Documente Academic
Documente Profesional
Documente Cultură
(MTCNA)
Santa Cruz, Bolivia
Noviembre 23 al 28, 2015
POR QU TOMAR EL
CURSO MTCNA?
Introduccin a RouterOS y productos
RouterBOARD.
Te da una visin general de lo que se
puede hacer con productos RouterOS y
RouterBOARD.
Le dar una base slida y valiosas
herramientas para hacer su trabajo.
SOBRE EL ENTRENADOR
Lucas Evilde Carandino
Fundador y Gerente Propietario de la empresa
WEBSERVI
Estudios en Ing de sistemas y electrnica en la Univercidad Tarapaca en Chile y
UTEPSA
Ya 6 certificados Mikrotik
HORARIO
Da tpico (6 de ellos)
19h00 a 22h30 Lunes a Viernes
15h00 a 18h00 Sabado
Horaio
10 minutos de descanso
Aprox 21:00
Examen
En el ltimo da, duracin 1 hora
INTRODUCCIN PERSONA
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?
Recuerde su nmero N de POD o Lugar de clase
Mi nmero POD es: _____
RECOMENDACIONES
Las salidas de emergencia
Cdigo de vestimenta
Alimentos y bebidas, mientras que en la
clase
Este curso se basa en RouterOS 6
VARIOS
Por respeto a los dems estudiantes y el
instructor:
Ponga usted telfono celular y otras
herramientas de negocio en modo de
vibracin
Tome sus llamadas fuera del aula
MODULO 1 INTRODUCCIN
9
10
Que es RouterOS?
Mikrotik RouterOS es el sistema
operativo del hardware Mikrotik
RouterBOARD.
Tiene todas las caractersticas necesarias
para un ISP o administrador de red tales
como enrutamiento, cortafuegos, gestin
de ancho de banda, punto de acceso
inalmbrico, enlace backhaul, gateway
hotspot, servidor VPN y ms.
11
QUE ES ROUTEROS?
RouterOS es un sistema operativo
independiente basado en el kernel v3.3.5
Linux y ofrece todas las funciones en una
instalacin rpida y sencilla y con una
interfaz fcil de usar
12
What is RouterBOARD?
Una familia de soluciones de hardware
creados por Mikrotik para responder a las
necesidades de los clientes en todo el
mundo.
Todos operan con RouterOS.
routerboard.com or
13
Integrated Solutions
Estos productos se proporcionan completo
con casos y adaptadores de corriente.
Listo para usar y preconfigurado con la
funcionalidad ms bsica.
Todo lo que necesitas hacer es conectarlo
y conectarse a Internet oa una red
corporativa.
14
15
Enclosures
Cubiertas interiores y exteriores para
alojar sus dispositivos RouterBOARD.
Seleccione la base de:
localizacin prevista
el modelo RouterBOARD
el tipo de conexiones necesarias (USB,
antenas, etc.).
16
Interfaces
Mdulos Ethernet, fibra SFP o tarjetas de
radio inalmbricas para ampliar la
funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
Una vez ms, la seleccin se basa en sus
necesidades.
17
Accessories
Estos dispositivos estn hechos para los
productos MikroTik - adaptadores de
alimentacin, soportes, antenas e
inyectores PoE.
18
MFM
With the MFM (Made for Mikrotik)
program, 3rd party options make creating
your router even better!
19
20
21
23
24
Note of interest
Nombres Router se seleccionan de
acuerdo con el conjunto de caractersticas.
Aqu hay unos ejemplos:
CCR : Cloud Core Router
RB : RouterBoard
2, 5 : 2,4GHZ or 5GHz wifi radio
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
25
Add power
supply or PoE
module
Add 3rd party
enclosure
27
28
29
Internet browser
Manera intuitiva de conectarse a un
router RouterOS.
Compatible con la mayora
Capacidad de mascara
2013-01-01
30
Internet browser
Conecte al router con un cable Ethernet
Lanzamiento del navegador
Escriba la direccin IP
Si se le solicita, inicie sesin. Nombre de
usuario es "admin" y la contrasea est en
blanco
2013-01-01
31
Internet browser
You will see:
2013-01-01
32
2013-01-01
33
2013-01-01
34
35
WinBoxs menus
Tome 5 minutos para ir a travs de los
mens
Tome nota especial de:IP Addresses
IP Routes
System SNTP
System Packages
System Routerboard
2013-01-01
36
Console port
Requiere que el equipo
se conecta al router a
travs de un mdem
nulo (puerto RS-232).
El valor
predeterminado es
115200 bps, 8 bits de
datos, 1 bit de
parada, sin paridad
2013-01-01
37
2013-01-01
38
CLI
Stands for Command Line Interface
Es lo que se ve cuando se utiliza el puerto
de la consola, SSH, Telnet, o Nueva
Terminal (dentro Winbox)
Algo que hay que saber si va a utilizar
scripts o automatizar tareas!
2013-01-01
39
Initial configuration
(Internet access)
2013-01-01
40
2013-01-01
41
Basic configuration
Dependiendo de su hardware, que tendr
una configuracin por defecto, que puede
incluir :
WAN port
LAN port(s)
DHCP client (WAN) and server (LAN)
Basic firewall rules
NAT rule
Default LAN IP address
2013-01-01
42
Basic configuration
Al conectar por
primera vez con
WinBox, haga clic
en "Aceptar"
El router tiene
ahora la
configuracin
bsica por defecto.
2013-01-01
43
Blank configuration
Puede ser utilizado en situaciones en las
que no se requiere la configuracin bsica
por defecto.
No hay necesidad de reglas de firewall
No hay necesidad de NATing
2013-01-01
44
Blank configuration
Los pasos mnimos para configurar un
acceso bsico a Internet (si el router no
tiene una configuracin bsica por defecto)
Direcciones IP de LAN, Puerta de
enlace predeterminada y servidor DNS
Direccin IP WAN
Regla de NAT (mascarada)
Cliente SNTP y la zona horaria
2013-01-01
45
2013-01-01
46
Cuando actualizar
Corregir un error conocido.
Necesita una nueva funcin.
Desempeo mejorado.
NOTA: Por favor lea la lista de cambios !!
2013-01-01
47
El procedimiento
Se requiere una planificacin.
Pasos pueden tener que hacerse en
orden preciso.
Se requiere pruebas ...
Y las pruebas ...
Y, s, la prueba!
2013-01-01
48
Antes de actualizar
Sepa lo (mipsbe, ppc, x86, mipsle, baldosas), la
arquitectura est actualizando.
En caso de duda, Winbox indica la arquitectura en la
esquina superior izquierda!
Sepa lo que los archivos que necesita:
NPK: Imagen Base RouterOS con paquetes estndar
(Siempre)
ZIP: Paquetes adicionales (sobre la base de las
necesidades)
Changelog: Indica lo que ha cambiado y las
indicaciones especiales (Siempre)
2013-01-01
49
Cmo actualizar
Obtener los archivos del paquete en el
sitio web de Mikrotik
Downloads page
2013-01-01
50
Cmo actualizar
Tres maneras
1. Descargar archivo (s) y copiar a
router.
2. "Buscar actualizaciones" (Sistema ->
Paquetes)
3. Actualizacin automtica (Sistema ->
Actualizacin automtica)
2013-01-01
51
Reboot
Validar estado del router
2013-01-01
52
Comprobando actualizaciones
(con /system packages)
53
Actualizacin automtica
Copia requiere archivos de todos los
routers a un router interno (fuente).
Configure todos los routers para que
apunte al enrutador fuente
Mostrar los paquetes disponibles
Seleccione y descargue los paquetes
Reinicie y validar enrutador
2013-01-01
54
Auto upgrading
2013-01-01
55
RouterBOOT actualizacin de
firmware
Compruebe versin actual
[admin@MikroTik] > /system routerboard print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
2013-01-01
56
RouterBOOT actualizacin de
firmware
Actualiza si es necesario (Es en este
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
2013-01-01
57
58
Cuentas de usuario
Crear cuentas de usuario a
administrar privilegios
Entrar acciones del usuario
Crear grupos de usuarios a
Tener una mayor flexibilidad en la
asignacin de privilegios
2013-01-01
59
60
IP Services
Administrar servicios IP
Lmite de uso de recursos (CPU,
memoria)
Amenazas a la seguridad Lmite
(puertos abiertos)
Cambie los puertos TCP
Lmite aceptado direcciones IP /
subredes IP
2013-01-01
61
IP Services
Para el control de los servicios, vaya a
IP -> Services
Deshabilitar
o habilitar
los servicios
requeridos.
2013-01-01
62
Access to IP Services
Haga doble clic en un
servicio
Si es necesario,
especifique que alberga o
subredes pueden acceder
al servicio
Las buenas prcticas
para limitar ciertos
servicios a los
administradores de red
2013-01-01
63
64
2013-01-01
65
2013-01-01
66
Export files
Configuracin completa o
parcial
Genera un archivo script o
enva a la pantalla
Utilice conpact" para
mostrar slo las
configuraciones no
predeterminadas (por
defecto en ROS6)
Utilice verbose" para
mostrar las configuraciones
por defecto
2013-01-01
67
68
RouterOS licenses
2013-01-01
69
License levels
6 niveles de licencias
0: Demo (24 horas)
1: Libre (muy limitado)
3: WISP CPE (cliente Wi-Fi)
4: WISP (necesario para ejecutar un
punto de acceso)
5: WISP (ms capacidades)
6: Controlador (capacidades ilimitadas)
2013-01-01
70
Licenses
Determina las capacidades permitidas en
el router.
RouterBOARD vienen con una licencia
preinstalado.
Los niveles varan
Las licencias deben ser comprados por un
sistema X86.
Una licencia es vlida para una sola
mquina..
2013-01-01
71
Updating licenses
Los niveles se describen en la pgina web
http://wiki.mikrotik.com/wiki/Manual:License
2013-01-01
72
Use of licenses
No se puede actualizar el nivel de
licencia. Comprar el derecho dispositivo /
licencia desde el principio.
La licencia est unida a la unidad que
est instalado. Tenga cuidado de no
formatear la unidad utilizando
herramientas que no Mikrotik.
Lea la pgina web de la licencia para ms
detalles!
2013-01-01
73
Netinstall
2013-01-01
74
Netinstall
Vuelva a instalar RouterOS si el original
se convirti daado
Vuelva a instalar RouterOS si la
contrasea "admin" se perdi
Se puede encontrar en el sitio web de
Mikrotik en la pestaa descarga
2013-01-01
75
2013-01-01
76
77
78
2013-01-01
79
2013-01-01
80
2013-01-01
81
2013-01-01
82
83
84
Recursos adicionales
2013-01-01
85
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
86
Tiktube
http://www.tiktube.com/
2013-01-01
87
Forum
http://forum.mikrotik.com/
Moderado por el personal Mikrotik
Panel de discusin sobre diversos temas
2013-01-01
88
Mikrotik support
support@mikrotik.com
2013-01-01
89
Distributor / consultant
support
Se les da apoyo por el distribuidor,
cuando el router se compra a ellos
Consultores certificados pueden ser
contratados para necesidades especiales.
http://www.mikrotik.com/consultants.html
Registrense
2013-01-01
90
2013-01-01
91
LABORATORIO 1
Objetivos del laboratorio
1. Familiarizar a los estudiantes con los mtodos de
acceso
2. Configurar el acceso a Internet
3. Actualizar el router con RouterOS actuales
4. Crear un grupo de acceso limitado, asignarlo a un
usuario
5. Administrar los servicios IP
6. Realice una copia de seguridad de la configuracin
actual y restaurarlo despus de hacer una
restauracin de fbrica
2013-01-01
92
Laboratory : Setup
2013-01-01
93
Laboratorio: Paso 1
Configure su equipo Laptop con la
direccin IP esttica de su POD
Especifique la mscara de subred
Especifique puerta de enlace
predeterminada (enrutador)
Especificar servidor DNS (el router
trainer)
Haga una Netinstall de ROS 6 (opcional)
Una vez reiniciado, conectarse a l de la
manera que le permitir acceso completo
2013-01-01
94
Laboratorio: Paso 2
Configure la direccin IP de Ether2 del
router
Configure la direccin IP WAN Ether1
del router
Configurar regla de NAT del router
Configurar el servidor DNS del enrutador
Configure ruta por defecto del router *
2013-01-01
96
Laboratorio: Paso 3
Agregar un grupo llamado "mnimo"
Darle el "telnet", "leer", y los derechos "winbox"
Explicar estos derechos
Aadir un usuario y darle su nombre
2013-01-01
97
Laboratorio: Paso 4
Asegurar que RouterBOARD firmware
est actualizado.( no nesesario en algunos)
Copiar paquete NTP (archivo NPK) NO NECESARIO
Compruebe Sistema -> SNTP Client
Compruebe Sistema -> Cliente NTP y servidor NTP
Que pas?
2013-01-01
98
Laboratorio: Paso 5
Los estudiantes telnet en el router
Los estudiantes desactivar estos servicios
IP:
Telnet
WWW
Los estudiantes se conectan al router mediante
Telnet, un explorador Web y SSH
Explicar los resultados
2013-01-01
99
Laboratorio: Paso 6
Abra una "Nueva Terminal" y la ventana
"Archivos"
Exportar la configuracin, desde la raz, en un
archivo denominado "Module1-podX"
Realice una copia de seguridad binaria
Copie ambos archivos a un ordenador
Abra los dos y ver su contenido
Eliminar la regla de NAT y utilizar el
archivo "exportado" a crearlo rpidamente
2013-01-01
100
Laboratorio: Paso 7
Ver la licencia del RouterBOARD
Revise el nivel del router e indicar su
significado
Como grupo, discutir los posibles usos de
este nivel de la licencia
2013-01-01
101
Fin de Laboratorio 1
2013-01-01
102
MODULO 2 ENRUTAMIENTO
2013-01-01
103
104
Conceptos de enrutamiento
El enrutamiento es un proceso de capa 3
del modelo OSI de la ISO.
Enrutamiento define dnde se reenva el
trfico (enviado).
Se requiere para permitir diferentes
subredes para comunicarse.
Incluso si deben estar en la misma
"alambre"
2013-01-01
105
Conceptos de enrutamiento, el
ejemplo 1
Las computadoras no se comunicarn
2013-01-01
106
Conceptos de enrutamiento,
ejemplo 2
Computadoras ahora pueden
comunicarse.
2013-01-01
107
Banderas de rutas
Rutas tienen estados. En este curso,
vamos a familiarizarnos con lo siguiente:
X: Desactivado
R: Activo
D: Dinmica
C: Conectado
S: Esttico
2013-01-01
108
Banderas de rutas
Desactivado: Router est desactivado.
No tiene influencia en el proceso de
enrutamiento.
Activo: Route est activo y se utiliza en
el proceso de enrutamiento.
Dinmica: Ruta ha sido creado por el
proceso de enrutamiento, no a travs de
la interfaz de administracin.
2013-01-01
109
Banderas de rutas
Conectado: Se crea una ruta para
cada subred IP que tiene una
interfaz activa en el router.
Esttico: ruta creada para forzar
reenvo de paquetes a travs de un
determinado destino..
2013-01-01
110
Enrutamiento estatico
2013-01-01
111
Enrutamiento estatico
Rutas a subredes que existen en un
router se crean y se conocen con ese router
automticamente. Pero, qu pasa si usted
necesita para llegar a una subred que
existe en otro router? Se crea una ruta
esttica!
Una ruta esttica es una forma de
manual de reenvo de trfico a subredes
desconocidas.
2013-01-01
112
Enrutamiento estatico
2013-01-01
113
2013-01-01
114
2013-01-01
115
Lmites de enrutamiento
esttico
No escala bien.
Se requiere configuracin manual cada
vez que una nueva subred debe ser
alcanzado.
2013-01-01
116
Lmites de enrutamiento
esttico Ejemplo
Su red crece y hay
que aadir enlaces a
los routers remotos
(y subredes).
Supongamos que
todos los routers
tienen 2 subredes
LAN y 1 o ms
subredes WAN..
2013-01-01
117
Lmites de enrutamiento
esttico ejemplo
How many static
routes to add on
router-1?
Routers 3 to 5 : 9
Router 2 : 2
Router 6 and 7 : 4
Total of 15 static
routes to add
manually!!
2013-01-01
118
Creando Rutas
Para agregar una
ruta esttica:
IP -> Routes
+ (Add)
Especificar subred
destino y mscara
Especifique
"Gateway"
(siguiente salto)
2013-01-01
119
2013-01-01
120
121
2013-01-01
122
Implementar el enrutamiento
esttico en redes simples
Ejemplo.
2013-01-01
123
Implementar el enrutamiento
esttico en redes simples
Ejercicio:
Suponiendo que las direcciones IP se
han introducido correctamente, lo que
los comandos usara para permitir las
comunicaciones completas de ambas
subredes (LAN1 y LAN2)?
(Respuesta en la siguiente diapositiva. No espiar)
2013-01-01
124
Implementar el enrutamiento
esttico en redes simples
router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2
router-2
/ip route
add gateway=10.0.0.1
2013-01-01
125
2013-01-01
126
LABORATORIO 2
Objetivos del laboratorio
1. Obtener la conectividad con otras
LUGARES o PODs LAN
2. Validar uso de ruta por defecto
3. Ver y explicar banderas ruta
2013-01-01
127
Laboratorio : Setup
2013-01-01
128
Laboratorio : paso 1
Eliminar la ruta predeterminada que se
cre en el mdulo 1
Hacer de ping otras POD '. Nota
resultados
Crear rutas estticas a subredes LAN
otras POD '
Computadoras de ping otras POD '. Nota
resultados
2013-01-01
129
Laboratorio : paso 2
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik. Nota
resultados
Crear la ruta por defecto utilizando el
router del entrenador como puerta de
entrada Internet
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik. Nota
resultados
2013-01-01
130
Fin de Laboratorio 2
2013-01-01
131
MODULO 3 BRIDGING
2013-01-01
132
Bridging Concepto
2013-01-01
133
Bridging conceptos
Los puentes son OSI capa 2 en
dispositivos.
Tradicionalmente, se utilizan para unir
dos segmentos de tecnologa diferente (o
similar).
2013-01-01
134
Bridging conceptos
Bridges tambin se utilizaron para crear
dominios de colisin ms pequeos.
El objetivo era mejorar el rendimiento al reducir el
tamao de la subred. Especialmente til antes del
advenimiento de los interruptores.
135
Ejemplo 1
Todos los equipos pueden comunicarse entre s.
Todos tienen que esperar a que todo el mundo
sea no transmita antes de poder iniciar la
transmisin!
2013-01-01
136
Ejemplo 2
Todas las computadoras todava se oyen" entre s.
Todas las computadoras ahora slo comparten la mitad
del "alambre".
Todo todava tienen que esperar a que todo el mundo
este callado antes de poder iniciar la transmisin, pero el
grupo es la mitad del tamao ahora.
Mejor rendimiento para todos los dispositivos!
2013-01-01
137
Usando bridges
Por defecto, en los routers MikroTik,
puertos Ethernet estn asociados (esclavo)
a un puerto maestro.
Ventaja: conmutacin de la velocidad del
cable (a travs de chips de conmutacin, no
software).
Desventaja: No la visibilidad del trfico de
los puertos de esclavos. No es conveniente si
se utiliza SNMP para supervisar el uso de
puertos.
2013-01-01
138
Usando bridges
Mediante la eliminacin de configuracin
maestro y esclavo, debe utilizar una
interfaz de puente para agrupar a ella los
puertos necesarios en una sola LAN.
o Ventaja: Completa la visibilidad de todas las
estadsticas de puerto para los puertos.
o Desventaja: El cambio hace a travs de software.
Algunos CPU golpe. Menos de una velocidad ptima
de transferencia de paquetes.
2013-01-01
139
Creando bridges
Usando Menus
Bridge
Add (+)
Name the bridge
Click OK and Listo!
2013-01-01
140
Creando bridges
2013-01-01
141
2013-01-01
142
2013-01-01
143
2013-01-01
144
2013-01-01
145
2013-01-01
146
LABORATORIO 3
Objetivos del laboratorio
Crear un puente
Asignar puertos a un puente
Validar que siguiendo estos pasos, puede
asignar todos los puertos libres a la misma
subred
2013-01-01
147
Laboratorio : Diagrama
2013-01-01
148
Laboratorio: paso 1
Lanzar ping t w 500 192.168.0.254.
Desconecte el cable de red desde el puerto
actual (# 2) y conectarlo en otro puerto.
Discutir los resultados.
Deje la ventana de comandos en
funcionamiento y visible a travs de este
laboratorio.
2013-01-01
149
Laboratorio: paso 2
Conecte al router en modo alguno que
funcione.
Crear una interfaz de puente. El nombre
de "LAN" y dejar los otros valores en su
defecto.
Asignar la direccin IP de la LAN de la
POD (192.168.x.1) a la interfaz de puente.
Ha cambiado algo?
2013-01-01
150
Laboratorio: paso 3
Abra la ventana "Lista de Interfaz" y comprobar
que las interfaces se estn ejecutando.
Asignar puertos # 2 al # 5 a la interfaz de
puente "LAN".
Discutir los resultados. Cundo devolver su
ping?
Cambie el cable a los puertos # 2 a # 5. Que
pas? Discuta por qu. Mira la columna de
estado. Qu significa I" decir?
2013-01-01
151
Fin de Laboratorio 3
2013-01-01
152
Wireless
MODULO 4
WIRELESS
2013-01-01
153
802.11 Conceptos
2013-01-01
154
Frecuencias
802.11b
2.4GHz (22MHz bandwidth), 11Mbps
802.11g
2.4GHz (22MHz bandwidth), 54Mbps
802.11a
5GHz (20MHz bandwidth), 54Mbps
802.11n
2.4GHz or 5GHz up to 300Mbps, if using 40MHz
channel and 2 radios (chains)
802.11ac
2.4GHz or 5GHz up to 1690Mbps, if using 160MHz
channel and 2 radios (chains)
2013-01-01
155
Frecuencias
802.11b, g rango de frecuencia
Los canales 1, 6 y 11 no se solapan
Diagram by Michael Gauthier
2013-01-01
156
Frecuencias
Rango de frecuencia 802.11a
12 20MHz canales de ancho y 5 canales
de 40MHz
2013-01-01
157
Frecuencias
Bandas
Mikrotik soporta tanto 5GHz (802.11a / n) y
las bandas de 2,4 GHz (802.11b / g / n) y
ahora saliendo los equipos AC en 5Ghz
2013-01-01
158
Frecuencias
La funcin de "Canales avanzadas" ofrece
posibilidades extendidos en configuracin
de la interfaz inalmbrica:
2013-01-01
159
Frecuencias
Tasas bsicas son las velocidades que un cliente debe
ser compatible con el fin de conectarse a un AP
Tasas compatibles son las velocidades que se pueden
alcanzar una vez que la conexin se ha aceptado
(factores pueden influir en la velocidad mxima
alcanzada)
Data-tasas son las tasas compatibles segn el estndar
que se utiliza.
802.11b: 1 a 11 Mbps
802.11a / g: 6 a 54 Mbps
802.11n: 6 300 Mbps, en funcin de factores tales como el ancho
de banda del canal (20 o 40 MHz), Guardia de intervalo (GI), y
cadenas
2013-01-01
160
Frecuencias
Cadenas HT
Son para antenas con una radio
Se utiliza para 802.11n, y es un factor en el
rendimiento
2013-01-01
161
Frecuencias
Modo de Frecuencia
Reguladora de dominios: canales lmite y
potencia de transmisin en base a la
normativa del pas.
Manual-txpower: Igual que el anterior pero
sin la restriccin de potencia TX.
Superchannel: ignorar todas las
restricciones
2013-01-01
162
Frecuencias
Country parmetro: Frecuencias y
limitaciones de potencia se basan en los
reglamentos "de pas". El uso de
"no_country_set" configurar el conjunto
de canales de FCC ..
2013-01-01
163
164
Establecimiento de una
conexin inalmbrica sencilla
AJUSTE PERFIL DE
SEGURIDAD!
No hacerlo es una
violacin total de la
seguridad. Deja tu red
de par en par!
2013-01-01
165
Establecimiento de una
conexin inalmbrica sencilla
Para agregar un perfil de
seguridad
2013-01-01
166
Establecimiento de una
conexin inalmbrica sencilla
Ahora usted puede utilizar su
nuevo perfil de seguridad y
sentirse mejor acerca de la
seguridad de su red
inalmbrica
2013-01-01
167
Establecimiento de una
conexin inalmbrica sencilla
Volver a las frecuencias! Cul
usar?
Haga clic en "Snooper"
Tener cuidado! Esto
desconectar la interfaz
WLAN y clientes asociados
2013-01-01
168
Establecimiento de una
conexin inalmbrica sencilla
Volver a las frecuencias! Cul
usar?
Haga clic en "Snooper"
Tener cuidado! Esto
desconectar la interfaz
WLAN y clientes asociados
Usted tiene una visin
completa de las bandas de
frecuencias utilizadas y
Seleccione un canal libre o, al
menos, uno con poco uso
2013-01-01
169
Establecimiento de una
conexin inalmbrica sencilla
configuracin de la estacin
Cliente
Mode : station
Band : Para que coincida con su
AP.
Frequency : no tiene
importancia para los clientes
2013-01-01
170
Establecimiento de una
conexin inalmbrica sencilla
Station configuration
SSID : Para que coincida con el
punto de acceso al que desea
conectarse
Wireless protocol : Para que
coincida con el punto de acceso al
que desea conectarse
Crear un perfil de seguridad,
como se demuestra en la
configuracin de "punto de
acceso", y aplicar aqu.
Parmetros deben coincidir
2013-01-01
171
2013-01-01
172
2013-01-01
173
174
2013-01-01
175
176
177
2013-01-01
178
2013-01-01
179
2013-01-01
180
181
182
La seguridad inalmbrica y
encriptacin
WPA, WPA2
Wi-Fi Protected Access (I y II)
Protocolo de autenticacin creado despus
debilidades fueron encontradas en WEP
Si se pone en marcha correctamente, WPA
es muy seguro
Debilidades a ataques de fuerza bruta se
encontraron al utilizar WPS (Wi-Fi Protected
Setup)
WPS no utilizados por Mikrotik
2013-01-01
183
La seguridad inalmbrica y
encriptacin
WPA
Se utiliza para reemplazar a WEP
(debilidades encontradas)
Utiliza TKIP como protocolo de encriptacin
Genera una nueva clave para cada paquete
2013-01-01
184
La seguridad inalmbrica y
encriptacin
WPA2
Utiliza CCMP para reemplazar como protocolo de
encriptacin
Sobre la base de AES
Ms fuerte que TKIP
Es obligatoria en dispositivos certificados Wi-Fi
desde 2006
Debe ser usado para alcanzar tasas de bits ms
altas, de otro modo limitado a 54 Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
2013-01-01
185
La seguridad inalmbrica y
encriptacin
WPA-Personal
Also referred to as WPA-PSK, is designed for
small offices and the home
Does not require an authentication server
Client to AP authentication is based on a
256-bit key generated from a pre-shared key
(PSK), which can be a password or
passphrase, known to both
2013-01-01
186
La seguridad inalmbrica y
encriptacin
WPA-Enterprise
Also referred to as WPA-802.1X mode, is
designed for enterprise networks
Uses EAP for authentication
Require a RADIUS authentication server
More complicated to deploy, but provides
added features such as protection against
dictionary attacks on weaker passwords
2013-01-01
187
188
2013-01-01
189
Monitoring tools
There are various tools that will help you
analyse whats in the air so you can choose
the frequency with no (or the least)
interference
2013-01-01
190
Monitoring tools
Wireless scan : Two options
Frequency usage
Scan
2013-01-01
191
Monitoring tools
Wireless scan :
Frequency Usage
Shows all
supported
frequencies and
their usage by
neighboring APs
Drops connected
wireless clients!
2013-01-01
192
Monitoring tools
Wireless scan :
Scan
Gives information
about neighboring
APs
Drops
connected
wireless clients!
2013-01-01
193
Herramientas de monitoreo
Snooper
Proporciona
informacin ms
detallada acerca de
otros puntos de acceso
y clientes
Desconecta clientes
inalmbricos
conectados!
2013-01-01
194
Herramientas de monitoreo
Snooper
Proporciona
informacin ms
detallada acerca de
otros puntos de acceso
y estaciones haciendo
doble clic
2013-01-01
195
Herramientas de monitoreo
Registration table : Proporciona
informacin sobre las estaciones cliente
conectadas.
til slo en los puntos de acceso.
2013-01-01
196
Herramientas de monitoreo
2013-01-01
197
Herramientas de monitoreo
Registration table
Podemos ver el
estado de conexin
actual estacin
Nota: Los comentarios
que aparecen por
encima de las estaciones
es de ficha "Lista de
acceso". til para ver
bajo las cuales criterios
se autoriz la estacin
2013-01-01
198
2013-01-01
199
2013-01-01
200
Laboratorio
Objetivos del laboratorio
Utilice las distintas herramientas para analizar los
canales y las caractersticas de las redes
inalmbricas, puntos de acceso y estaciones
utilizadas
Configurar routers PODs como clientes inalmbricos
del router del profesor
Configurar routers PODs como puntos de acceso
inalmbricos
Familiarizarse mismos con Listas Connect y listas
de acceso
2013-01-01
201
Laboratorio : Diagrama
2013-01-01
202
2013-01-01
203
Laboratorio : paso 1
USE, uno tras otro:
Frequency Usage
Scan
Hacer un vnculo entre las frecuencias y SSID
visibles
Snooper
Qu se puede decir de las redes visibles?
Qu significan los smbolos en la columna de la
izquierda representan?
2013-01-01
204
Laboratorio : paso 2
Abra la ventana "Puente" y vaya a la
pestaa "Puertos"
Mediante el uso de los procedimientos
que hemos visto en los mdulos anteriores,
agregue la interfaz "wlan1" de puente
"LAN".
Cierre la ventana de "puente"
2013-01-01
205
Laboratorio : paso 3
Abra la ventana "Wireless" y asegurarse
de que la interfaz "wlan1" est activado
2013-01-01
206
Laboratorio : paso 4
Haga doble clic en la interfaz y vaya a la pestaa
"Wireless". Haga clic en "Modo avanzado", a
continuacin, introduzca los siguientes parmetros:
Mode : ap bridge
Band : 2GHz-B/G/N
Channel width : 20MHz
Frequency : POD IMPAR use 2437, POD PARES 2462
SSID : podX
RadioName: RouterPodX
Wireless protocol : 802.11
Security Profile : default (mala idea otras veces)
Frequency Mode : Regulatory-domain
Country : <Bolivia>
Default Authenticate est activada
2013-01-01
207
Laboratorio : paso 5
Retire el cable de red entre el ordenador
porttil y el router. El cable de su router
al del profesor debe permanecer
Configure su porttil para utilizar
parmetros wi-fi de su Router
Asegrese de que tiene conectividad wi-fi
Ponga los IP al wifi de la portable
Conectarse a Internet
2013-01-01
208
Laboratorio : paso 6
Realice una copia de seguridad binaria de la
configuracin actual con el nombre de:
Module4a-podX donde X es el nmero de su
vaina
Desde la ventana "Lista de archivos", seleccione
Mdulo 3-podX y haga clic en el botn
"Restaurar" en la parte superior de la ventana
Responda "s" para reiniciar el router
2013-01-01
209
Laboratorio : paso 7
Vuelva a conectar el cable de red de su
computadora porttil a su router
Desconecte el cable de la red de su router
a otro del profesor
Ahora debera tener ningn acceso a
Internet
2013-01-01
210
Laboratorio : paso 8
Trabajo preliminar
Direccin IP para WLAN1
192.168.252.podX
2013-01-01
211
Laboratorio : paso 9
Active el "Modo avanzado" en la pestaa
"Wireless" de "Interfaz <wlan1>"
Tenemos que conectar con la AP de la
clase. Los siguientes parmetros deben ser
compatibles con la de la AP conectarse.
Mode : Station
Band : 2GHz-only-N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : Cliente
2013-01-01
212
Laboratorio : paso 10
Frequency Mode : regulatory-domain
Country : Bolivia.
Leave Default Authenticate checked for
now
Haga clic en Aceptar y seleccione la
pestaaRegistration en la ventana Wireless
Tables
213
Laboratorio : paso 11
Antes de la navegacin puede trabajar,
vamos a corregir nuestras tablas de
enrutamiento.
Redefinir la puerta de enlace
predeterminada para ser 192.168.252.254
Redefinir la ruta a la interfaz LAN del pod
de tu prjimo (192.168.Y.1) que pasar por
192.168.252.Y
Ping a su vecino LAN (192.168.Y.1)
Cul es el resultado? Chequea DNS y NAT
2013-01-01
214
FIN DE LABORATORIO 4
2013-01-01
215
Administracin de redes
MODULO 5
2013-01-01
216
ARP
2013-01-01
217
ARP
Soportes para "Address Resolution
Protocol"
Mecanismo que une capa direccin IP 3 a
la capa 2 de direcciones MAC
Se utiliza normalmente como un proceso
dinmico, pero se puede configurar de
forma esttica en ciertas situaciones
donde la seguridad lo amerita
2013-01-01
218
ARP modos
Modos ARP "dicen RouterOS cmo ARP es
trabajar
Los modos se configuran en una base "por interfaz
2013-01-01
219
2013-01-01
220
2013-01-01
221
ARP syntax
View ARP table :
/ip arp print
222
2013-01-01
223
DHCP server
Soportes para Dynamic Host
Configuration Protocol
Se utiliza para asignar automticamente
una direccin IP, mscara de red, puerta
de enlace predeterminada y,
opcionalmente, otros parmetros a los
nodos que solicitan
2013-01-01
224
2013-01-01
225
226
2013-01-01
227
2013-01-01
228
229
2013-01-01
230
2013-01-01
231
2013-01-01
232
DHCP cliente
233
2013-01-01
234
Gestin de arrendamiento
La seccin "/ip dhcp-server lease" proporciona
informacin sobre los clientes DHCP y
arrendamientos
Muestra arrendamientos dinmicos y estticos
Se puede convertir un permiso dinmico en uno
esttico
Puede ser muy til cuando un dispositivo tiene que mantener la
misma direccin IP
Tener cuidado! Si cambia la tarjeta de red, se pondr una nueva
direccin. una direccin por MAC
2013-01-01
235
Gestin de arrendamiento
Servidor DHCP se podra hacer para
funcionar nicamente con direcciones
estticas
Los clientes slo recibirn las
direcciones IP preconfigurados
Evale su situacin y la necesidad de
hacer esto antes de hacerlo de esta
manera. Se requerir mucho trabajo para
grandes redes
2013-01-01
236
Gestin de arrendamiento
syntax
To view DHCP leases
/ip dhcp-server lease print
/ip dhcp-server lease print detail (gives more
detailed information)
237
RouterOS Herramientas
2013-01-01
238
E-mail
Una herramienta que le permite enviar
correo electrnico desde el router
Se puede utilizar, junto con otras
herramientas, para enviar las copias de
seguridad de configuracin regulares
administrador de red, por ejemplo,
Tool CLI path
/tools e-mail
2013-01-01
239
E-mail, Ejemplo
Configuracion SMTP server
/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded password=never123! port=\
587 start-tls=yes user=mymail@gmail.com
2013-01-01
240
Netwatch
Una herramienta que le permite
controlar el estado de los dispositivos de
red
Para cada entrada, puede especificar
IP address
Ping interval
Up and/or Down scripts
2013-01-01
241
Netwatch
MUY til
Ser conscientes de los fallos de red
Automatizar un cambio de puerta de enlace
predeterminada, por ejemplo, en caso de
fracasar las principales
Slo para tener una vista rpida de lo que
est arriba
Cualquier otra cosa que se puede llegar a
simplificar y agilizar su trabajo (y te hacen
ver eficiente!)
2013-01-01
242
Ping
Herramienta de conectividad bsica que utiliza
mensajes de eco ICMP para determinar la
accesibilidad host remoto y el retardo de ida y
vuelta
Una de las primeras herramientas a utilizar
para solucionar problemas. Si hace ping, el
anfitrin est vivo (desde el punto de vista de
redes)
Utilcelo con otras herramientas para
solucionar problemas. No es la ltima
herramienta, pero un buen comienzo
2013-01-01
243
Ping syntax
CLI
CTRL-C para parar
[admin@MikroAC1] > ping www.mikrotik.com
HOST
SIZE TTL TIME STATUS
159.148.147.196
56 50 163ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms max-rtt=163ms
2013-01-01
244
Traceroute
Se utiliza para mostrar todos los routers
viajaron hasta llegar a su destino
Indica el retraso para llegar a cada router
en el camino para llegar a su destino
Bueno para localizar un fallo o nodo lenta
2013-01-01
245
Traceroute
CLI
/tools traceroute www.mikrotik.com
[admin@MikroAC1] > /tool traceroute
# ADDRESS
1
2 216.113.124.190
3 216.113.122.230
4
5 216.6.99.14
6 80.231.130.121
7 80.231.130.86
8 80.231.154.70
9 80.231.153.122
10 195.219.50.38
11 87.245.233.178
12 87.245.242.94
13 85.254.1.226
14 85.254.1.6
15 159.148.16.2
16 159.148.42.129
17
18
19
20
21 159.148.147.196
-- [Q quit|D dump|C-z pause]
2013-01-01
www.mikrotik.com
LOSS SENT
LAST
100%
3 timeout
0%
3 13.9ms
0%
3
9.6ms
100%
3 timeout
0%
3 114.4ms
0%
3 104.5ms
0%
3 103.2ms
0%
3 136.5ms
0%
3
113ms
0%
3 111.9ms
0%
3 140.7ms
0%
3
169ms
0%
3 173.3ms
0%
3 165.2ms
0%
3 165.3ms
0%
3 167.6ms
100%
3 timeout
100%
3 timeout
100%
3 timeout
100%
2 timeout
0%
2 156.9ms
AVG
BEST
12.2
9
11.1
7.5
13.9
9.8
1.2
1
114.7
105.7
107.5
119
110.7
115
159.6
173
168.4
166.7
166.1
166.6
113.6
104.5
103.2
104.3
106.4
110.7
135.7
169
164.6
165.1
165.3
165.6
116.2
107.1
115.4
136.5
113
122.5
202.4
178.4
173.3
169.7
167.3
167.6
1.1
1.1
5.6
13.3
3.1
5.3
30.3
4
3.6
2.1
0.8
0.8
155.7
154.5
156.9
1.2
<MPLS:L=400657,E=0>
<MPLS:L=420033,E=0>
<MPLS:L=795472,E=0>
<MPLS:L=485138,E=0>
246
2013-01-01
247
USAGE
0%
0%
0%
0%
0.5%
0.5%
99%
0%
0%
Para ms detalles sobre los procesos y lo que significan, por favor visite
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
2013-01-01
248
System identity
Aunque no es una herramienta, es importante para
establecer la identidad del sistema.
No se puede gestionar 100 routers que todos tienen el
nombre "Mikrotik". Se hace casi imposible la solucin de
problemas.
Una vez establecido, se har la identificacin del router
que est trabajando mucho ms simple
.Syntax
249
250
Supout.rif
Supout.rif es un archivo de soporte
utilizado para RouterOS depurar
propsitos y para ayudar al personal de
apoyo Mikrotik resolver problemas ms
rpido
Syntax
CLI : /system sup-output
2013-01-01
251
Supout.rif
Una vez
generado, el
archivo
"supout.rif" se
encuentra en la
lista de archivos
2013-01-01
252
Supout.rif Viewer
Para acceder al
visualizador
supout.rif", acceder
a su cuenta
Mikrotik
Usted debe tener
una cuenta (es una
buena idea tener
uno de todos
modos)
2013-01-01
253
Supout.rif Viewer
Los primeros pasos
son para localizar y
cargar el archivo
que gener
Comience a
navegar todos los
aspectos de la
configuracin
La vista
predeterminada es
"recurso"
2013-01-01
254
Autosupout.rif
Un archivo se puede generar de forma
automtica en caso de fallo de software (ej.
Kernel Panic o el sistema deja de
responder durante un minuto)
Hecho por el organismo de control
(sistema)
2013-01-01
255
2013-01-01
256
System logging
Comportamiento
Las tareas que el router emprender con ciertos
eventos
Reglas dicen que el router que "accin" para tomar
Hay cinco tipos de acciones, por lo que puede tener
un sistema de registro muy flexible
Sugerencia
Debe definir noticias "acciones" en primer lugar que
no se pondrn a disposicin de acciones
personalizadas a sus "reglas" hasta que se crean
2013-01-01
257
System logging
Actions, Ejemplos
[admin@MikroAC5] > /system logging action print
Flags: * - default
#
NAME
TARGET
0 * memory
memory
1 * disk
disk
2 * echo
echo
3 * remote
remote
4
webproxy
remote
5
firewallJournal
remote
2013-01-01
REMOTE
172.16.1.105
172.16.1.105
172.16.1.105
258
System logging
Rules
Cuentan RouterOS la "accin" para llevar a cabo con
un determinado evento (que se llama un topic")
Usted puede tener ms de una regla para un mismo
tema, cada regla de realizar una "accin" diferente
Usted puede tener una regla con dos o ms temas, la
realizacin de una "accin"
Adicin de reglas es simple, elegir uno o varios
temas, nombrar la regla, elija una accin. (Por esta
razn, se sugiere crear acciones primero)
2013-01-01
259
System logging
Rules, examples
[admin@MikroAC5] > /system logging print
Flags: X - disabled, I - invalid, * - default
#
TOPICS
0 * info
!firewall
1 * error
2 * warning
3 * critical
4
firewall
5
firewall
6
info
!firewall
7
error
8
warning
9
critical
10 X snmp
11
web-proxy
!debug
2013-01-01
ACTION
memory
PREFIX
INF
memory
memory
memory
memory
firewallJournal
remote
ERR
WRN
CRT
FW
FW
INF
remote
remote
remote
memory
webproxy
ERR
WRN
CRT
SNMP
PROXY
260
Ver actions
/system logging action print
Grabar los errores en syslog server
/system logging action
add bsd-syslog=yes name=firewallJournal
remote=172.16.1.105 src-address=10.5.5.5 syslog-facility=local5
target=remote
2013-01-01
261
2013-01-01
262
Configuracin Leible
Tambin conocido como "Que quede claro!"
La oscuridad es su peor enemigo. Mantenga sus
configuraciones clara y legible a travs de comentarios,
los nombres y la uniformidad
Comentarios: Dar una descripcin simple del tema
Nombres: Hacerlos significativa
Uniformidad: hacer las cosas de la misma manera en
todas partes
Por qu debera hacer todo esto?
Para ti. A la larga, esto simplificar tu trabajo y te
hacen ver eficiente (de nuevo)
2013-01-01
263
Configuracin Leible
Ejemplo
2013-01-01
264
Network diagrams
265
Network diagrams
Ejemplo
Todos los
puertos estn
marcados,
incluso los
disponibles
Los dispositivos
se identifican
Revisin #
actualizada
2013-01-01
266
2013-01-01
267
LABORATORIO 5
Objetivos del laboratorio
Practique conceptos ARP que se
muestran en este mdulo
Aadir funcionalidad DHCP (cliente y
servidor) a su router
Utilice varias herramientas de solucin
de problemas
2013-01-01
268
Laboratory : Setup
2013-01-01
269
Laboratorio : Paso 1
Muestra las entradas ARP del router
Identificar cada entrada
Con base en el diagrama de la red, tiene
sentido? Comparar con el puerto de la
direccin MAC se supo
Validar en el que el modo de ARP sus interfaces
Agregar una direccin MAC falsa como si se
supiera desde el puente llamado "LAN"
2013-01-01
270
Laboratorio : Paso 2
Aadir un cliente DHCP en la interfaz WLAN1
Pregunte al entrenador para hacer una reserva
esttica en su servidor DHCP. El cuarto dgito
de su direccin IP debe coincidir con su vaina
Dar el entrenador direccin MAC de su interfaz
WLAN desde el router no ha sido nombrado
todava
Eliminar su direccin IP esttica
Renueve su direccin del cliente DHCP
Cul es la direccin de final?
2013-01-01
271
Laboratorio : Paso 3
Limpieza
Al crear el cliente DHCP, la opcin "Aadir ruta
por defecto" se establece en yes. Esto significa
que el cliente DHCP recibe una ruta por defecto
de forma dinmica
Muestra tus rutas. Qu ves en la ruta por
defecto?
Qu debe hacerse ahora para limpiar esta
tabla?
2013-01-01
272
Laboratorio : Paso 4
Configurar el servidor DHCP para los
ordenadores del puente "LAN
Crear la configuracin que asegure que los
clientes recibirn una direccin IP siempre
El servidor DNS est en la misma direccin que
la puerta de enlace predeterminada (enrutador)
Vuelva a configurar el equipo para que reciba una
direccin IP de su router
Configurar el router para que el equipo siempre se sale
con la direccin .20X (donde X es la direccin de su
vaina)
Qu tienes que hacer para conseguir esa direccin?
2013-01-01
273
Laboratorio : Paso 5
Limpieza
Aadir un comentario a su direccin esttica
para indicar lo que la reserva es para
En la pestaa DHCP del servidor DHCP,
darle un nombre significativo al servidor
DHCP (actualmente llamado dhcp 1)
2013-01-01
274
Laboratorio : Paso 6
E-mail setup
Configure los ajustes de correo electrnico
que permite enviar mensajes de correo
electrnico a una direccin de correo
electrnico personal.
Usted puede utilizar su propia cuenta de
correo electrnico para probar esto
Pon a prueba tu configuracin con un correo
electrnico de prueba
2013-01-01
275
Laboratorio : Paso 7
Netwatch
Utilice esta herramienta para controlar un
nodo prueba suministrada por el entrenador
Para acelerar las cosas, configurar intervalo
de supervisin a los 30 segundos
2013-01-01
276
Laboratorio : Paso 8
Netwatch
Use este scripts:
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
/tool e-mail send to=<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."
2013-01-01
277
Laboratorio : Paso 9
Netwatch
Apague el nodo prueba. Compruebe que
recibe un e-mail indicando el cambio de
estatus. Debe ser algo como esto
2013-01-01
278
Laboratorio : Paso 10
Ping
Utilice la herramienta de ping para validar
que el nodo de prueba responde a los
paquetes de eco ICMP
Traceroute
279
Laboratorio : Paso 11
Profiler
Inicie la herramienta de perfiles y ver los
distintos procesos que se ejecutan en su
router
Qu representa el porcentaje ms alto?
Ordenar las tareas por "uso"
2013-01-01
280
Laboratorio : Paso 12
Supout.rif
Cree un archivo supout.rif. Dnde est?
Sube y echar un vistazo a las diferentes
secciones de su router, como se ve por el visor
supout.rif. Es interesante ver que un archivo
tan pequeo puede recorrer un largo camino
para ayudar a Mikrotik ayudarle.
Nota importante: Si usted no tiene una cuenta de Mikrotik, por
favor crear una ahora, ya que se requiere para tomar el examen de
certificacin !!
2013-01-01
281
Laboratorio : Paso 13
Logging
Crear una accin:
El tipo es "memoria"
Crear una regla:
temas "e-mail" y "depuracin"
Accin "accion1"
Abra la ventana "log"
Volver a la herramienta de correo
electrnico y enviarse un correo electrnico de
prueba. Qu es lo que se ve en la ventana de
registro?
2013-01-01
282
Laboratorio : Paso 14
La limpieza de nuestra configuracin
Vaya a la ventana, en la ficha Seguimiento de
las Acciones y cambiar el nombre "accion1" a "Email-depuracin"
Que pas? Cambiar el nombre de "accion1" a
"EmailDebug"
Cambie de nuevo a la ficha Reglas. Qu notas
acerca de la entrada "e-mail, depurar"?
Realice una copia de seguridad binaria de la
configuracin que respeta la estructura de nombre de
archivo anterior desde el mdulo anterior
2013-01-01
283
Laboratorio : Paso 15
Por ltimo, cambiar el nombre de su
router de manera que:
que lleva el nombre de su POD
La primera letra se escribe con mayscula
284
FIN DE LABORATORIO 5
2013-01-01
285
MODULO 6 FIREWALL
2013-01-01
286
Firewall Principios
2013-01-01
287
Firewall principles
Un firewall es un servicio que permite o
bloquea los paquetes de datos que va a
travs de l o basado en reglas definidas
por el usuario.
El servidor de seguridad acta como una
barrera entre dos redes.
Un ejemplo comn es su LAN (de
confianza) e Internet (no fiable).
2013-01-01
288
Firewall principios
Cmo funciona el firewall
El firewall funciona con reglas. Estos tienen dos partes
El matcher: Las condiciones que necesitas un partido
La Accin: Qu voy a hacer una vez que tengo un partido
El matcher analiza parmetros como:
Direccin MAC de origen
Direcciones IP (red o lista) y los tipos de direcciones (emisin, local,
multicast, unicast)
Puerto o puerto serie
Protocolo
Opciones de protocolo (tipo y cdigo campos ICMP, banderas TCP,
opciones IP)
Interfaz del paquete llega o sale a travs de
byte DSCP
Y ms
2013-01-01
289
290
Packet flows
Overall diagrams
2013-01-01
291
Packet flows
2013-01-01
292
Packet flows
2013-01-01
293
2013-01-01
294
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
2013-01-01
295
296
El seguimiento de conexiones y
estados
El seguimiento de conexiones gestiona la informacin
sobre todas las conexiones activas.
Antes de crear los filtros de firewall (o reglas), es bueno
saber qu tipo de trfico pasa a travs de su router. El
seguimiento de conexiones que muestran precisamente
eso.
Flags: S - seen reply, A - assured
#
PROTOCOL SRC-ADDRESS
0 SA tcp
172.16.2.140:52010
1
ospf
172.16.0.6
2 SA tcp
172.16.2.100:49164
3 SA tcp
172.16.2.122:61739
4 SA tcp
172.16.2.130:58171
5 SA gre
172.16.0.254
6 SA udp
172.16.0.254:4569
7 SA tcp
172.16.2.130:58174
8 SA tcp
172.16.2.140:52032
9 SA tcp
172.16.2.107:47318
10 SA tcp
172.16.2.102:57632
11
ospf
172.16.0.5
12 SA tcp
172.16.2.102:56774
13 SA tcp
172.16.2.102:56960
14 SA tcp
172.16.0.254:37467
15 SA tcp
172.16.2.107:39374
2013-01-01
DST-ADDRESS
17.172.232.126:5223
224.0.0.5
172.16.9.254:445
206.53.159.211:443
17.149.36.108:443
172.16.0.1
209.217.98.158:4569
173.252.103.16:443
69.171.235.48:443
173.252.79.23:443
173.252.102.241:443
224.0.0.5
65.54.167.16:12350
173.194.76.125:5222
172.16.0.1:1723
79.125.114.47:5223
TCP-STATE
TIMEOUT
established 23h42m6s
5m49s
established 23h42m51s
established 23h44m8s
established 23h43m41s
4h44m11s
13m9s
established 23h42m40s
established 23h43m27s
established 23h43m26s
established 23h44m15s
5m49s
established 23h35m28s
established 23h43m57s
established 4h44m11s
established 23h29m1s
297
El seguimiento de conexiones y
estados
En caso de que deshabilite el seguimiento
por cualquier razn, las siguientes
caractersticas no funcionarn:
NAT
Firewall
connection-bytes
connection-type
connection-limit
layer7-protocol
new-connection-mark
connection-mark
connection-state
connection-rate
p2p
tarpit
298
El seguimiento de conexiones y
estados
Estados de conexin (suponiendo cliente-A est iniciando
una conexin con el cliente-B):
Established
una sesin TCP con el host remoto se ha establecido,
proporcionando una conexin abierta, donde se pueden intercambiar datos
Time-wait
tiempo de espera para asegurar que host remoto ha
recibido un acuse de recibo de su solicitud de finalizacin de conexin
(despus de "cerrar")
Close
Representatividad en espera de una peticin de terminacin de
conexin desde la distancia
Syn-sent
Client-A est a la espera de una solicitud de conexin a
juego despus de haber enviado a uno
Syn-received
Client-B est esperando una confirmacin de solicitud de
conexin reconocimiento despus de haber recibido tanto y se enva una
solicitud de conexin
2013-01-01
299
El seguimiento de conexiones y
estados
El uso de seguimiento de conexiones
permite el seguimiento de conexiones
UDP, incluso si UDP no tiene estado.
Como tal, el firewall de Mikrotik puede
filtrar en UDP "estados".
Primer paquete ser "nueva", el resto
puede ser aceptada como lo establece si no
se alcanza el valor UDP-timeout.
2013-01-01
300
Estado de conexin
- new
En que primer paquete que se puede
establecer la entrada de seguimiento de
conexiones
De paquetes TCP SYN Primera
En primer paquete UDP
Estado de conexin
- established
Los paquetes de conexiones ya se conocen
El resto de la comunicacin UDP, si la tasa de
paquetes puede mantener la entrada del tiempo
de espera
Es una buena idea para aceptarlos
Estado de conexin
- realted
Conexin que se crea por otra conexin,
ya establecido.
Por ejemplo, la conexin de datos de la
PTF es creado por conexin de gestin
FTP.
Es esencial para ellos aceptarlo
Estado de conexin
- invalid
Cualquier paquete con estado desconocido
Es buena idea dejarlos DROP
306
307
Filtros de cortafuegos en
accin
2013-01-01
308
309
2013-01-01
310
2013-01-01
311
312
Filter Matchers
Antes de tomar "accin" en un paquete,
debe estar identificado.
Comparadores son muchos!
2013-01-01
313
Filter actions
Una vez que el paquete ha sido adaptado a una regla,
una accin se aplicar a la misma.
Filtros de firewall de MikroTik tienen 10 acciones.
Accept
Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list
Add destination address to address list specified by address-list parameter. Packet is passed to next
firewall rule.
Add-src-to-address-list
Add source address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Drop
Silently drop the packet. Packet is not passed to next firewall rule.
Jump
Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule (in
the user-defined chain).
Log
Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough Ignore this rule and go to next one (useful for statistics).
Reject
Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return
Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in originating
chain, if there was no previous match to stop packet analysis).
Tarpit
Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to next
firewall rule.
2013-01-01
314
La proteccin de su enrutador
(input)
La cadena de entrada se ve en el trfico
dirigido al router.
Las normas que se agregan en la cadena
de entrada deben evitar que los piratas
lleguen al router sin detenerlo de hacer su
trabajo.
2013-01-01
315
La proteccin de su
enrutador(example)
Las siguientes son sugerencias!
Supongamos que ether01 est conectado a la red WAN (red no
fiable) y estamos utilizando la "confianza dentro" la poltica..
Acepte respuestas de eco ICMP (Es posible que desee hacer ping a
un servidor en Internet. Sera til para que usted pueda obtener
las respuestas!)
Cada de peticiones de eco ICMP (Usted no quiere que otros ping
ti. Permanezca bajo el radar!)
Acepte todos "establecido" y el trfico de entrada "relacionados"
(Usted querr las respuestas a lo que el enrutador pedimos, como
las solicitudes NTP y DNS)
Cada de todos "no vlido" el trfico de entrada (Cualquiera que
sea el router recibe que no pidi)
Entra el resto del trfico de entrada (Me he perdido algo
importante?)
Suelta el resto del trfico de entrada (Quiero estar seguro!)
2013-01-01
316
La proteccin de Clientes(forward)
Como se dijo antes, la cadena hacia
adelante mira el trfico que va a travs
del router.
Las reglas que se aaden en la cadena
hacia adelante debe evitar que los piratas
lleguen a su red "seguro" y sin que nos
impida hacer su trabajo.
2013-01-01
317
2013-01-01
318
Lo que se ve en el final
2013-01-01
319
320
Basic address-list
2013-01-01
321
Basic address-list
Las listas de direcciones son grupos de
direcciones IP
Pueden ser utilizados para simplificar las
reglas de filtrado
Por ejemplo, podra crear 100 reglas para
bloquear 100 direcciones o !!
Se puede crear un grupo con esos 100
direcciones y crear una sola regla de filtrado.
hackers
2013-01-01
322
Basic address-list
Pueden ser utilizados en los filtros de cortafuegos, NAT
mangle y las instalaciones.
Creacin de listas de direcciones se puede automatizar
mediante el uso de add-src-a-direccin-lista o add-dst-adireccin-lista de acciones en las instalaciones de filtrado
del cortafuegos, mangle o NAT.
Esta es una gran manera de bloquear automticamente direcciones
IP sin tener que introducir uno a uno
Example : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd in-interface=ether1Internet psd=21,3s,3,1
2013-01-01
323
2013-01-01
324
Source NAT
2013-01-01
325
NAT
Network Address Translation (NAT) permite a
los hosts para utilizar un conjunto de direcciones
IP en el lado LAN y otro conjunto de direcciones
IP al acceder a redes externas.
Fuente NAT traduce las direcciones IP privadas
(en la LAN) a direcciones IP pblicas cuando se
accede a Internet. El revs se hace para el
trfico de retorno. Se refiere a veces como
"esconder" su espacio de direcciones (de la red)
detrs del ISP suministra direccin.
2013-01-01
326
Enmascarado y la accin-src
nat
La primera cadena de NATing es "srcnat". Es usado por
el trfico que sale del router.
Al igual que los filtros de firewall, reglas NAT tienen
muchas propiedades y acciones (13 acciones).
La primera, y la ms bsica de las reglas NAT, slo
utiliza la accin "mascarada".
Masquerade sustituye la direccin IP de origen en
paquetes de un solo determinados por la instalacin de
enrutamiento.
Por lo general, la direccin IP de origen de los paquetes que van
a la Internet ser reemplazado por la direccin de la interfaz
externa (WAN). Esto es necesario para el trfico de retorno a
"encontrar su camino a casa".
2013-01-01
327
328
Destination NAT
2013-01-01
329
DST-nat y la accin de
redireccin
"Dst-nat" es una accin se utiliza con la
cadena "dstnat" para redirigir el trfico
entrante a una direccin IP diferente o
puerto
Ejemplo de uso: En nuestro Alfa y Beta anterior
ejemplo, vemos que se requieren normas-DST nat
reconvertir el "buffer direccin IP" a la direccin del
servidor de Beta.
2013-01-01
330
DST-nat y la accin de
redireccin
"Redirect" cambia el puerto de destino al
puerto especificado "al-puertos" del router.
Ejemplo de uso: Todas http (TCP,
puerto 80) el trfico se va a enviar al
servicio web proxy en el puerto TCP
8080.
2013-01-01
331
NAT Syntax
Source NAT (from /ip firewall nat)
Add the masquerade rule
Destination NAT
Redirect all web traffic (TCP, port 80) to the router's web proxy on port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
2013-01-01
332
2013-01-01
333
LABORATORIO 6
Objetivos del laboratorio
Configuracin de reglas bsicas de
cortafuegos
Configurar una direccin de la lista bsica
Aplicar reglas bsicas NAT origen y ponerlas
a prueba
Aplicar reglas bsicas NAT destino y
ponerlas a prueba
2013-01-01
334
Laboratory : Diagrama
2013-01-01
335
Laboratorio: paso 1
Laboratorio: paso 2
Vamos a hacer las cosas ms interesantes
aadiendo reglas de filtrado. Aplique las
siguientes reglas para el trfico entrante en la
interfaz WAN.
Acepte respuestas de eco ICMP
Cada de peticiones de eco ICMP
Acepte todos "establecida" y "relacionados con" el trfico de
entrada y hacia adelante
Cada de todas las entradas "no vlido" y el trfico hacia
adelante
Entra el resto de la entrada y el trnsito hacia adelante
Suelta el resto de la entrada y el trnsito hacia adelante
Aadir comentarios significativos a todas las reglas.
Haga lo mismo con los prefijos "log" REGLAS ".
2013-01-01
337
Laboratorio: paso 3
Ahora que ya tiene normas, revisar sus
registros. Mira los mensajes y su formato
Al ver lo que se ve ahora, cree
solucionando problemas de conexin sera
ms fcil? Por qu?
2013-01-01
338
Laboratorio: paso 4
Crear listas de direcciones que
representan a todas las vainas
Utilice el siguiente formato:
Nombre: Pod1
Direccin: <red / mscara> de la LAN
Nombre: Pod1
Direccin: <IP> de la interfaz WAN
Hacerlo para todos pod, incluso su propio pod
2013-01-01
339
Laboratorio: paso 5
Grupos de dos en dos para las siguientes pruebas
Cierre la ventana de su WinBox y vuelva a abrirlo, se
conecta a su router pareja. Lo que est sucediendo?
Con una regla de filtrado SOLAMENTE, permitir que
todas las direcciones IP de usted mira con fijeza pod para
conectarse a su router con WinBox (TCP, 8291)
2013-01-01
340
Laboratorio: paso 6
Para probar la redireccin de puertos,
tendremos que hacer un pequeo cambio
en los servicios de IP de su vaina.
En la seccin de servicios IP, cambie el
puerto WinBox a 8111.
2013-01-01
341
Laboratorio: paso 7
Cierre y vuelva a abrir la interfaz WinBox sin
aadir parmetros especiales. Qu resultado se
puede conseguir?
Inicie sesin en el WinBox utilizando el puerto
8111.
Crear una regla-dst nat con una accin de
redireccin al puerto 8111 en todo el puerto 8291
el trfico TCP.
Cierre y vuelva a abrir WinBox sin el puerto
despus de la direccin IP. Funciona ahora?
Acceda a usted mira con fijeza enrutador de
pod. Lo que est sucediendo?
2013-01-01
342
Laboratorio: paso 8
Regrese al puerto WinBox a su valor
normal de 8291.
Desactivar (no eliminar) la regla dstnat
de "reorientar".
Cierre WinBox y validar que se puede
iniciar sesin en el router y el router de su
pares normalmente.
2013-01-01
343
Laboratorio: paso 9
Crear una regla-dst nat con una accin de
redireccin al puerto 8291 en todo el
puerto TCP 1313 el trfico que entra en el
puerto WAN.
Abra WinBox e iniciar sesin en el router
a travs del puerto 1313.
Abra WinBox e iniciar sesin en el router
de su pares a travs del puerto 1313.
Explicar los diferentes resultados.
2013-01-01
344
Laboratorio: paso 10
Hacer una exportacin y una copia de
seguridad binaria bajo el nombre de
archivo module6-podx.
2013-01-01
345
FIN DE LABORATORIO 6
2013-01-01
346
MODULO 7 QOS
2013-01-01
347
2013-01-01
348
Introduccin
QoS (calidad de servicio) es el arte de la
gestin de los recursos de ancho de banda
y no slo "a ciegas" ancho de banda que
limita a ciertos nodos
QoS puede priorizar el trfico basado en
mtricas. til para
Las aplicaciones crticas
Trfico sensible como flujos de voz y video
2013-01-01
349
Introduccin
Colas simples son un ... simple ... forma
de limitar el ancho de banda de
Subida del Cliente
Descarga del Cliente
Agregada de cliente (carga y
descarga)
2013-01-01
350
Target Objetivo
Target es la interfaz a la que se aplica la
cola sencilla
DEBE especificar un objetivo. Puede ser
Una direccin IP
Una subred
Una interfaz
Orden de la cola es importante. Cada
paquete debe pasar por cada cola sencilla
hasta que se produzca una coincidencia
2013-01-01
351
Destinos
Direccin IP donde el trfico del objetivo
est dirigido, o
Interface a travs del cual el trfico de
destino fluir a travs de
No es obligatorio, como el campo
"objetivo"
Se puede utilizar para limitar la
restriccin de la cola
2013-01-01
352
353
Bursting Rafaga
Bursting permite a los usuarios de
conseguir, por un tiempo corto, ms ancho
de banda que el permitido por el
parmetro "max-lmite".
til para impulsar el trfico que no
utiliza el ancho de banda con demasiada
frecuencia. Por ejemplo, HTTP. Obtener
una pgina de descarga rpida, que ley
durante unos segundos
2013-01-01
354
Bursting
Definitions.
Burst-limit : Tasa mxima de datos mientras se
permite rfaga
Burst-time : El tiempo, en segundos, durante el
cual se hizo el muestreo. No es el perodo durante el
cual el trfico va a estallar.
Burst-threshold : el valor que determinar si se
permitir a un usuario de usar la rafaga
Average-rate : Un promedio de transmisin de
datos calcula en 1/16th partes de "tiempo de rfaga".
Actual-rate : Actual tasa de transferencia de datos
(real).
2013-01-01
355
Bursting
Cmo funciona..
Se permite que estalla mientras que las estancias de tasa
promedio por debajo del umbral de estallar.
Estallar se limitar a la velocidad especificada por el lmite de
estallar.
Tasa media se calcula un promedio de 16 muestras (a tasa real)
ms de segundos en tiempo de rfaga.
Si en tiempo de rfaga es de 16 segundos, y luego se toma una
muestra cada segundo.
Si en tiempo de rfaga es de 8 segundos, luego se toma una
muestra cada segundo. Etctera
Cuando estalla aperturas, se permiti segundo en tiempo de
rfaga ms larga, que es
(umbral estallar x tiempo de rfaga) / lmite de estallar.
2013-01-01
356
Bursting
2013-01-01
357
Bursting
2013-01-01
358
Syntax
Una cola sencilla
add max-limit=2M/2M name=queue1 target=192.168.3.0/24
2013-01-01
359
Tip
Usted puede haber notado que los iconos
de cola cambian de color de acuerdo al uso.
El color tiene un significado.
Verde: 0 - 50% de ancho de banda
disponible utilizado
Yellow empresa: 51 - 75% de ancho de
banda disponible utilizado
Red: 76 - 100% de ancho de banda
disponible utilizado
2013-01-01
360
361
2013-01-01
362
363
Pcq-limit configuration
Este parmetro se mide en paquetes.
Un valor PCQ lmite grande
Crear un bfer mayor, reduciendo as los paquetes
cado
Aumentar latencia
364
Pcq-limit configuration
Qu valor se debe usar? No hay una
respuesta fcil..
Si a menudo comienza en una base "ensayo y error"
por aplicacin
Si los usuarios se quejan de latencia, reducir el
lmite pcq- (longitud de la cola) Valor
Si los paquetes tienen que pasar por un servidor de
seguridad compleja, entonces puede que tenga que
aumentar la longitud de la cola, ya que puede
introducir retrasos
Las interfaces Fast (como Gib) requieren colas ms
pequeas, ya que reducen los retrasos
2013-01-01
365
PCQ, un ejemplo
Vamos a suponer que tenemos usuarios
que comparten un vnculo WAN limitada.
Les daremos las siguientes velocidades de
datos:
Descargar: 2Mbps
Subir: 1Mbps
WAN est en Ether1
Subred LAN es 192.168.3.0/24
2013-01-01
366
PCQ, un Ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
2013-01-01
367
2013-01-01
368
Monitoring Monitoreo
2013-01-01
369
370
Torch
Torch es una herramienta de
monitorizacin de trfico en tiempo real
que se puede utilizar para monitorear el
trfico que va a travs de una interfaz.
Aunque CLI es muy flexible, la interfaz
de Torch en Winbox es muy intuitivo..
2013-01-01
371
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT
DST-PORT
53217
8291 (winbox)
TX
12.0kbps
12.0kbps
RX TX-PACKETS RX-PACKETS
4.7kbps
7
6
4.7kbps
7
6
TX
RX TX-
15.2kbps
5.1kbps
728bps
600bps
92.8kbps
5.3kbps
744bps
616bps
182.2kbps
8.4kbps
191.1kbps
8.6kbps
760bps
632bps
112.9kbps
7.0kbps
34.8kbps
6.3kbps
860.4kbps
20.0kbps
4.5kbps
5.6kbps
122.0kbps
6.3kbps
372
Torch, Winbox
2013-01-01
373
Graphs
Grfica es una herramienta utilizada para
monitorizar diversos parmetros RouterOS en el
tiempo y poner los datos recogidos en los
grficos.
Los siguientes parmetros se pueden capturar..
CPU, memory and disk usage
Interface traffic
Queue traffic
2013-01-01
374
Graphs
Primeros Pasos.
[admin@Pod3] /tool graphing> set store-every=5min pagerefresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
375
Graphs
2013-01-01
376
SNMP
SNMP, siglas de Simple Network Management
Protocol, es un protocolo estndar de Internet
utilizado para la gestin de dispositivos en las
redes IP.
Muchas de las herramientas, tanto de cdigo
abierto y comercial, estn disponibles para
gestionar sus redes y automatizar muchas
tareas.
Como todas las cosas, la configuracin debe ser
pensado desde uno podra utilizar SNMP para
hackear la red.
2013-01-01
377
SNMP
Primeros Pasos.
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
2013-01-01
378
SNMP
Especial atencin se debe dar a las
comunidades.
Dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-access=no
authentication-protocol=MD5 encryption-protocol=DES authentication-password=""
encryption-password=""
[admin@Pod3] /snmp community>
2013-01-01
379
SNMP
2013-01-01
380
2013-01-01
381
LABORATORIO 7
Objetivos del laboratorio
Configurar y probar una cola simple.
Configurar y probar una configuracin de
cola PCQ.
Ser capaz de decir a los pros y los contras de
ambos.
Pruebe las herramientas de seguimiento y
ver cmo pueden ayudar en situaciones
cotidianas.
2013-01-01
382
Laboratory : Setup
2013-01-01
383
Laboratorio : paso 1
Antes de continuar, instale un navegador
MIB de sus computadoras.
Adems, las Estudiantes deben
emparejarse para este laboratorio varios
pasos requerirn que ms de un equipo se
conecte a los routers.
http://www.ireasoning.com/mibbrowser.shtml
2013-01-01
384
Laboratorio: paso 2
Rendimiento de prueba usando un sitio web de pruebas
de velocidad. Tenga en cuenta los resultados.
Configure una cola sencilla (lo llaman "lab7") que
limitar toda su LAN para descarga 1Mbps y 512Kbps
de subida.
Rendimiento de nueva prueba.
Hacer que un compaero de estudios se conecte a su
router y repita la prueba de velocidad. Qu obtienes?
Su compaero de estudios conseguir los mismos
resultados cuando se conecta a su router?
2013-01-01
385
Laboratorio: paso 3
Aadir estallando en la cola "lab7". Los
parmetros son:
Burst limit 1M (upload), 4M (download)
Burst-threshold 1M (upload), 3M (download)
Burst-time 16 seconds for both
386
Laboratorio: paso 4
Crear un sistema basado PCQ para que todos los
ordenadores de la misma red LAN tienen un lmite de 2
Mbps para descargas y 512 Kbps para cargas.
Asegrese de que los nombres que se utilizan tienen
sentido!
Rendimiento de prueba usando un sitio web de pruebas
de velocidad. Tenga en cuenta los resultados.
Hacer un compaero de estudios se conecte a su router
y repita la prueba de velocidad. Qu obtienes? Su
compaero de estudios conseguir los mismos resultados
cuando se conecta a su router?
2013-01-01
387
Laboratorio: paso 5
Configurar la supervisin del trfico de
una manera tal que se le enviar un email si el trfico de entrada es superior a 3
Mbps en su interfaz inalmbrica.
2013-01-01
388
Laboratorio: paso 6
Utilice la herramienta torch de tal
manera que se puede ver la direccin de
origen de nodos que hacen todo el trfico
IP en cualquier puerto a travs de la
interfaz inalmbrica.
Experimente con la CLI y enfoques
winbox.
2013-01-01
389
Laboratorio: paso 7
Habilitar grficos en:
interfaz inalmbrica
recursos de hardware
Ver en su navegador
2013-01-01
390
Laboratorio: paso 8
Habilitar SNMP, y el suministro de estos
parmetros:
Su nombre como informacin de contacto.
Su nmero de lugar como ubicacin (Podx).
391
Laboratorio: paso 9
Como de costumbre, guardar la
configuracin actual en formato binario y
de texto utilizando el mismo formato de
nombre que se ha utilizado en los
laboratorios anteriores
2013-01-01
392
FIN DE LABORATORIO 7
2013-01-01
393
MODULO 8 TNELES
2013-01-01
394
Tunnels
395
PPP
2013-01-01
396
2013-01-01
397
PPP secret
Secretos PPP se encuentran en servidores
PPP y especifican los parmetros bsicos
necesarios para autenticar un cliente,
tales como:
Nombre: Identificacin del usuario
Contrasea: La contrasea del usuario
Servicio: El protocolo est dando servicio (si se deja a
"cualquiera", el secreto PPP autenticar al usuario a
travs de cualquier servicio (PPPoE, L2TP, PPTP,
etc.))
2013-01-01
399
PPP status
Representa estado actual de las conexiones.
til para depurar y verificar las operaciones
propias de sus tneles.
[admin@Pod5] > /ppp active print detail
Flags: R - radius
0
name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytes-out=0
1
name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97" address=192.168.222.2
uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytes-out=0
2013-01-01
UPTIME
4m12s
53s
ENCODING
MPPE128 statefull
MPPE128 stateless
401
IP pool
2013-01-01
402
403
Manejando Rangos
Rangos de IPs son listas de direcciones IP que
no se superponen que se pueden asignar a los
clientes a travs de servicios (DHCP, PPP,
hotspots).
Vamos a demostrar con un ejemplo. Usted tiene
50 equipos de la LAN corporativa y 50 prximos
en la de usted VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
2013-01-01
404
Manejando Rangos
Usted necesita agregar 50 computadoras
ms en la piscina de la LAN.
/ip pool print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
0 Pool-PC
1 Pool-VPN
2013-01-01
RANGES
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
192.168.5.100-192.168.5.149
405
Asignar a un servicio
Las piscinas (pools) pueden ser asignados
a servicios como DHCP, PPP y punto de
acceso.
Vamos a ver la sintaxis de las
diapositivas por venir.
2013-01-01
406
2013-01-01
407
PPPoE
Point-to-point over Ethernet es un
protocolo de capa 2.
Se utiliza a menudo por los ISP para
controlar el acceso a sus redes.
Se puede utilizar como un mtodo de
acceso en cualquier tecnologa de capa 2,
como 802.11 o Ethernet.
2013-01-01
408
PPPoE service-name
El service-name puede ser visto como el
SSID de 802,11, lo que significa que es el
nombre de la red que el cliente est
buscando.
A diferencia del SSID, si el cliente no
especifica uno, el concentrador de acceso
(servidor PPPoE) enviar todos los
service-names que servicios. El cliente
responder al primero de ellos que
responda.
2013-01-01
409
Creacin de un servidor
PPPoE
410
Creacin de un servidor
PPPoE
Antes de crear el propio servidor, cree los
parmetros de configuracin que usted
requiere (para valores distintos de forma
predeterminada), tales como:
piscinas o pools IP
perfiles PPP
secretos PPP
411
2013-01-01
412
2013-01-01
413
Creacin de un servidor
PPPoE
Consejo :
Puede dejar un puerto Ethernet sin un
puerto principal, un puente o una
direccin IP y el cliente que est conectado
a este puerto puede conseguir todava
acceso a Internet si su servidor PPPoE (y
el cliente PPPoE) est configurado
correctamente.
2013-01-01
414
Direcciones punto-punto
La forma ms fcil de crear direcciones es
codificando en la configuracin.
Direccin del / secret ppp tiene prioridad
del / perfil ppp, y ellos tienen prioridad
sobre pool / ip.
Tanto las direcciones locales y remotas
pueden ser nicos o de una piscina.
Las direcciones IP estticas o DHCP no
se deben utilizar en interfaces de cliente
PPPoE. Deje el control a la
infraestructura!
2013-01-01
415
416
2013-01-01
417
418
2013-01-01
419
2013-01-01
420
421
SERVICE CALLER-ID
PASSWORD
PROFILE
any
any
pod4-123
alain!!
Profile-external
Profile-internal
REMOTE-
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal
2013-01-01
422
2013-01-01
423
Closing note
VPN
Protocol
Encryption
Ports
Compatible
with
Notes
PPTP
1723 TCP
SSTP
443 TCP
Windows 7
2013-01-01
424
2013-01-01
425
LABORATORIO 8
2013-01-01
426
Laboratory : diagrama
2013-01-01
427
Laboratorio: paso 1
El Laboratorio se realizara en parejas.
Los estudiantes crearn tres perfiles PPP
2013-01-01
428
Laboratorio: paso 2
Crear una piscina IP para ser utilizado
por los clientes que deseen conectarse por
VPN.
Su piscina o pool ser en una red
diferente a su red LAN existente.
Asignar la piscina o pool para el perfil
para ser utilizado por su futuro VPN
"corporativo".
2013-01-01
429
Laboratorio: paso 3
Seleccione un puerto libre en el router y sacarlo
de cualquier grupo puente o puerto principal que
puede ser asignado a. No debe tener una
direccin IP o cualquier DHCP configurado en
l.
Configurar un servidor PPPoE en el router para
utilizar ese puerto. Usted debe utilizar el perfil
que ha creado para sus clientes VPN. Habilitar
slo MSChap2 para la autenticacin. Mira el
material del curso para los ajustes de
compresin y cifrado.
2013-01-01
430
Laboratorio: paso 4
Configure su ordenador para conectarse a
su router con una conexin de cliente
PPPoE.
Conectar y navegue!
Advertencias!
Compruebe la interfaz en la que se configura
el servidor (y en la que se conecta el
ordenador).
Compruebe la configuracin de perfil en su
servidor PPPoE y PPP secreto..
2013-01-01
431
Laboratorio: paso 5
432
Laboratorio: paso 6
Nada? Qu olvidamos?
Sugerencia: Una nueva regla firewall tal
vez?
Una vez que los tneles estn arriba,
mirar a los estados de las conexiones
activas ".
2013-01-01
433
Laboratorio: paso 7
Retire las rutas estticas de la tabla de
enrutamiento. Slo debe tener uno a su
Pod de grupo.
Ping a la direccin IP LAN de su Pod
compaero. Funciona? Pero el tnel est
todava? Como puede ser? (Deja el ping
en ejecucin)
Se puede hacer ping a la direccin a
distancia del tnel? No todo est perdido
entonces.
2013-01-01
434
Laboratorio: paso 8
435
Laboratorio: paso 9
Como de costumbre, guardar la
configuracin actual en formato binario y
de texto utilizando el mismo formato de
nombre que se ha utilizado en los
laboratorios anteriores
2013-01-01
436
FIN DE LABORATORIO 8
2013-01-01
437