 . VAP – Advanced Menu 04-39 Mikrotik Indonesia http://www.

co. 2010 . VAP – Advanced Config o area (default: "") – adalah parameter area yang digunakan untuk grouping dari VAP tersebut. o max-station-count (integer. default: 2007) – jumlah client (secara teoritis) yang bisa terkoneksi ke VAP dalam waktu bersamaan.id Sep 2.mikrotik. 04-40 Mikrotik Indonesia http://www. Parameter ini juga akan berpengaruh di connect- list jika terdapat filter berdasarkan area.

25 – Metode ini adalah metode standard yang comaptible dengan sebagian besar card yang beredar di pasaran dan juga card keluaran baru. o proprietary-extensions (default value: post- 2.25) : RouterOS memiliki metode tertentu untuk melakukan management pengiriman frame data.co.id Sep 2.9. 04-41 Mikrotik Indonesia http://www. 2010 .9.mikrotik.9. o pre-2. VAP – Advanced Config o wmm-support (disabled | enabled | required) – option untuk mengaktifkan WMM pada VAP.25 – Metode ini compatible dengan RouterOS versi baru tetapi tidak compatible dengan beberapa vendor client contohnya seperti vendor Centrino o post-2.

X+100/24 VAP3 5 Mbps 2 Mbps MEJA 2 Wireless Notebook 10. [LAB-6] VAP Limit Lab WLAN1 10 Mbps/10 Mbps • Limit traffic untuk 10. 2010 .10.10.mikrotik.10.2/24 tiap VAP VAP1 AP Station VAP2 Wireless Notebook 10.10.id Sep 2.co.10.1/24 WLAN1 10.10.10.X+100/24 MEJA 1 04-42 Mikrotik Indonesia http://www.10.

Related Interests