Bezprzewodowe sieci WLAN — Projekty Praktyczne

Część 1 Topologie, Część 3 Warstwa 2, standard IEEE 802.1Q w sieciach WLAN.

Celem projektu jest zaprojektowanie i wdrożenie zaawansowanej struktury sieciowej opartej na segmentacji VLAN w środowisku bezprzewodowym MikroTik. Zakres prac obejmuje konfigurację głównego routera brzegowego, definicję wirtualnych interfejsów (VLAN) oraz przypisanie ich do dedykowanych punktów dostępowych (Virtual AP). Zadanie koncentruje się na zapewnieniu pełnej izolacji ruchu między różnymi grupami użytkowników przy zachowaniu centralnego zarządzania adresacją.

Jesteś administratorem sieci w nowoczesnym biurze typu coworking, gdzie różnorodność urządzeń i użytkowników wymaga szczególnego podejścia do bezpieczeństwa. Twoim zadaniem jest zbudowanie profesjonalnej infrastruktury opartej na urządzeniach MikroTik RouterBoard, która obsłuży trzy krytyczne grupy użytkowników: stałych pracowników, gości oraz urządzenia inteligentnego biura (IoT). Musisz zapewnić, aby ruch z każdego SSID był całkowicie odseparowany na poziomie warstwy 2 przy użyciu tagowania zgodnego ze standardem IEEE 802.1Q. Projekt wymaga centralnego zarządzania wszystkimi punktami dostępowymi, co pozwoli na spójne wdrażanie polityk bezpieczeństwa w całym obiekcie. Konieczne jest skonfigurowanie reguł firewall, które precyzyjnie zablokują wszelką nieautoryzowaną komunikację między podsieciami, chroniąc zasoby firmowe przed dostępem z sieci gościnnej. Dodatkowo, musisz zoptymalizować wydajność mostka (Bridge) poprzez wykorzystanie sprzętowego filtrowania VLAN, co zminimalizuje obciążenie procesora routera. Całość rozwiązania musi być przygotowana na dynamiczny wzrost liczby użytkowników bez konieczności rekonfiguracji rdzenia sieci.

• Konfiguracja RouterBoard jako głównego routera i punktu dostępowego.
• Stworzenie 3 oddzielnych interfejsów VLAN (VLAN 10, 20, 30).
• Konfiguracja Bridge z aktywnym filtrowaniem VLAN (VLAN Filtering).
• Uruchomienie minimum 3 wirtualnych interfejsów bezprzewodowych (Virtual AP).
• Przypisanie każdego SSID do odpowiedniego identyfikatora VLAN.
• Konfiguracja serwerów DHCP dla każdej podsieci z oddzielnymi pulami.
• Implementacja reguł Firewall blokujących ruch inter-VLAN (L3 isolation).
• Zabezpieczenie sieci pracowniczej standardem WPA3 Personal.
• Konfiguracja izolacji klientów (Client Isolation) w sieci gościnnej.
• Udokumentowanie konfiguracji Bridge PVID i Tagged/Untrusted ports.

• Zacznij od stworzenia interfejsu Bridge i dodaj do niego wszystkie porty fizyczne oraz radiowe biorące udział w projekcie.
• Pamiętaj o włączeniu opcji vlan-filtering na interfejsie bridge dopiero po zakończeniu konfiguracji wszystkich interfejsów VLAN.
• Wykorzystaj Virtual AP do stworzenia dodatkowych SSID dla gości i urządzeń IoT, przypisując im odpowiednie PVID.
• Skonfigurowany serwer DHCP dla każdego VLANu powinien posiadać unikalną pulę adresową, co ułatwi monitorowanie ruchu.
• W regułach Firewall zastosuj łańcuch forward z akcją drop dla ruchu między interfejsami VLAN, aby wymusić izolację L3.
• Dla sieci pracowniczej zalecane jest użycie standardu WPA3 Personal w celu zapewnienia najwyższego poziomu szyfrowania.
• Sprawdź tablicę hostów w menu Bridge VLAN, aby upewnić się, że adresy MAC pojawiają się w odpowiednich identyfikatorach VLAN.
• Wyłącz niepotrzebne protokoły wykrywania (Discovery) na interfejsach publicznych, aby zwiększyć ogólne bezpieczeństwo systemu.

• Implementacja tagowania VLAN na urządzeniach MikroTik skutecznie separuje ruch na poziomie warstwy 2, eliminując ryzyko podsłuchu.
• Wykorzystanie Virtual AP pozwala na oszczędność sprzętu przy jednoczesnym zachowaniu logicznego podziału sieci bezprzewodowej.
• Aktywacja mechanizmu VLAN Filtering w Bridge jest kluczowa dla zapewnienia bezpieczeństwa wewnątrz przełącznika programowego.
• Izolacja klientów w sieci gościnnej drastycznie ogranicza wektory ataków typu man-in-the-middle wewnątrz tego samego SSID.
• Prawidłowo skonfigurowany Firewall na poziomie L3 stanowi ostateczną barierę chroniącą infrastrukturę krytyczną przed niepowołanym dostępem.

Część 2 Warstwa 1, propagacja fal, Część 4 Warstwa 3, szyfrowanie IPsec VPN.

Celem projektu jest realizacja bezpiecznego, dalekosiężnego połączenia punkt-punkt (PtP) między dwoma oddziałami firmy z wykorzystaniem urządzeń Ubiquiti AirMax. Zakres prac obejmuje fizyczną instalację mostu radiowego, optymalizację parametrów transmisyjnych warstwy fizycznej oraz konfigurację tunelu szyfrowanego IPsec na routerach brzegowych. Projekt ma na celu zapewnienie transparentności sieciowej przy jednoczesnej ochronie integralności i poufności przesyłanych danych.

Firma dynamicznie się rozwija i posiada dwa magazyny oddalone od siebie o około 500 metrów, które wymagają stałej łączności sieciowej. Twoim zadaniem jest zestawienie stabilnego i wydajnego mostu radiowego w paśmie 5 GHz przy użyciu dedykowanych urządzeń Ubiquiti z serii AirMax. Most musi pracować w trybie transparentnym, umożliwiając swobodny przepływ pakietów między lokalizacjami tak, jakby były połączone kablem. Ze względu na wrażliwość przesyłanych informacji biznesowych, cały ruch musi być dodatkowo zabezpieczony tunelem IPsec skonfigurowanym na routerach znajdujących się za mostem radiowym. W trakcie realizacji musisz przeprowadzić szczegółową analizę parametrów SNR oraz CCQ, aby zagwarantować stabilność łącza nawet w trudnych warunkach pogodowych. Dobór odpowiedniej szerokości kanału oraz mocy nadawania jest kluczowy dla uniknięcia zakłóceń od sąsiednich sieci bezprzewodowych. Końcowym etapem projektu jest weryfikacja przepustowości łącza przy aktywnym szyfrowaniu, co pozwoli ocenić wpływ bezpieczeństwa na wydajność transmisji. Cała infrastruktura musi być przygotowana do obsługi systemów monitoringu wizyjnego oraz transmisji danych magazynowych w czasie rzeczywistym.

• Dobór mocy nadawania i szerokości kanału (40/80 MHz).
• Konfiguracja trybu Bridge WDS (Transparent Bridge).
• Zabezpieczenie łącza radiowego kluczem WPA2-AES.
• Zestawienie tunelu IPsec Site-to-Site między routerami za mostami.
• Analiza widma w narzędziu AirView i dobór wolnego kanału.
• Weryfikacja parametrów sygnału (Signal Strength vs Noise Floor).
• Testy przepustowości narzędziem iPerf wewnątrz tunelu i poza nim.
• Dokumentacja fotograficzna wizowania anten.
• Obliczenie budżetu łącza dla zadanej odległości.
• Konfiguracja mechanizmu Dead Peer Detection (DPD) dla tunelu.

• Skorzystaj z narzędzia AirView przed wyborem kanału pracy, aby zidentyfikować najmniej obciążone fragmenty pasma 5 GHz.
• Skonfiguruj jedną jednostkę jako Access Point PTP, a drugą jako Station PTP, dbając o włączenie trybu WDS dla transparentności.
• Ustaw zabezpieczenie WPA2-AES z silnym kluczem współdzielonym, co stanowi pierwszą linię obrony połączenia radiowego.
• Na routerach brzegowych skonfiguruj tunele IPsec, używając algorytmów AES-256 oraz SHA-256 dla zapewnienia wysokiego poziomu poufności.
• Parametr Distance w ustawieniach Ubiquiti powinien być ustawiony na sztywno lub precyzyjnie dobrany przez algorytm auto-ack.
• Wykonaj testy iPerf w obu kierunkach jednocześnie, aby sprawdzić zachowanie mostu podczas transmisji typu Full Duplex.
• Monitoruj wskaźnik AirMax Capacity oraz Quality, które bezpośrednio informują o efektywności wykorzystania szczelin czasowych.
• Zabezpiecz fizycznie wejścia kablowe do anten przy użyciu dławików oraz taśmy samowulkanizującej, chroniąc sprzęt przed wilgocią.

• Zastosowanie trybu WDS jest niezbędne dla poprawnego działania mostu w warstwie 2, co pozwala na bezproblemowy transport tagów VLAN.
• Dodatkowe szyfrowanie IPsec na warstwie 3 skutecznie chroni dane w przypadku potencjalnego złamania zabezpieczeń sieci radiowej.
• Wysoka wartość wskaźnika CCQ świadczy o braku konieczności częstych retransmisji pakietów, co przekłada się na niskie opóźnienia.
• Szerokość kanału 80 MHz oferuje największą przepustowość, ale jest najbardziej podatna na zakłócenia zewnętrzne i szumy.
• Prawidłowe wizowanie anten pozwala na uzyskanie optymalnego poziomu sygnału, co jest fundamentem stabilnego łącza dalekosiężnego.

Część 4 DHCP, DNS, Część 5 Warstwa aplikacji, protokół RADIUS.

Celem projektu jest budowa publicznego systemu dostępu do Internetu (Hotspot) z wykorzystaniem mechanizmu Captive Portal oraz centralnej autoryzacji RADIUS. Zakres prac obejmuje konfigurację usługi Hotspot na routerze MikroTik, personalizację strony powitalnej oraz wdrożenie pakietu User Manager do zarządzania kontami użytkowników. Projekt skupia się na implementacji restrykcyjnych polityk użytkowania, takich jak limity transferu i czasu sesji, w celu sprawiedliwego podziału zasobów sieciowych.

W miejskiej bibliotece, będącej ważnym ośrodkiem kulturalnym, zachodzi potrzeba wdrożenia profesjonalnego, darmowego dostępu do sieci Wi-Fi dla odwiedzających. System musi być zaprojektowany tak, aby oferować kontrolowany dostęp do Internetu z jednoczesnym promowaniem wizerunku placówki poprzez dedykowaną stronę powitalną (Captive Portal). Twoim zadaniem jest konfiguracja usługi MikroTik Hotspot, która wymusi na każdym użytkowniku przejście przez proces akceptacji regulaminu oraz logowania. Centralna autoryzacja ma być realizowana przez serwer RADIUS (User Manager), co pozwoli na precyzyjne definiowanie profili użytkowników. Każdy zalogowany gość musi mieć narzucone odgórne ograniczenia pasma do 5 Mbps przy pobieraniu i 2 Mbps przy wysyłaniu danych, a jego sesja powinna zostać automatycznie przerwana po 60 minutach. Projekt wymaga również konfiguracji tzw. "Walled Garden", czyli listy stron dostępnych bez konieczności logowania, np. katalogu online biblioteki. Musisz również zadbać o bezpieczeństwo sieci lokalnej poprzez izolację użytkowników hotspotu od zasobów administracyjnych placówki. System powinien być w pełni zautomatyzowany, nie wymagając codziennej ingerencji personelu w proces zarządzania kontami gościnnymi.

• Uruchomienie usługi Hotspot na interfejsie WLAN.
• Edycja plików HTML strony logowania (dodanie logotypu i regulaminu).
• Konfiguracja pakietu User Manager jako serwera RADIUS.
• Stworzenie profili użytkowników (Rate Limit, Uptime Limit).
• Implementacja metody autoryzacji HTTP CHAP/PAP.
• Konfiguracja Walled Garden dla strony domowej biblioteki.
• Blokowanie ruchu P2P wewnątrz sieci Hotspot.
• Monitoring aktywnych sesji i generowanie raportów zużycia danych.
• Monitorowanie obciążenia procesora przy wielu aktywnych kolejkach.
• Testy poprawnej reakcji sytemu po wyczerpaniu limitu czasu.

• Zainstaluj pakiet user-manager zgodny z wersją Twojego systemu RouterOS, aby móc korzystać z bazy RADIUS.
• Skonfiguruj profil serwera Hotspot, wskazując na lokalny adres 127.0.0.1 jako serwer RADIUS do autoryzacji.
• Wykorzystaj narzędzie Files w MikroTiku do pobrania i edycji domyślnych plików HTML strony logowania, dodając logo biblioteki.
• W User Managerze zdefiniuj profil (Profile) oraz limit (Limitation), określając w nich parametry Rate Limit oraz Uptime Limit.
• Pamiętaj o ustawieniu Address Pool dla Hotspotu na none w samym profilu, jeśli adresacja ma być zarządzana przez serwer DHCP routera.
• Włącz logowanie zdarzeń RADIUS w menu /system logging, co znacząco ułatwi diagnostykę problemów z autoryzacją użytkowników.
• Przetestuj działanie mechanizmu Cookies, który pozwala użytkownikom na automatyczne ponowne połączenie w ramach aktywnej sesji.
• Sprawdź działanie kolejki dynamicznej (Simple Queue), która powinna pojawić się automatycznie po zalogowaniu nowego klienta.

• Połączenie Hotspotu z serwerem RADIUS umożliwia skalowalne zarządzanie dużą liczbą użytkowników bez obciążania konfiguracji bazowej.
• Mechanizm Captive Portal jest skutecznym narzędziem do wymuszania akceptacji polityk prywatności i regulaminów świadczenia usług.
• Narzucone limity pasma zapobiegają monopolizacji łącza przez pojedynczych użytkowników pobierających duże ilości danych.
• Izolacja warstwy 2 wewnątrz sieci Hotspot uniemożliwia bezpośrednią komunikację między urządzeniami gości, podnosząc ich bezpieczeństwo.
• Automatyczne czyszczenie sesji po upływie limitu czasu pozwala na efektywne zwalnianie adresów IP w puli DHCP.

Część 2 Propagacja w halach, Część 3 Agregacja, protokół 802.11s.

Celem projektu jest zaprojektowanie i wdrożenie odpornej na zakłócenia sieci bezprzewodowej typu Mesh w trudnych warunkach hali przemysłowej. Zakres prac obejmuje rozmieszczenie węzłów radiowych, konfigurację bezprzewodowego dosyłu (Backhaul) oraz optymalizację parametrów roamingu dla urządzeń mobilnych. Projekt ma na celu zapewnienie ciągłości transmisji danych dla skanerów magazynowych w środowisku o dużej gęstości metalowych przeszkód i maszyn generujących szum elektromagnetyczny.

W dużej hali magazynowej, gdzie dominują wysokie regały metalowe i pracujące maszyny, tradycyjna sieć Wi-Fi oparta na kablowych punktach dostępowych jest trudna do zrealizowania. Twoim wyzwaniem jest stworzenie infrastruktury Mesh, która wykorzysta łączność bezprzewodową do komunikacji między poszczególnymi węzłami sieci. System musi charakteryzować się funkcją "self-healing", czyli zdolnością do automatycznego przekierowania ruchu w przypadku awarii jednego z punktów dostępowych. Musisz skonfigurować standardy szybkiego roamingu (802.11r/k/v), aby skanery mobilne używane przez pracowników nie traciły połączenia podczas przemieszczania się między strefami zasięgu. Kluczowym elementem zadania jest przeprowadzenie pomiarów jakości sygnału (RSSI i SNR) w realnych warunkach pracy hali, uwzględniając zjawisko wielodrogowości fal radiowych. Optymalizacja pasma 5 GHz dla dosyłu bezprzewodowego pozwoli na zachowanie wysokiej przepustowości przy minimalnych opóźnieniach. Dokumentacja musi zawierać heatmapę zasięgu oraz wyniki testów odporności systemu na odłączenie zasilania w wybranych węzłach. Finalne rozwiązanie powinno gwarantować płynną pracę systemów logistycznych bez konieczności kosztownej rozbudowy okablowania strukturalnego.

• Zastosowanie minimum 3 jednostek Mesh.
• Konfiguracja Wireless Backhaul na dedykowanym kanale 5 GHz.
• Wdrożenie standardów Fast Roaming.
• Pomiary RSSI i SNR w różnych punktach hali (heatmapa).
• Test "odporności" – odłączenie jednego z głównych węzłów.
• Optymalizacja parametru `Min RSSI` w celu wymuszania przełączania klientów.
• Analiza zjawiska multipath w otoczeniu regałów wysokiego składowania.
• Zabezpieczenie sieci standardem WPA3 Personal/Enterprise.
• Konfiguracja kontrolera (UniFi/Omada) do monitorowania topologii.
• Raport z testów opóźnień (Ping) podczas przemieszczania się.

• Przy planowaniu rozmieszczenia węzłów zachowaj widoczność optyczną (LoS) między punktami Mesh, jeśli to tylko możliwe.
• Użyj dedykowanego kanału w pasmie 5 GHz dla komunikacji Backhaul, aby uniknąć kolizji z ruchem generowanym przez klientów.
• W systemach Ubiquiti UniFi włącz funkcję Wireless Uplink i upewnij się, że stacja bazowa ma stabilne połączenie kablowe z routerem.
• Skonfiguruj parametr Minimum RSSI na poziomie około -70 dBm, co zmusi urządzenia klienckie do agresywniejszego przełączania się.
• Przeprowadź test Ping z długim czasem trwania podczas poruszania się po hali, aby zweryfikować czas przełączenia między AP.
• Wdrożenie standardu WPA3 pozwoli na lepszą ochronę przed atakami typu brute-force w otwartym środowisku przemysłowym.
• Monitoruj obciążenie kanałów radiowych za pomocą wbudowanych narzędzi skanujących w kontrolerze (np. UniFi lub TP-Link Omada).
• Zwróć uwagę na ilość skoków (hops) – każdy kolejny węzeł w łańcuchu Mesh redukuje dostępną przepustowość o około 50%.

• Technologia Mesh jest idealnym rozwiązaniem w miejscach, gdzie doprowadzenie okablowania strukturalnego jest technicznie niemożliwe lub nieopłacalne.
• Dynamiczny wybór ścieżki w protokole 802.11s znacząco podnosi niezawodność sieci w dynamicznie zmieniającym się środowisku magazynowym.
• Szybki roaming (Fast Roaming) jest niezbędny dla aplikacji działających w czasie rzeczywistym, takich jak terminale głosowe czy skanery.
• Metalowe konstrukcje regałów powodują silne odbicia fal, co w technologii MIMO może być paradoksalnie wykorzystane do poprawy zasięgu.
• Regularna analiza widma pozwala na szybkie wykrycie nowych źródeł zakłóceń, np. od nieautoryzowanych urządzeń pracowników.

Część 5 Warstwa transportowa, porty, priorytetyzacja ruchu (QoS/WMM).

Celem projektu jest wdrożenie zaawansowanych mechanizmów zarządzania jakością usług (QoS) w sieci bezprzewodowej opartej na systemie MikroTik RouterOS. Zakres prac obejmuje precyzyjną identyfikację ruchu krytycznego (głos, wideo), oznaczanie pakietów w tablicy Mangle oraz budowę hierarchicznego drzewa kolejek (HTB). Projekt ma na celu wyeliminowanie problemów z opóźnieniami i jitterem w komunikacji VoIP podczas intensywnego korzystania z sieci przez innych użytkowników.

W biurze o dużym zagęszczeniu pracowników, korzystających jednocześnie z wideokonferencji oraz systemów telefonii IP, pojawiły się poważne problemy z jakością dźwięku i obrazu. Użytkownicy skarżą się na przerywanie rozmów oraz zamrażanie obrazu w sytuacjach, gdy w sieci lokalnej przesyłane są duże pliki lub wykonywane są kopie zapasowe. Twoim zadaniem jako inżyniera sieci jest wdrożenie kompleksowej polityki QoS na routerze MikroTik, która priorytetyzuje ruch multimedialny. Musisz zidentyfikować pakiety protokołów SIP i RTP, a następnie nadać im najwyższy priorytet w kolejkowaniu HTB (Hierarchical Token Bucket). Konieczne jest stworzenie rezerwacji pasma dla usług głosowych, tak aby nawet przy pełnym obciążeniu łącza, rozmowy VoIP posiadały gwarantowane zasoby. W projekcie należy wykorzystać mechanizm WMM (Wi-Fi Multimedia) na interfejsach radiowych, co pozwoli na priorytetyzację ramek już na poziomie warstwy fizycznej 802.11. Twoim wyzwaniem jest również konfiguracja mechanizmu PCQ, który zapewni sprawiedliwy podział pozostałego pasma między wszystkich pracowników. Całość rozwiązania musi zostać zweryfikowana poprzez testy obciążeniowe przy jednoczesnym monitorowaniu parametrów Jitter i Packet Loss.

• Identyfikacja ruchu VoIP/Video przy użyciu Layer7 lub portów.
• Oznaczanie połączeń i pakietów w tablicy Mangle.
• Stworzenie drzewa kolejek (Queue Tree) z hierarchią priorytetów.
• Użycie PCQ (Per Connection Queuing) do sprawiedliwego podziału pasma.
• Włączenie wsparcia WMM (Wi-Fi Multimedia) na interfejsie radiowym.
• Symulacja obciążenia łącza (np. 10x pobieranie FTP) przy jednoczesnej rozmowie.
• Pomiary Jittera przed i po wdrożeniu QoS.
• Konfiguracja DSCP w nagłówkach IP w celu propagacji QoS w sieci L3.
• Wyłączenie FastTrack dla oznaczanego ruchu krytycznego.
• Graficzna analiza przepływu ruchu w RouterOS.

• Rozpocznij od wyłączenia funkcji FastTrack dla ruchu, który zamierzasz kolejkować, gdyż te dwa mechanizmy nie współpracują ze sobą.
• W tablicy Firewall Mangle stwórz reguły oznaczające połączenia (mark-connection), a następnie pakiety (mark-packet) dla portów UDP 5060 oraz zakresu RTP.
• Zbuduj Queue Tree na interfejsie global lub konkretnych interfejsach wyjściowych, zachowując strukturę rodzic-dziecko.
• Dla kolejki VoIP ustaw parametr priority=1, co zapewni jej pierwszeństwo w obsłudze przed ruchem HTTP czy FTP.
• Skonfiguruj PCQ (Per Connection Queuing) z odpowiednimi parametrami classifier, aby każdy użytkownik otrzymał równą część pasma.
• Aktywuj wsparcie WMM w profilu bezprzewodowym (Wireless Protocol), co umożliwi routerowi nadawanie priorytetów ramkom 802.11.
• Użyj narzędzia Packet Sniffer lub Torch do weryfikacji, czy pakiety są poprawnie oznaczane wybranymi przez Ciebie markerami.
• Przeprowadź symulację dużego pobierania danych i sprawdź w zakładce Queues, czy licznik bajtów w kolejce VoIP rośnie przy zachowaniu niskich opóźnień.

• Prawidłowo wdrożony QoS na MikroTiku pozwala na płynną obsługę usług czasu rzeczywistego nawet przy ekstremalnym obciążeniu łącza.
• Mechanizm WMM jest kluczowy w sieciach WLAN, ponieważ przenosi priorytetyzację z warstwy sieciowej bezpośrednio do transmisji radiowej.
• Wykorzystanie PCQ drastycznie redukuje problem bufferbloat, czyli drastycznego wzrostu opóźnień przy nasyceniu pasma.
• Oznaczanie ruchu za pomocą Mangle daje największą elastyczność, pozwalając na priorytetyzację na podstawie dowolnego parametru nagłówka IP.
• Rezerwacja pasma (limit-at) gwarantuje, że krytyczne usługi nigdy nie zostaną całkowicie odcięte od zasobów sieciowych.

Część 3 Uwierzytelnianie 802.1X, EAP, 4-Way Handshake.

Celem projektu jest wdrożenie najwyższych standardów bezpieczeństwa w sieci korporacyjnej z wykorzystaniem uwierzytelniania opartego na porcie (IEEE 802.1X). Zakres prac obejmuje konfigurację serwera RADIUS, integrację z kontrolerem Ubiquiti UniFi oraz wdrożenie profilu WPA3-Enterprise. Projekt skupia się na eliminacji współdzielonych haseł na rzecz indywidualnych poświadczeń użytkowników oraz dynamicznego przydzielania ich do odpowiednich segmentów VLAN.

Współczesne biuro wymaga znacznie wyższego poziomu zabezpieczeń niż ten oferowany przez standardowe hasła PSK, które są trudne do zarządzania i łatwe do wycieku. Twoim zadaniem jest przejście na model bezpieczeństwa klasy Enterprise, gdzie każdy pracownik loguje się do sieci Wi-Fi przy użyciu własnego loginu i hasła lub certyfikatu. Sercem systemu będzie serwer RADIUS, który przejmie rolę centralnej bazy uwierzytelniającej, komunikując się z punktami dostępowymi Ubiquiti. Musisz skonfigurować standard 802.1X, który umożliwi weryfikację tożsamości użytkowników jeszcze przed uzyskaniem przez nich pełnego dostępu do warstwy 2. Dodatkowo, system musi wspierać funkcję Dynamic VLAN Assignment, która na podstawie odpowiedzi z serwera RADIUS automatycznie przypisze użytkownika do odpowiedniego VLANu (np. księgowość, IT, marketing). Wdrożenie standardu WPA3-Enterprise zapewni ochronę przed zaawansowanymi atakami typu offline dictionary oraz podsłuchem ruchu radiowego. W ramach projektu musisz przygotować instrukcję konfiguracji suplikantów na różnych systemach operacyjnych, takich jak Windows 10/11 oraz Android. Końcowym etapem jest analiza procesu wymiany kluczy w narzędziu Wireshark, aby potwierdzić poprawność działania mechanizmu 4-way handshake w wersji Enterprise.

• Uruchomienie serwera RADIUS (NPS, FreeRADIUS lub MikroTik).
• Konfiguracja profilu WPA3-Enterprise w kontrolerze UniFi.
• Wdrożenie metody EAP-PEAP lub EAP-TLS.
• Konfiguracja suplikantów na systemach Windows/Android.
• Analiza logów RADIUS podczas procesu Accept/Reject.
• Capture ramek EAPOL w Wireshark i analiza etapów wymiany kluczy.
• Dynamiczne przypisanie VLAN 10/20 na podstawie atrybutów RADIUS.
• Dokumentacja procesu generowania CSR i podpisywania certyfikatu.
• Zbudowanie polityki "skutecznego hasła" w bazie RADIUS.
• Testy odporności na atak typu Evil Twin w tej konfiguracji.

• Jako serwer RADIUS możesz wykorzystać Microsoft NPS lub darmowy pakiet FreeRADIUS, dbając o poprawną konfigurację sekretu współdzielonego (Shared Secret).
• W kontrolerze UniFi stwórz nowy profil RADIUS, podając adres IP serwera oraz zdefiniowany wcześniej klucz zabezpieczający.
• Upewnij się, że w ustawieniach sieci bezprzewodowej wybrano tryb WPA3 Enterprise oraz odpowiedni profil RADIUS.
• Przy konfiguracji Dynamic VLAN pamiętaj o włączeniu opcji Enable RADIUS Assigned VLAN for Wireless Network w kontrolerze.
• Na serwerze RADIUS zdefiniuj atrybuty: Tunnel-Type (VLAN), Tunnel-Medium-Type (802), oraz Tunnel-Private-Group-ID (numer VLAN).
• Przetestuj proces logowania przy użyciu różnych metod EAP, zwracając szczególną uwagę na certyfikaty serwera (Server Trust).
• Sprawdź logi systemowe routera i serwera w poszukiwaniu komunikatów Access-Accept oraz Access-Reject.
• Zweryfikuj, czy po zalogowaniu urządzenie klienckie faktycznie otrzymało adres IP z puli przypisanej do dynamicznie nadanego VLANu.

• Standard 802.1X eliminuje ryzyko związane z kompromitacją jednego hasła dla całej firmy, podnosząc bezpieczeństwo do poziomu korporacyjnego.
• Dynamiczne przypisywanie VLANów pozwala na zachowanie porządku w sieci bez konieczności tworzenia wielu różnych SSID dla każdego działu.
• Zastosowanie WPA3-Enterprise znacząco utrudnia ataki typu Evil Twin dzięki silniejszym mechanizmom weryfikacji tożsamości serwera.
• Centralizacja zarządzania dostępem w bazie RADIUS pozwala na natychmiastowe odcięcie byłego pracownika od zasobów firmy.
• Wykorzystanie certyfikatów (EAP-TLS) jest najbezpieczniejszą formą uwierzytelniania, całkowicie odporną na kradzież haseł metodami socjotechnicznymi.

Część 3 Security gotchas, Część 5 Monitorowanie sieci.

Celem projektu jest zaprojektowanie i budowa aktywnego systemu wykrywania i zapobiegania intruzom w sieci bezprzewodowej (WIDS/WIPS) z wykorzystaniem urządzeń MikroTik. Zakres prac obejmuje konfigurację interfejsów radiowych w trybie monitorowania, implementację skryptów analitycznych oraz automatyzację systemu powiadomień. Projekt ma na celu identyfikację zagrożeń takich jak nieautoryzowane punkty dostępowe (Rogue AP), ataki Deauthentication oraz próby zagłuszania pasma radiowego.

W dobie rosnącej liczby cyberataków ukierunkowanych na warstwę fizyczną sieci WLAN, pasywne systemy zabezpieczeń przestają być wystarczające. Twoim zadaniem jako inżyniera bezpieczeństwa jest przekształcenie routera MikroTik w zaawansowaną sondę monitorującą otoczenie radiowe biura. System musi nieustannie skanować pasma 2.4 GHz oraz 5 GHz w celu wykrycia obcych Access Pointów, które mogą udawać sieć firmową (Evil Twin). Musisz zaimplementować mechanizm wykrywania ataków typu "Deauthentication flood", które są często wykorzystywane do wymuszania ponownego logowania użytkowników i przechwytywania ich poświadczeń. System ma automatycznie zbierać adresy MAC podejrzanych urządzeń i porównywać je z "białą listą" autoryzowanego sprzętu. W przypadku wykrycia anomalii, np. nagłego wzrostu poziomu szumu lub pojawienia się nieznanego AP o bardzo silnym sygnale, administrator powinien otrzymać natychmiastowe powiadomienie e-mail lub SMS. Projekt wymaga również konfiguracji narzędzia "Snooper", które pozwoli na wizualną ocenę obciążenia kanałów i identyfikację źródeł zakłóceń. Całość rozwiązania zostanie zweryfikowana poprzez przeprowadzenie kontrolowanego ataku testowego i sprawdzenie czasu reakcji systemu monitoringu.

• Konfiguracja MikroTik w trybie Wireless Sniffer / Background Scan.
• Implementacja skryptu sprawdzającego listę zaufanych Access Pointów.
• Wykrywanie Rouge AP podłączonych kablem do sieci firmowej.
• Analiza logów pod kątem dużych ilości komunikatów deauth.
• Powiadomienia e-mail o wykryciu obcej sieci o wysokim sygnale.
• Generowanie raportów dobowych o aktywności radiowej w otoczeniu.
• Analiza ramek Beacon (Wireshark) pod kątem zbieżności SSID.
• Użycie narzędzia Snooper do wizualizacji zajętości kanałów.
• Opracowanie procedury reagowania na wykrycie intruza.
• Ocena skuteczności standardu 802.11w w zapobieganiu atakom.

• Wykorzystaj funkcję Background Scan lub dedykowany interfejs radiowy w trybie Sniffer do ciągłego zbierania ramek z otoczenia.
• Stwórz skrypt w języku skryptowym MikroTik, który będzie cyklicznie przeszukiwał tablicę wireless scan i porównywał wyniki z listą zaufanych MAC.
• Skonfiguruj narzędzie Tool Email w systemie RouterOS, podając parametry serwera SMTP dla wysyłki alertów.
• Analizuj logi systemowe pod kątem komunikatów o rozłączeniach klientów z powodem "extensive data loss" lub "deauthenticated by station".
• Użyj narzędzia Wireless Snooper, aby zidentyfikować urządzenia generujące największy ruch i sprawdzić ich parametry transmisji.
• Włącz ochronę ramek zarządzających (Management Frame Protection - 802.11w), co jest podstawową metodą walki z atakami Deauth.
• Sprawdź, czy w Twoim otoczeniu nie działają sieci typu Hidden SSID, które mogą być wykorzystywane do ukrywania nielegalnych mostów radiowych.
• Monitoruj obciążenie procesora routera – intensywne skanowanie wszystkich kanałów może wpływać na wydajność podstawowych funkcji sieciowych.

• System WIDS na MikroTiku pozwala na uzyskanie pełnej widoczności tego, co dzieje się w pasmie radiowym, wykraczając poza standardową obsługę ruchu.
• Wykrywanie Rogue AP jest kluczowe dla zapobiegania wyciekom danych przez nieautoryzowane punkty dostępowe podłączone do sieci LAN.
• Automatyzacja alertów drastycznie skraca czas reakcji na incydenty bezpieczeństwa, co pozwala na szybkie zlokalizowanie intruza.
• Standard 802.11w skutecznie eliminuje najprostsze ataki typu DoS na warstwie radiowej, ale wymaga wsparcia ze strony urządzeń klienckich.
• Regularna analiza otoczenia radiowego pozwala na optymalizację własnych kanałów pracy w celu uniknięcia kolizji z sąsiednimi sieciami.

Część 4 Warstwa sieciowa, adresacja IPv6, SLAAC, ICMPv6.

Celem projektu jest zaprojektowanie i wdrożenie nowoczesnej architektury sieciowej Dual-Stack w bezprzewodowej sieci lokalnej. Zakres prac obejmuje konfigurację natywnej obsługi protokołu IPv6 obok istniejącego stosu IPv4 na routerach MikroTik. Projekt koncentruje się na automatycznej konfiguracji adresów (SLAAC), wdrożeniu bezpiecznego routingu IPv6 oraz zabezpieczeniu urządzeń końcowych za pomocą dedykowanego Firewall IPv6.

W obliczu wyczerpujących się zasobów adresacji IPv4, każda nowoczesna sieć kampusowa powinna oferować pełne wsparcie dla protokołu IPv6. Twoim zadaniem jest przeprowadzenie modernizacji infrastruktury Wi-Fi tak, aby urządzenia klienckie mogły korzystać z obu wersji protokołu IP jednocześnie (Dual-Stack). Musisz skonfigurować router MikroTik do rozgłaszania prefiksów IPv6 na interfejsie WLAN, wykorzystując mechanizm SLAAC (Stateless Address Autoconfiguration). Dzięki temu telefony i laptopy użytkowników automatycznie wygenerują własne, publiczne adresy IPv6 bez potrzeby centralnego zarządzania pulą adresową. Równolegle, tradycyjna usługa DHCPv4 będzie nadal dostarczać adresy IPv4 dla zapewnienia kompatybilności wstecznej ze starszymi usługami. Kluczowym wyzwaniem jest implementacja restrykcyjnego firewalla IPv6, który ze względu na brak NAT, musi precyzyjnie blokować połączenia inicjowane z Internetu do urządzeń wewnątrz sieci. Musisz również zadbać o poprawną obsługę komunikatów ICMPv6, które w nowym protokole pełnią krytyczną rolę w procesie wykrywania sąsiadów i rutingów. Projekt zakończy się weryfikacją poprawności łączności oraz analizą priorytetów wyboru protokołu przez systemy operacyjne klientów.

• Konfiguracja prefiksu IPv6 GUA dla interfejsu WLAN.
• Ustawienie parametrów ND (Neighbor Discovery) i wysyłania RA (Router Ads).
• Implementacja DHCPv6 Stateless dla parametrów DNS.
• Konfiguracja reguł IPv6 Firewall (przepuszczanie ICMPv6 jest krytyczne).
• Weryfikacja adresów link-local i global na urządzeniach mobilnych.
• Testy łączności (np. ping -6 do google.com).
• Analiza tablicy sąsiedztwa IPv6.
• Konfiguracja priorytetów IPv6 w kolejkach (Simple Queues).
• Dokumentacja planu adresacji sieci /64.
• Wnioski na temat korzyści płynących z braku NAT w IPv6.

• Upewnij się, że w menu System Packages masz aktywny pakiet ipv6, ponieważ w starszych wersjach RouterOS może być on wyłączony.
• Przypisz publiczny prefiks /64 do interfejsu Bridge lub WLAN i zaznacz opcję Advertise, aby włączyć rozgłaszanie Router Advertisements.
• W ustawieniach IPv6 ND (Neighbor Discovery) skonfiguruj flagi Managed i Other, jeśli planujesz w przyszłości używać DHCPv6.
• Skonfiguruj Firewall IPv6 w menu /ipv6 firewall filter, pamiętając o bezwzględnym pozwoleniu na ruch ICMPv6 (Neighbor Solicitation/Advertisement).
• Ustaw domyślną trasę (Default Route) IPv6 wskazującą na interfejs Twojego dostawcy Internetu lub konkretny adres bramy Link-Local.
• Wykorzystaj narzędzie Ping z opcją wyboru interfejsu IPv6 do przetestowania łączności z popularnymi serwisami (np. facebook.com czy google.com).
• Sprawdź tablicę sąsiedztwa w /ipv6 neighbor, aby zobaczyć adresy MAC oraz wygenerowane adresy IPv6 wszystkich podłączonych klientów.
• Dokumentacja powinna zawierać schemat podziału większego prefiksu od dostawcy (np. /48 lub /56) na poszczególne podsieci VLAN.

• Wdrożenie Dual-Stack pozwala na płynną migrację do nowego protokołu bez przerywania dostępności usług opartych na IPv4.
• Mechanizm SLAAC drastycznie upraszcza konfigurację urządzeń końcowych, eliminując potrzebę utrzymywania skomplikowanych serwerów DHCP.
• Brak mechanizmu NAT w IPv6 przywraca architekturę sieci typu "end-to-end", co wymaga jednak szczególnej uwagi przy konfiguracji zapory ogniowej.
• Poprawna obsługa ICMPv6 jest fundamentem działania sieci IPv6; jego zablokowanie uniemożliwia m.in. poprawne działanie mechanizmu MTU Discovery.
• Urządzenia mobilne priorytetyzują IPv6 nad IPv4, co przekłada się na szybsze nawiązywanie połączeń z nowoczesnymi usługami chmurowymi.

Część 2 Fizyka sygnału, zysk anteny, strefa Fresnela, budżet łącza.

Celem projektu jest zaprojektowanie i budowa profesjonalnego, dalekosiężnego mostu radiowego o wysokiej przepustowości na dystansie przekraczającym 3 kilometry. Zakres prac obejmuje przeprowadzenie analizy profilu terenu, obliczenie budżetu łącza oraz teoretyczne wyznaczenie strefy Fresnela. Projekt skupia się na precyzyjnym wizowaniu anten kierunkowych oraz optymalizacji parametrów transmisji radiowej w celu uzyskania maksymalnej stabilności połączenia przy zmiennych warunkach atmosferycznych.

W ramach rozbudowy sieci szkieletowej musisz połączyć dwie lokalizacje oddalone od siebie o ponad 3 kilometry, gdzie niemożliwe jest ułożenie światłowodu. Twoim zadaniem jest wybór i instalacja dedykowanych anten kierunkowych Ubiquiti (np. serii PowerBeam lub AirFiber) pracujących w paśmie 5 GHz. Projekt wymaga dogłębnej analizy inżynierskiej, w tym wykonania profilu wysokościowego terenu w celu upewnienia się, że pierwsza strefa Fresnela jest wolna od przeszkód w co najmniej 60%. Musisz uwzględnić nie tylko budynki i drzewa, ale również krzywiznę ziemi, która na tym dystansie zaczyna mieć znaczenie dla propagacji fal. Po fazie planowania przystąpisz do montażu fizycznego, gdzie kluczowym elementem będzie precyzyjne "celowanie" antenami do momentu uzyskania najlepszych parametrów sygnału (RSSI) oraz balansu między polaryzacjami. W trakcie testów musisz sprawdzić wpływ różnych szerokości kanałów (od 20 do 80 MHz) na stabilność łącza oraz wartość parametru CCQ. Konieczne jest również dostosowanie mocy nadawania EIRP do obowiązujących przepisów prawnych, dbając jednocześnie o odpowiedni margines sygnału (Fade Margin). Wyniki pomiarów przepustowości przy użyciu protokołów TCP i UDP pozwolą ocenić realną wydajność mostu w warunkach produkcyjnych. Całość dokumentacji powinna zawierać zdjęcia z wizowania oraz zrzuty ekranu z narzędzi diagnostycznych Ubiquiti AirOS.

• Obliczenie budżetu łącza (Link Budget calculation).
• Profil terenu wykonany w narzędziu ISP Design Center.
• Fizyczne vizowanie anten na maksymalny sygnał (pomiar RSSI/Chain).
• Optymalizacja mocy EIRP zgodnie z przepisami UKE.
• Testy przepustowości UDP/TCP przy różnych warunkach (np. symulacja deszczu/mgły).
• Dobór szerokości kanału a stabilność – testy porównawcze.
• Zabezpieczenie łącza dedykowanym kluczem WPA2-AES (256-bit).
• Pomiary CCQ i AirMax Capacity przy pełnym obciążeniu.
• Dokumentacja fotograficzna masztów i widoku z anteny.
• Wnioski dotyczące wpływu temperatury/wilgotności na parametry linku.

• Użyj darmowego narzędzia Ubiquiti ISP Design Center do wykonania symulacji zasięgu i sprawdzenia przeszkód na drodze sygnału.
• Podczas montażu anten skorzystaj z wbudowanych diod LED poziomu sygnału, a następnie precyzyjnie doreguluj uchwyty patrząc na interfejs WWW.
• Staraj się uzyskać różnicę między polaryzacjami (Chain 0 / Chain 1) nie większą niż 2-3 dB, co świadczy o idealnym wycelowaniu.
• Włącz funkcję Calculate EIRP Limit, aby automatycznie dostosować moc nadawania do zysku Twojej anteny i lokalnych przepisów.
• Dla połączeń powyżej 2 km zawsze ustawiaj szerokość kanału na 40 MHz jako kompromis między wydajnością a odpornością na szumy.
• Pamiętaj, że opady deszczu i mgła mogą tłumić sygnał – Twój margines bezpieczeństwa (Fade Margin) powinien wynosić co najmniej 15-20 dB.
• W ustawieniach bezprzewodowych wybierz tryb Access Point PTP dla jednej strony oraz Station PTP dla drugiej, aby zminimalizować narzut protokołu.
• Zabezpiecz złącza kablowe dedykowanymi osłonami i upewnij się, że kable skrętki mają żyłę uziemiającą (FTP/STP) dla ochrony przed wyładowaniami.

• Czysta strefa Fresnela jest absolutnym warunkiem uzyskania przepustowości deklarowanej przez producenta na dużych dystansach.
• Prawidłowe wizowanie anten ma większy wpływ na jakość łącza niż samo zwiększanie mocy nadawczej urządzeń.
• Zastosowanie protokołu AirMax AC pozwala na efektywniejsze zarządzanie dostępem do medium radiowego w porównaniu do standardowego CSMA/CA.
• Stabilność łącza PtP jest silnie uzależniona od zajętości pasma 5 GHz przez inne okoliczne sieci bezprzewodowe.
• Linki dalekosiężne wymagają regularnych przeglądów technicznych, zwłaszcza po silnych wiatrach, które mogą rozregulować ustawienie anten.

Część 4 Routing, Część 5 Tunele i kapsułkowanie (EoIP/IPsec).

Celem projektu jest stworzenie inteligentnej, redundantnej infrastruktury sieciowej łączącej wiele lokalizacji za pomocą mostów bezprzewodowych MikroTik. Zakres prac obejmuje konfigurację ruting dynamicznego OSPF, implementację tuneli EoIP zabezpieczonych protokołem IPsec oraz optymalizację parametrów przełączania awaryjnego. Projekt ma na celu zapewnienie wysokiej dostępności usług sieciowych (HA) poprzez automatyczne wykrywanie awarii linków i dynamiczną zmianę tras przesyłu danych.

Budujesz sieć dla kampusu składającego się z trzech budynków połączonych radiowo w topologii pierścienia (trójkąta), co z natury rzeczy wprowadza pętle w warstwie 2. Aby inteligentnie zarządzać ruchem i uniknąć problemów z broadcastem, musisz skonfigurować ruting dynamiczny OSPF wewnątrz całej struktury. Dzięki temu, w przypadku awarii jednego z połączeń radiowych (np. z powodu uszkodzenia sprzętu lub silnych zakłóceń), routery w ułamku sekundy wyznaczą nową drogę przez pozostałe węzły. Dodatkowym wymaganiem jest stworzenie przezroczystego tunelu EoIP (Ethernet over IP) między wybranymi segmentami sieci, co pozwoli na pracę urządzeń w tej samej domenie rozgłoszeniowej L2 niezależnie od fizycznej lokalizacji. Cały ruch tunelowany musi być szyfrowany za pomocą IPsec, aby zapobiec podsłuchowi danych przesyłanych kanałami radiowymi. W ramach projektu musisz precyzyjnie dobrać metryki (Cost) dla poszczególnych łączy, faworyzując te o wyższej przepustowości. Testy końcowe będą polegały na symulowanym odłączaniu mostów i mierzeniu czasu zbieżności (convergence time) sieci, czyli czasu potrzebnego na przywrócenie pełnej komunikacji. Dokumentacja musi zawierać szczegółowy schemat logiczny z adresacją IP oraz opisem stanów sąsiedztwa OSPF.

• Konfiguracja 3 routerów MikroTik z interfejsami wirtualnymi.
• Uruchomienie procesu OSPF w obszarze szkieletowym (Area 0).
• Konfiguracja tunelu EoIP zabezpieczonego przez IPsec.
• Pomiary czasu zbieżności sieci (convergence time) po awarii łącza.
• Ustawienie priorytetów łączy w OSPF (Cost).
• Weryfikacja bazy danych OSPF (Neighbors/LSA table).
• Optymalizacja MTU dla tunelu EoIP w celu uniknięcia fragmentacji.
• Testy transferu plików między budynkami w różnych scenariuszach awarii.
• Monitorowanie obciążenia łącza radiowego przez ruting dynamiczny.
• Schemat logiczny i fizyczny z oznaczeniem metryk OSPF.

• Skonfigurowane interfejsy mostów radiowych dodaj do OSPF jako interfejsy typu point-to-point, co przyspieszy budowanie relacji sąsiedztwa.
• W ustawieniach OSPF zdefiniuj unikalny Router ID dla każdego urządzenia, najlepiej używając adresu IP z interfejsu Loopback.
• Przy tworzeniu tunelu EoIP upewnij się, że parametr Tunnel ID jest identyczny po obu stronach połączenia.
• Włącz IPsec bezpośrednio w konfiguracji tunelu EoIP, podając silne hasło (Secret) – RouterOS automatycznie wygeneruje niezbędne polityki.
• Pamiętaj o obniżeniu wartości MTU na interfejsie EoIP do 1450 bajtów lub mniej, aby uniknąć problemów z fragmentacją pakietów.
• Wykorzystaj polecenie /routing ospf neighbor print, aby sprawdzić, czy wszystkie routery widzą się wzajemnie w stanie Full.
• Do testów redundancji użyj narzędzia Flood Ping lub ciągłego pingowania z małym interwałem, obserwując moment przełączenia tras w tablicy routingu.
• Zwróć uwagę na bezpieczeństwo ruting dynamicznego – skonfiguruj uwierzytelnianie (Authentication) dla pakietów OSPF Hello.

• Ruting dynamiczny OSPF jest znacznie bardziej skalowalny i niezawodny w rozproszonych sieciach WLAN niż statyczne wpisywanie tras.
• Połączenie tunelu EoIP z rutingiem L3 daje unikalną możliwość rozciągnięcia sieci lokalnej przy zachowaniu korzyści z dynamicznego wyboru ścieżki.
• Zastosowanie topologii pierścienia drastycznie podnosi odporność sieci na pojedyncze punkty awarii (SPOF).
• Szyfrowanie IPsec wewnątrz tuneli EoIP minimalizuje narzut konfiguracyjny, zapewniając jednocześnie wysoki poziom bezpieczeństwa.
• Czas zbieżności sieci w nowoczesnych systemach MikroTik jest na tyle krótki, że większość aplikacji sieciowych nie zrywa połączeń podczas awarii łącza podstawowego.