无线接口

---

概述

包:无线

l雷竞技RouterOS无线符合IEEE 802.11标准，它提供了对802.11a、802.11b、802.11g、802.11n和802.11ac的完整支持，以及其他附加功能，如WPA、WEP、AES加密、无线分布系统(WDS)、动态频率选择(DFS)、虚拟接入点、Nstreme和NV2专有协议等。无线功能不同无线协议的兼容性表。

无线可以在几种模式下运行:客户端(站)、接入点、无线网桥等。客户端/工作站也可以在不同的模式下运行，可以找到支持模式的完整列表在这里．

一般接口属性

子菜单:/接口的无线

802.11n无线芯片组代表每链功率和802.11ac

无线芯片组表示总功率，参考下表:在802.11n和802.11ac上的发射功率表示

基本和MCS速率表

使用的设置税率=配置

独立于设定：

1. 允许的MCS取决于链的数量:
   • 1链:0-7
   • 2链:0-15
   • 3个链条:0-23
2. 如果标准通道宽度(20Mhz)不使用，那么2ghz模式(除了2.4ghz-b)不使用b速率(1-11)

框架保护支持(RTS/CTS)

802.11标准提供了利用RTS/CTS协议保护传输不受其他设备传输影响的手段。帧保护有助于解决“隐藏节点”问题。有几种类型的保护:

• 基于RTS/CTS的保护——愿意发送帧的设备首先发送RequestToSend帧，然后等待来自预定目的地的ClearToSend帧。通过“看到”RTS或CTS帧802.11兼容设备知道有人要传输，因此不会自己发起传输
• 基于“CTS到自己”的保护——设备愿意发送帧将CTS帧“发送到自己”。在RTS/CTS协议中，每个符合802.11标准的设备接收到这个帧知道不传输。基于“CTS到自我”的保护有更少的开销，但它必须考虑到，这只保护设备接收CTS帧(例如，如果有2个“隐藏”站，使用“CTS到自我”的保护是没有用的，因为他们将无法接收到其他站发送的CTS -在这种情况下，站必须使用RTS/CTS，以便其他站通过看到AP发送的CTS知道不传输)。

保护模式由hw-protection-mode无线接口设置。可能的值:没有一个-对于无保护(默认)，rts-cts基于RTS/CTS的保护或cts-to-self基于“CTS到自我”的保护。

帧大小的阈值，保护应该被控制hw-protection-threshold无线接口设置。

例如，要启用基于“CTS-to-self”的AP帧保护，不依赖于大小，使用命令:

[admin@雷竞技网站MikroTik] /interface wireless> set 0 hw-protection-mode=cts-to-self hw-protection-threshold=0

启用基于RTS/CTS的客户端保护使用命令。

[admin@雷竞技网站MikroTik] /interface wireless> set 0 hw-protection-mode=rt -cts hw-protection-threshold=0

Nv2

雷竞技网站MikroTik开发了一种基于TDMA技术(时分多址)- (Nstreme版本2)的新的无线协议。NV2

TDMA是一种共享介质网络的信道访问方法。它允许几个用户通过将信号划分到不同的时隙来共享相同的频率通道。用户一个接一个地快速连续传输，每个用户都使用自己的时隙。这允许多个站共享相同的传输介质(例如射频信道)，而只使用其部分信道容量。

Nv2最重要的好处是:

• 增加的速度
• PTM环境中的更多客户端连接
• 更低的延迟
• 没有距离限制
• 长距离不扣分

Nv2协议限制为511个客户端。

警告:Nv2不支持Virtual AP

Nv2故障排除

增加长途吞吐量tdma-period-size．在每个“时间段”中，接入点会留出一部分时间用于数据传输(等于往返时间-帧可以从客户端发送和接收的时间)，用来确保客户端可以从接入点接收到最后一帧，然后再向它发送自己的包。距离越长，未使用的周期越长。

例如，接入点和客户端之间的距离是30km。帧在100us单向发送，分别往返时间为~200us。tdma-period-size默认值为2ms，表示10%的时间未使用。当tdma-period-size增加到4ms时，只有5%的时间未使用。对于60km无线链路，往返时间为400ms，缺省tdma-period-size 2ms未使用时间为20%，4ms为10%。tdma-period-size值越大，链路的延迟时间越长。

访问列表

子菜单:/接口无线访问列表

访问列表是接入点用来限制来自其他设备的连接，并控制连接参数。

逐个处理访问列表规则，直到找到匹配的规则。然后执行匹配规则中的动作。如果action指定应该接受客户机，则接受客户机，可能会用访问列表规则中指定的参数覆盖它的默认连接参数。

访问列表规则有以下参数:

• 客户端匹配参数:
  • address -客户端的MAC地址
  • 接口——可选接口，与客户端实际连接的接口进行比较
  • 时间——一天中的时间和规则匹配的天数
  • 信号范围-客户端信号必须符合规则匹配的范围
  • 允许信号超出范围-选项允许客户端信号总是或在一段时间间隔内超出范围
• 连接参数:
  • Ap-tx-limit -发送到客户端的速度限制
  • client-tx-limit -发送到AP方向的速度限制(仅适用于RouterOS客户端)l雷竞技
  • private-passphrase—如果使用某种PSK认证算法，则为此客户机使用的PSK口令
  • VLAN -mode - VLAN标记模式指定来自客户端的流量是否被标记(当进入客户端时不被标记)。
  • VLAN - ID -做VLAN标记时使用的VLAN ID

操作:

• 按顺序检查访问列表规则。
• 禁用的规则总是被忽略。
• 只应用第一个匹配规则。
• 如果远程连接没有匹配规则，则使用无线接口配置中的缺省值。
• 如果远端设备被已匹配的规则匹配身份验证＝没有值，则拒绝来自该远程设备的连接。

警告:如果客户端连接到AP(无线，调试wlan2: A0:0B:BA:D7:4D:B2 not in local ACL，默认accept)，则在所有连接时间内忽略该客户端的ACL。

例如，如果连接期间客户端的信号是-41，我们有ACL规则

/interface/wireless/access-list add authentication=yes forwarding=yes interface=wlan2 signal-range=-55..0

然后将连接匹配到ACL规则，但如果信号低于-55，则不会断开客户端。

请注意，如果在无线接口上设置“default-authentication=yes”，即使没有匹配的访问列表表项，客户端也可以加入。
要使其正确工作，需要客户端与任何ACL规则匹配。

如果我们在前面的例子中修改ACL规则为:

/interface/wireless/access-list add interface=wlan2 signal-range=-55..0添加身份验证＝没有转发＝没有接口＝wlan2 signal-range=-120..-56

然后，如果信号下降到-56，客户端将断开。

属性

对齐

子菜单:/接口无线对齐

对齐工具用于帮助对齐运行该工具的设备。

菜单特定命令

连接列表

子菜单:/接口无线连接列表

Connect-list用于为与远程接入点的连接分配优先级和安全设置，并限制允许的连接。Connect-list是规则的有序列表。连接列表中的每个规则都附加到特定的无线接口接口该规则的属性(这与访问列表，其中规则可以应用于所有接口)。规则可以匹配远程接入点的MAC地址，它的信号强度和许多其他参数。

操作:

• 连接列表规则总是按顺序进行检查，从第一个开始。
• 禁用的规则总是被忽略。
• 只应用第一个匹配规则。
• 如果在无线接口配置连接列表中提供了SSID或确切的无线协议，则忽略未被无线接口配置覆盖的SSID或无线协议。
• 如果connect-list没有任何与远程接入点匹配的规则，则使用无线接口配置中的缺省值。
• 如果接入点被匹配的规则连接＝没有值，将不尝试与该接入点连接。
• 如果接入点被匹配的规则连接＝是的值，将尝试与该接入点连接。
  • 在站模式下，如果连接列表规则与多个远程接入点相匹配连接＝是的值，连接将通过连接列表中较高的规则匹配的接入点进行尝试。
  • 如果没有连接列表规则匹配的远程接入点连接＝是的价值，则价值缺省身份验证接口属性确定车站是否试图连接到任何接入点。如果缺省身份验证＝是的，车站将选择信号最好和安全兼容的接入点。
• 在接入点模式下，在与远端设备建立WDS链路之前先检查connect-list。如果接入点没有被连接列表中的任何规则匹配，则缺省身份验证决定是否会建立WDS连接。

属性

使用

仅将站点连接限制到特定的接入点

• 的设置值缺省身份验证接口属性到没有．

/interface wireless set station-wlan default-authentication=no . /

• 创建与允许的访问点匹配的规则。这些规则必须连接＝是的而且接口等于电台无线接口的名称。

/interface wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22 33:00:01/interface wireless connect-list add interface=station-wlan connect=yes mac-address=00:11:22 33:00:02

禁止连接到特定接入点

• 的设置值缺省身份验证接口属性到是的．

/interface wireless set station-wlan default-authentication=yes

• 创建连接＝没有与该站不应连接的接入点相匹配的规则。这些规则必须连接＝没有而且接口等于电台无线接口的名称。

/interface wireless connect-list add interface=station-wlan connect=no mac-address=00:11:22:33:44:55

选择首选接入点

• 创建匹配首选访问点的规则。这些规则必须连接＝是的而且接口等于电台无线接口的名称。
• 将匹配首选访问点的规则按优先级顺序放在连接列表中较高的位置。

限制WDS链路的建立

• 将匹配允许访问点的规则放在顶部。
• 在连接列表的末尾添加拒绝所有规则。

信息

子菜单:/接口无线信息

手动TX功率表

子菜单:/接口无线manual-tx-power-table

无线硬件表雷竞技官网网站下载

警告:你必须遵守你所在国家的监管领域的要求。如果允许使用其他频率，请注意天线增益和发射功率可能会根据单板和频率而降低。设备仅按规定频率校准，使用非标准频率风险自负。该列表只指定了无线芯片可接受的频率，由于内置在产品中的天线、设备设计、过滤器和其他因素，这些频率可能并不总是有效。严格使用，风险自负

集成无线接口频率表

注:

1. —仅支持802.11a/n标准

概述

高级通道功能提供了无线接口配置的扩展机会:

• 扫描列表，覆盖多个波段和信道宽度;
• 非标准通道中心频率(指定KHz粒度)的硬件允许;雷竞技官网网站下载
• 非标准通道宽度(指定的KHz粒度)的硬件允许。雷竞技官网网站下载

雷竞技官网网站下载硬件支持

非标准中心频率和宽度通道只能与支持它的接口一起使用。

目前只有Atheros AR92xx基于芯片的非标准中心频率和宽度支持以下范围:

• 中心频率范围:2200MHz-2500MHz带步进0.5MHz (500KHz)，宽度范围:2.5MHz-30MHz宽步进0.5MHz (500KHz);
• 中心频率范围:4800MHz-6100MHz带步进0.5MHz (500KHz)，宽度范围:2.5MHz-30MHz宽步进0.5MHz (500KHz);

AR93xx不支持此功能

配置高级通道

配置高级通道接口无线通道菜单。此菜单包含用户定义通道的有序列表，可以按方式分组列表财产。通道具有以下属性:

• 的名字-引用该通道的名称。如果的名字在添加信道时不指定，它会根据信道频率和宽度自动生成;
• 列表-该通道所属列表的名称。列表可用于对通道进行分组;
• 频率-以MHz为单位的通道中心频率，允许指定小数MHz部分，例如:5181.5；
• 宽度-以MHz为单位的通道宽度，允许指定小数MHz部分，例如14.5；
• 乐队-在使用该通道时定义默认的数据速率集;
• extension-channel-指定11n扩展通道的位置。

使用高级通道

为了在无线接口配置中使用高级通道，一些接口设置接受通道名称或列表名称作为参数。可以将接口配置为接口不支持的通道。在这种情况下，接口将无法运行。以正确的方式配置通道是管理员的责任。

频率

为无线接口使用特定的高级通道(适用于使用接口的模式)频率设置)在接口中指定通道名称频率设置。例如，配置接口以中心频率5500MHz和通道宽度14MHz为工作频率，使用以下命令:

[admin@雷竞技网站MikroTik] /interface wireless> channels add name=MYCHAN frequency=5500 width=14 band=5ghz-onlyn list=MYLIST [admin@MikroTik] /interface wireless> set wlan1 frequency=MYCHAN

scan-list

接口scan-list在多种模式中使用，这些模式要么为通道列表收集信息(如交互式扫描命令)或选择要处理的通道(如站模式或执行DFS的AP模式)。接口scan-list可配置以下项目的逗号分隔列表:

• 默认的-默认的。11频道列表为给定的国家和接口频带和频道宽度;
• 数字频率范围，以MHz为单位;
• 高级通道，按名称命名;
• 高级通道列表，由列表名称引用。

例如，配置接口扫描5180MHz, 5200MHz和5220MHz，首先使用通道宽度20MHz，然后使用通道宽度10MHz，可以发出以下命令:

[admin@雷竞技网站MikroTik] /interface无线>通道add frequency=5180 width=20 band=5ghz-a list=20MHz-list [admin@MikroTik] /interface无线>通道add frequency=5200 width=20 band=5ghz-a list=20MHz-list [admin@MikroTik] /interface无线>通道add frequency=5220 width=20 band=5ghz-a list=20MHz-list [admin@MikroTik] /interface无线>通道add frequency=5200 width=10 band=5ghz-a list=10MHz-list [admin@MikroTik] /interface无线>通道add frequency=5200 width=10 band=5ghz-a list=20MHz-listlist=10MHz-list [admin@雷竞技网站MikroTik] /interface wireless> channels add frequency=5220 width=10 band=5ghz-a list=10MHz-list [admin@MikroTik] /interface wireless> set wlan1 scan-list=20MHz-list,10MHz-list

Nstreme

子菜单:/接口无线nstreme

这个菜单允许将无线卡切换到nstreme模式。在这种情况下，该卡将只与nstreme客户端工作。

注意:这里的设置(除了启用nstreme)只与接入点相关，对于客户端设备它们被忽略!客户端自动适应AP的设置。
Nstreme协议的WDS要求在其中一个对等体上使用station-wds模式。在AP模式(网桥和AP -网桥)之间使用WDS的配置将不起作用。

Nstreme双

子菜单:/接口无线nstreme-dual

两个处于nstreme-双从模式的无线电可以组合在一起形成nstreme2点对点连接。要将无线接口放入nstreme2组中，需要将其模式设置为nstreme-dual-slave。使用nstreme2， /interface无线菜单中的许多参数被忽略，除了:

• 频率模式
• 国家
• 天线增益
• 发射功率
• tx-power-mode
• antenna-mode

警告:WDS不能在Nstreme-dual链路上使用。

注意:tx-freq和rx-freq之间的差异应该在200MHz左右(建议更多)，因为可能会发生干扰!

注意:您可以为rx和tx链接使用不同的频带。例如，以2ghz-g传输，使用2ghz-b波段接收数据。

注册表

子菜单:/接口无线注册表

在注册表中，您可以看到关于当前连接的客户机的各种信息。它仅用于访问点。

所有属性都是只读的。

安全性配置文件

子菜单:/接口无线安全配置文件

的下配置安全配置文件/接口无线安全配置文件路径，或在WinBox的“无线”窗口的“安全配置文件”选项卡中。安全配置文件由无线接口引用安全性配置文件财产和安全性配置文件属性的连接列表。

基本性质

水渍险属性

这些属性只在模式设置为dynamic-keys．

注意:l雷竞技RouterOS还允许覆盖特定客户端的预共享键值，使用private-pre-shared-key财产，或雷竞技网站Mikrotik-Wireless-Psk属性。这是分机。

WPA EAP属性

这些属性只在身份验证类型包含wpa-eap或wpa2-eap,模式设置为dynamic-keys．

注意:中允许的身份验证方法的顺序eap-methods是很重要的，同样的订单将被用来发送认证方法报价到站。例如:Access Point使用security-profileeap-methods设置为eap-tls，透传；1)接入点向客户端提供EAP-TLS方法;2)客户拒绝;3)接入点开始中继EAP通信到radius服务器。

注意:当AP用于直通时，不需要在AP上添加证书，AP设备作为透明网桥，将RADIUS服务器上的EAP-TLS关联数据转发到终端客户端。

注意:当tls-mode都在使用验证证书或dont-verify-certificate，那么远程设备必须支持其中一个RC4-MD5，RC4-SHA或DES-CBC3-SHATLS加密套件。当使用no-certificates模式，则远端设备必须支持“ADH-DES-CBC3-SHA”加密套件。

半径属性

WEP属性

这些属性只在模式设置为static-keys-required或static-keys-optional．

管理框架保护

用于:防去认证攻击、MAC地址克隆问题。

l雷竞技RouterOS实现了基于共享秘密的私有管理帧保护算法。管理帧保护是指RouterOS无线设备能够验证管理帧的来源，并确认该帧不是恶意l雷竞技的。该特性可以抵御基于RouterOS的无线设备的去认证和解关联攻击。l雷竞技

在security-profile with中配置管理保护模式management-protection设置。取值包括:禁用-禁用管理保护(默认)，允许-如果远程方支持使用管理保护(对于AP -允许两者，非管理保护和管理保护客户端，对于客户端-连接两个具有和不具有管理保护的AP)，要求—只与支持管理保护的远端设备建立关联(对于AP—只接受支持管理保护的客户端，对于客户端—只连接支持管理保护的AP)。

管理保护共享秘密配置了security-profilemanagement-protection-key设置。

当接口处于AP模式时，缺省的管理保护密钥(在security-profile中配置)可以被access-list或RADIUS属性中指定的密钥覆盖。

[admin@雷竞技网站mikrotik] /interface wireless security-profiles> print 0 name="default" mode=none authentication-types="" unicast-ciphers=" group-ciphers="" wpa-pre-shared-key="" wpa2-pre-shared-key="" supplican -identity="n-str-p46" eap-methods=passthrough tls-mode=no-certificates tls-certificate=none static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static- send -key=key-0 static-key-3="" static- transmission -key=key-0 static-sta-private-algo=none .static-sta-private-key="" radius-mac-authentication=no radius-mac-accounting=no radius-eap-accounting=no interim-update=0s radius-mac-format=XX:XX:XX:XX:XX radius-mac-mode=as-username radius-mac-caching=disabled group-key-update=5mmanagement-protection =禁用management-protection-key = " "

[admin@雷竞技网站mikrotik] /interface wireless security-profiles> set default management-protection= allowed disabled required .

操作细节

RADIUS MAC认证

注意:RAIDUS MAC认证被接入点用于没有在访问列表，类似于缺省身份验证无线接口的属性。它控制是否允许客户端继续进行身份验证，还是立即拒绝客户端。

当radius-mac-authentication＝是的，通过发送具有以下属性的access - request来查询RADIUS服务器:

• User-Name -客户端MAC地址。方法指定的方式进行编码radius-mac-format设置。默认编码为“XX:XX:XX:XX:XX”。
• Nas-Port-Id -的名字无线接口。
• 用户密码-何时radius-mac-mode＝as-username-and-password这设置为与User-Name相同的值。否则，此属性为空。
• 主叫台号-客户端MAC地址，编码为“XX-XX-XX-XX-XX-XX”。
• call - station - id -接入点的MAC地址和SSID，编码为“XX-XX-XX-XX-XX-XX - xx:SSID”(减去分隔的MAC地址数字，后接冒号，后接SSID值)。
• Acct-Session-Id -何时添加radius-mac-accounting＝是的．

当接入点从RADIUS服务器接收到access - accept或access - reject响应时，它将存储该响应，并允许或拒绝客户端。接入点从Access- accept响应中使用以下RADIUS属性:

• Ascend-Data-Rate
• Ascend-Xmit-Rate
• 雷竞技网站mikrotik -无线转发-和访问列表转发．
• 雷竞技网站mikrotik - wireless - enco - algo -和访问列表private-algo．
• 雷竞技网站mikrotik -无线enco - key -和访问列表私有密匙．
• 雷竞技网站Mikrotik-Wireless-Psk -同访问列表private-pre-shared-key．
• 雷竞技网站Mikrotik-Wireless-Mpkey -与Access列表中的Management-protection-key相同
• 会话超时时间，客户端将断开连接。
• 的值中期财报．
• 类——如果存在，则保存此属性的值并包含在Accounting-Request消息中。

缓存

添加了RADIUS MAC认证的缓存，以支持需要从接入点非常快速地响应关联请求的客户机的RADIUS认证。此类客户端在收到RADIUS服务器的响应前超时。接入点将身份验证响应缓存一段时间，可以立即响应来自同一客户端的重复关联请求。

RADIUS EAP直通认证

当使用WPA EAP认证类型时，通过MAC认证的客户端需要进行EAP认证才能通过无线网络的数据传输授权。使用直通EAP方法，接入点将中继认证到RADIUS服务器，并在访问请求RADIUS消息中使用以下属性:

• User-Name—EAP申请人的身份。该值在supplicant-identity客户端安全配置文件的属性。
• Nas-Port-Id -的名字无线接口。
• 主叫台号-客户端MAC地址，编码为“XX-XX-XX-XX-XX-XX”。
• call - station - id -接入点的MAC地址和SSID，编码为“XX-XX-XX-XX-XX-XX - xx:SSID”(用负号后接冒号，再接SSID值分隔的MAC地址数字对)。
• Acct-Session-Id -何时添加radius-eap-accounting＝是的．
• Acct-Multi-Session-Id -接入点和客户端的MAC地址和唯一的8字节值，该值为所有共享单一EAP认证的计费会话共享。编码为AA-AA-AA-AA-AA-AA-CC-CC-CC-CC-CC-CC-XX-XX-XX-XX-XX-XX-XX-XX。当radius-eap-accounting=yes时添加。

接入点使用Access- accept服务器响应中的以下RADIUS属性:

• 类——如果存在，则保存此属性的值并包含在Accounting-Request消息中。
• 会话超时时间，客户端将断开连接。此外，接入点将记住认证结果，如果在此期间客户端重新连接，将立即授权，而无需重复EAP认证。
• 的值中期财报．

静态配置的WEP键

不同算法需要的密钥长度不同:

• 40 bit-wep- 10个十六进制数字(40位)。如果key较长，则只使用前40位。
• 104年bit-wep- 26位十六进制数字(104位)。如果key较长，则只使用前104位。
• tkip—至少64位16进制数字(256位)。
• aes-ccm—至少32位16进制数字(128位)。

密钥必须包含偶数个十六进制数字。

WDS安全配置

WDS链接可以使用所有可用的安全特性。但是，它们需要仔细配置安全参数。

可以对所有客户机使用一个安全配置文件，而对WDS链接使用不同的安全配置文件。中指定了WDS链路的安全配置文件connect-list．接入点在与另一个接入点建立WDS链接之前总是检查连接列表，并从匹配的连接列表条目中使用安全设置。当每个接入点都有与其他设备匹配的连接列表条目时，WDS链接将工作连接＝是的并指定兼容安全性配置文件．

WDS和WPA/WPA2

如果接入点使用安全配置文件模式＝dynamic-keys，则所有WDS链接将使用加密。由于WPA身份验证和密钥交换是不对称的，因此其中一个接入点将作为客户机来建立安全连接。这和how是类似的static-mesh而且dynamic-meshWDS模式有效。有些问题，如两个配置错误的接入点之间的单面WDS链接使用非网模式，如果启用了WPA加密，则不可能。然而,非网带有WPA的模式仍然有其他问题(如在配置不匹配的情况下不断重新连接尝试)，这些问题可以通过使用网改进模式。

通常，建立WPA保护的WDS链接的两个接入点上的WPA属性必须匹配。这些属性是身份验证类型，unicast-ciphers，group-ciphers．为非网WDS模式下，这些属性需要在两个设备上具有相同的值。在网WDS模式下每个接入点都必须支持另一个接入点作为客户端。

从理论上讲，在WDS链路上使用RADIUS MAC认证和其他RADIUS服务是可能的。但是，只有一个接入点将与RADIUS服务器交互，另一个接入点将作为客户端。

的实现eap-tlsRouterOS中的EAP方l雷竞技法特别适合于WDS链路加密。tls-mode＝no-certificates不需要额外的配置，并提供非常强的加密。

WDS和WEP

模式，static-sta-private-key而且static-sta-private-algo分配给WDS链接的安全配置文件中的参数需要在使用WPA加密建立WDS链接的两个接入点上具有相同的值。

连接列表中的安全配置文件和接入点匹配

客户端使用connect-list安全性配置文件属性只匹配那些支持必要安全性的访问点。

• 模式＝static-keys-required而且模式＝static-keys-optional只匹配相同的访问点模式在界面安全性配置文件．
• 如果模式＝dynamic-keys，则连接列表项匹配身份验证类型，unicast-ciphers而且group-ciphers包含由接入点发布的至少一个值。

虚拟接口

VirtualAP

方法可以创建虚拟接入点添加命令在无线菜单。您必须指定主接口虚拟接口将属于哪个。当“主接口”模式为“工作站”时，虚拟AP只有在“主接口”激活时才能工作。虚拟AP可以有自己的SSID和安全配置文件。

只有主接口在，虚拟AP接口才会工作ap-bridge，桥，站或者wds-slave模式。它只支持802.11协议，不支持Nv2协议。

该特性对于区分不同类型用户的访问非常有用。您可以分配不同的带宽级别和密码，并指示用户连接到特定的虚拟网络，它将显示为无线客户端不同的SSID或不同的设备。例如，当使用QuickSet配置客户网络时，在后台使用VirtualAP特性。

创建一个新的virtual-ap。/interface>无线添加模式=ap-bridge master-interface=wlan1 ssid=guests安全配置文件=guests（首先需要创建这样的安全配置文件）

备注:每个物理接口最多可以创建127个虚拟接口。不建议创建更多的30个，因为性能将开始下降。

虚拟客户

注意:从6.35开始，仅在无线-rep或无线-cm2包中

也可以创建虚拟客户端，让AP和客户端都在同一个物理接口上。这允许只使用一个硬件卡来设置中继器。雷竞技官网网站下载配置过程与上面完全相同，只是使用模式不同站：

创建一个新的虚拟客户端。/interface>无线添加模式=站长-接口=wlan1 ssid=where-to-connect security-profile=your-profile（首先需要创建这样的安全配置文件）

注意:虚拟接口将始终使用主接口无线频率。如果主接口启用了“自动”频率，它将使用主接口选择的无线频率。

嗅探器

子菜单:/接口无线嗅探器

无线嗅探器允许捕获包括无线电报头、802.11报头和其他无线相关信息在内的帧。

包

子菜单:/接口无线嗅探包

子菜单显示抓包信息。

扫描

扫描命令允许在扫描列表中定义的频率范围内查看可用AP。由于支持RouterOS v6.35 (wireless-rep)后台扫描，可以在无线接口操作时使用，而不需要断开无线链路。l雷竞技背景扫描仅支持使用802.11无线协议。

扫描工具将继续扫描AP，直到用户停止扫描过程。可以使用扫描工具的“轮”设置对扫描列表条目进行特定时间的扫描。当使用脚本运行扫描工具时，它是有用的。一轮扫描命令示例:

/接口无线扫描wlan1轮=1

'save-file'选项允许进行脚本/计划扫描，并将结果保存在文件中以备将来分析。此外，此功能与轮询设置一起允许从远程无线客户端获得扫描结果-执行该命令将启动扫描工具，断开无线链路，通过扫描列表频率进行扫描并将结果保存到文件，退出扫描并连接回无线链路。例子:

/interface无线扫描wlan1 rounds=1 save-file=scan1

要使用后台无线扫描，应该提供'background=yes'设置。例子:

/interface wireless scan wlan1 background=yes

后台扫描功能在这样的条件下工作:

• 应该启用无线接口
• 对于AP模式下的无线接口-当它在802.11协议模式下工作并处于固定信道上时(即信道选择和初始雷达检查已结束)
• 无线接口在站模式-当它连接到802.11协议AP。

虚拟无线接口也支持扫描命令，但有以下限制:

• 当虚拟接口和它的主接口固定在通道上(主AP正在运行或主站与AP相连)时，这是可能的。
• 扫描只在通道主界面打开时执行。
• 如果background=yes|no没关系，虚拟接口扫描不会断开客户端/AP的连接，所以它总是“background”。

爱管闲事者

该工具监视周围的频率使用情况，并显示每个频率中有哪些设备占用。它在主机和Winbox上都可以使用。Snooper会使用扫描列表中的频率。

子菜单:/接口无线监听器

设置

光谱扫描

• 见另一文件手动:Spectral_scan

改进算法

子菜单:/接口无线WDS

属性:

只读属性:

WPS

无线接口支持WPS服务器和WPS客户端(从RouterOS v6.35开始的Wireless -rep包支持)。l雷竞技

WPS服务器

WPS服务器允许将支持WPS的无线客户端连接到受预共享密钥保护的AP，而无需在客户端配置中指定该密钥。

通过更改无线接口的WPS模式设置，可以启用WPS服务器。例子:

/接口无线设置wlan1 wps-mode=按键式

wps模式有3个选项

• 禁用
• 按钮- WPS通过按板子上的物理按钮来激活(少数板子在机箱/标签上有这样的按钮)
• push-button-virtual-only -通过按RouterOS无线接口菜单中的“WPS Accept”按钮来激活WPSl雷竞技

通过按下WPS物理/虚拟按钮，AP启用WPS功能。如果在2分钟内WPS进程没有启动，WPS接受函数将停止。

默认情况下，WPS服务器在少数有物理WPS按钮标记的板上是启用的。例如，hap lite, hap, hap ac lite, hap ac, map lite

只有无线AP接口启用了PSK (Pre-Shared Key Authentication)， WPS服务器才会激活。也可以为Virtual AP接口配置这种模式。

WPS客户

WPS客户端功能允许无线客户端获取启用了WPS服务器的AP的预共享密钥配置。WPS客户端可以通过以下命令启动:

/接口无线wps-client wlan1

WPS Client命令将WPS Enabled AP的所有信息输出到屏幕上。例子:

[admin@雷竞技网站MikroTik] /interface wireless> wps-client wlan1 status: disconnected, success ssid: MikroTik mac-address: E4:8D:8C:D6:E0:AC passphrase: presharedkey authentication: wpa2-psk encryption: aes-ccm . passsphrase: preharedkey authentication: wpa2-psk encryption: aes-ccm . passsphrase: preharedkey authentication: wpa2-psk encryption: aes-ccm . passsphrase

可以为WPS-Client命令指定其他设置:

• create-profile -使用指定的名称创建无线安全配置文件，配置从WPS AP接收的安全详细信息，指定使用新创建的安全配置文件的无线接口
• ssid -只从具有指定ssid的AP获取WPS信息
• mac-address -只从指定mac地址的AP获取WPS信息

中继器

无线中继器将允许从AP接收信号，并使用本地相同的物理接口重复信号，以连接其他客户端。这将允许为无线客户端扩展无线服务。无线中继器功能将配置无线接口以站桥或站伪桥选项连接AP，创建虚拟AP接口，创建桥接接口，并将两个(主接口和虚拟接口)添加到桥接端口。

如果你的AP支持按钮启用的WPS模式下，可以使用automatic setup命令:

/接口无线设置中继器wlan1

设置中继器执行以下步骤:

• 按下按钮搜索WPS AP
• 从AP获取SSID、密钥、通道
• 重置主主接口配置(与reset-configuration相同)
• 移除为添加到此主节点的虚拟接口添加的所有桥接端口(因此以后不会有悬空的无效桥接端口)
• 删除添加到此主控的所有虚拟接口
• 创建名称为"--repeater"的安全配置文件，如果这样的安全配置文件已经存在，则不创建新的，只是更新设置
• 配置主接口，接口模式选择如下:如果AP支持网桥模式，则使用station-bridge;否则，如果AP支持WDS模式，则使用station-wds，否则使用station-pseudobridge
• 创建与主AP具有相同SSID和安全配置文件的虚拟AP接口
• 如果主接口不在某个网桥中，则创建新的网桥接口并将主接口添加到其中
• 添加虚拟AP接口到同一桥主接口。

如果你的AP不支持WPS，可以手动指定设置，使用以下参数:

• 地址AP设置中继器的MAC地址(可选)
• 名称AP设置中继器的SSID(可选)
• 密码- key to use for AP -如果指定了此参数，命令将只扫描AP并基于信标中的信息和此密码短语创建安全配置文件。如果没有指定，命令将执行WPS来查找密码短语。

漫游

站漫游

站漫游功能仅适用于802.11无线协议，且仅适用于站模式。当Routl雷竞技erOS无线客户端使用802.11无线协议连接到AP时，它会以特定的时间间隔定期执行后台扫描。当后台扫描发现一个信号较好的AP时，它将尝试漫游到该AP。当无线信号变差时，后台扫描的时间间隔将变短，当无线客户端信号变好时，后台扫描的时间间隔将变长。

VLAN标记

子菜单:/接口的无线

通过VLAN标记，可以在“本地转发”AP(无线接口与以太网桥接的AP)的以太网侧分离Virtual AP流量。这是必要的。ap的以太网端“管理”和“客户”网络流量。

VLAN被分配给无线接口，因此所有来自无线的数据都用这个标记标记，只有带这个标记的数据将通过无线发送出去。这适用于所有无线协议，除了在Nv2上没有虚拟AP支持。

用户可以配置RADIUS认证服务器，将用户或用户组在向网络进行认证时分配到特定的VLAN。要使用此选项，您将需要使用半径属性．

注意:如果要使用这个选项，你必须在RouterOS版本6.37之前启用wireless-fp或wireless-cm2包。l雷竞技从RouterOS v6.3l雷竞技7开始，你可以用普通的无线包实现这一点。

Vlan tag覆盖

通过访问列表和RADIUS属性(适用于常规无线控制器和无线控制器)，可以在每个客户端基础上覆盖每个接口的VLAN标记。

通过这种方式，即使在同一个接口上，无线客户端之间的流量也可以被分离，但必须小心使用——只有“接口VLAN”广播/组播流量才会被发送出去。如果其他(被覆盖的)VLAN也需要工作广播/组播，那么现在可以使用multicast-helper(这将每个组播包更改为单播，然后只发送给具有匹配VLAN id的客户端)。

Winbox

Winbox是一个小的实用程序，允许使用一个快速和简单的GUI管理Mikrotik RouterOS。l雷竞技雷竞技网站

注意:当前发送功率提供了特定数据速率下当前使用的发送功率的信息。目前不支持Atheros 802.11ac芯片(例如QCA98xx)。

互联领域设置

有关交互配置文件的更多信息，请参见手册．

realms-raw-带有十六进制值的字符串列表。每个字符串指定“NAI域元组”的内容，不包括“NAI域数据字段长度”字段。

每个十六进制编码字符串必须包含以下字段:

- NAI域编码(1字节)- NAI域长度(1字节)- NAI域(变量)- EAP方法计数(1字节)- EAP方法元组(变量)

例如，值“00045465737401020d00”解码为:

—NAI Realm Encoding: 0 (rfc4282)—NAI Realm Length: 4—NAI Realm: Test—EAP Method Count: 1—EAP Method Length: 2—EAP Method Tuple: TLS，无EAP方法参数

注意，设置“realms-raw=00045465737401020d00”产生的广告内容与设置“realms=Test:eap-tls”相同。

关于完整的NAI Realm编码，请参阅802.11-2016第9.4.5.10节。