MTCNA M1 Introduction EN v1 FINAL

MikroTik Certified Network Associate
(MTCNA)
Santa Cruz, Bolivia
Noviembre 23 al 28, 2015
POR QU TOMAR EL
CURSO MTCNA?
Introduccin a RouterOS y productos
RouterBOARD.
Te da una visin general de lo que se
puede hacer con productos RouterOS y
RouterBOARD.
Le dar una base slida y valiosas
herramientas para hacer su trabajo.
OBJETIVOS DEL CURSO

Al final de este curso, el estudiante podr:
Estar familiarizado con el software
RouterOS y productos RouterBoard
Ser capaz de configurar, administrar,
hacer resolucin de problemas bsicos
de un router Mikrotik
Ser capaz de proporcionar servicios
bsicos a los clientes
3
SOBRE EL ENTRENADOR
Lucas Evilde Carandino
Fundador y Gerente Propietario de la empresa
WEBSERVI
Estudios en Ing de sistemas y electrnica en la Univercidad Tarapaca en Chile y
UTEPSA
Ya 6 certificados Mikrotik
HORARIO
Da tpico (6 de ellos)
19h00 a 22h30 Lunes a Viernes
15h00 a 18h00 Sabado
Horaio
10 minutos de descanso
Aprox 21:00
Examen
En el ltimo da, duracin 1 hora
INTRODUCCIN PERSONA
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?
Recuerde su nmero N de POD o Lugar de clase
Mi nmero POD es: _____
RECOMENDACIONES
Las salidas de emergencia
Cdigo de vestimenta
Alimentos y bebidas, mientras que en la
clase
Este curso se basa en RouterOS 6
VARIOS
Por respeto a los dems estudiantes y el
instructor:
Ponga usted telfono celular y otras
herramientas de negocio en modo de
vibracin
Tome sus llamadas fuera del aula
MODULO 1 INTRODUCCIN
9
RouterOS and RouterBoard
10
Que es RouterOS?
Mikrotik RouterOS es el sistema
operativo del hardware Mikrotik
RouterBOARD.
Tiene todas las caractersticas necesarias
para un ISP o administrador de red tales
como enrutamiento, cortafuegos, gestin
de ancho de banda, punto de acceso
inalmbrico, enlace backhaul, gateway
hotspot, servidor VPN y ms.
11
QUE ES ROUTEROS?
RouterOS es un sistema operativo
independiente basado en el kernel v3.3.5
Linux y ofrece todas las funciones en una
instalacin rpida y sencilla y con una
interfaz fcil de usar
12
What is RouterBOARD?
Una familia de soluciones de hardware
creados por Mikrotik para responder a las
necesidades de los clientes en todo el
mundo.
Todos operan con RouterOS.
routerboard.com or
13
Integrated Solutions
Estos productos se proporcionan completo
con casos y adaptadores de corriente.
Listo para usar y preconfigurado con la
funcionalidad ms bsica.
Todo lo que necesitas hacer es conectarlo
y conectarse a Internet oa una red
corporativa.
14
RouterBOARD (boards only)

Dispositivos de la placa base pequeas
que se venden "tal cual". Usted debe elegir
el caso, adaptador de corriente y las
interfaces de forma separada. Perfecto
para el montaje de su propio sistema, ya
que ofrecen las mayores opciones de
personalizacin.
15
Enclosures
Cubiertas interiores y exteriores para
alojar sus dispositivos RouterBOARD.
Seleccione la base de:
localizacin prevista
el modelo RouterBOARD
el tipo de conexiones necesarias (USB,
antenas, etc.).
16
Interfaces
Mdulos Ethernet, fibra SFP o tarjetas de
radio inalmbricas para ampliar la
funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
Una vez ms, la seleccin se basa en sus
necesidades.
17
Accessories
Estos dispositivos estn hechos para los
productos MikroTik - adaptadores de
alimentacin, soportes, antenas e
inyectores PoE.
18
MFM
With the MFM (Made for Mikrotik)
program, 3rd party options make creating
your router even better!
19
Por qu obtener un router

integrado?
Puede abordar muchas necesidades
Algunas opciones adicionables
Poca o ninguna expansin
configuracin fija
Una solucin simple, pero slida para
muchas necesidades
20
Integrated router, Ejemplo

RB951G-2HnD
Good for home
or small office
5 Gig ports
Built-in Wi-Fi
(2,4GHz)
License level 4
21
Integrated router, Ejemplo

RB941-2nD-TC
Good for home or
small office
4 10/100
Ethernet
Built-in Wi-Fi
(2,4GHz)
License level 4
Integrated router, Ejemplos

SXT Sixpack
(1 OmniTIK U-5HnD with 5 SXT5HPnD)
Good for WISP or

company with branch
offices
5 100Mbps ports
(OmniTik)
5GHz 802.11a/n radios
Can cover 5Km
between central and
satellite sites
2013-01-01
23
Integrated router, examples

CCR1036-12G-4S
Cloud Router
Flagship model
Good for ISPs or
company networks
1U rack mount
12 Gig ports
Serial console, USB
and color touch screen
Default 4G RAM, but
can use any size of SODIMM RAM
2013-01-01
24
Note of interest
Nombres Router se seleccionan de
acuerdo con el conjunto de caractersticas.
Aqu hay unos ejemplos:
CCR : Cloud Core Router
RB : RouterBoard
2, 5 : 2,4GHZ or 5GHz wifi radio
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
25
Por qu construir su propio

router?
Puede abordar una mayor variedad de
necesidades
Muchas opciones / Lots de la expansin
add-on
configuracin personalizable
Se puede integrar en equipos cliente o
gabinete
Solucin ms completa para las
necesidades particulares
26
Custom router, examples

Flexible CPE
RB411UAHR
1 100Mbps port
1 2,4GHz radio
(b/g)
Level 4 license
Add power
supply or PoE
module
Add 3rd party
enclosure
27
Custom router, examples

Powerful Hotspot
RB493G
9 gig ports
Level 5 license
Add power supply or PoE

module
Add R2SHPn (2,4GHz radio
card)
Add R5SHPn (5GHz radio

card)
Add 3rd party enclosure

Add microSD card
2013-01-01
28
Primera vez en el router
29
Internet browser
Manera intuitiva de conectarse a un
router RouterOS.
Compatible con la mayora
Capacidad de mascara
2013-01-01
30
Internet browser
Conecte al router con un cable Ethernet
Lanzamiento del navegador
Escriba la direccin IP
Si se le solicita, inicie sesin. Nombre de
usuario es "admin" y la contrasea est en
blanco
2013-01-01
31
Internet browser
You will see:
2013-01-01
32
WinBox and MAC-Winbox

WinBox es interfaz propietaria de
Mikrotik RouterOS acceder a los routers.
Se puede descargar desde la pgina de
Mikrotik o desde el router.
Se utiliza para acceder al router a travs
de IP (capa OSI 3) o MAC (OSI capa 2).
2013-01-01
33
WinBox and MAC-Winbox

Si todava est en
el navegador,
desplcese hacia
abajo y haga clic en
"cerrar sesin"
Ya vers:
Haga clic en
"Winbox"
Guardar
"winbox.exe"
2013-01-01
34
WinBox and MAC-WinBox

Haga clic en el
icono de WinBox.
Direccin IP
192.168.88.1
continuacin, haga
clic en "Conectar"
Ya vers:
Haga clic en
"Aceptar"
2013-01-01
35
WinBoxs menus
Tome 5 minutos para ir a travs de los
mens
Tome nota especial de:IP Addresses
IP Routes
System SNTP
System Packages
System Routerboard
2013-01-01
36
Console port
Requiere que el equipo
se conecta al router a
travs de un mdem
nulo (puerto RS-232).
El valor
predeterminado es
115200 bps, 8 bits de
datos, 1 bit de
parada, sin paridad
2013-01-01
37
SSH and Telnet

Herramientas IP estndar para acceder a enrutador
Comunicaciones Telnet estn en texto claro
Disponible en la mayora de los sistemas operativos
sin SEGURIDAD !!
Comunicaciones SSH se cifran
CON SEGURIDAD !!
Muchas herramientas Open Source (gratis)
disponible como PuTTY (http://www.putty.org/)
2013-01-01
38
CLI
Stands for Command Line Interface
Es lo que se ve cuando se utiliza el puerto
de la consola, SSH, Telnet, o Nueva
Terminal (dentro Winbox)
Algo que hay que saber si va a utilizar
scripts o automatizar tareas!
2013-01-01
39
Initial configuration
(Internet access)
2013-01-01
40
Basic or blank configuration?

Usted puede o no puede tener una configuracin
bsica cuando recin instalado
Usted puede optar por no tomar la
configuracin bsica por defecto
Compruebe la siguiente pgina web para
averiguar cmo su dispositivo se comportar:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
2013-01-01
41
Basic configuration
Dependiendo de su hardware, que tendr
una configuracin por defecto, que puede
incluir :
WAN port
LAN port(s)
DHCP client (WAN) and server (LAN)
Basic firewall rules
NAT rule
Default LAN IP address
2013-01-01
42
Basic configuration
Al conectar por
primera vez con
WinBox, haga clic
en "Aceptar"
El router tiene
ahora la
configuracin
bsica por defecto.
2013-01-01
43
Blank configuration
Puede ser utilizado en situaciones en las
que no se requiere la configuracin bsica
por defecto.
No hay necesidad de reglas de firewall
No hay necesidad de NATing
2013-01-01
44
Blank configuration
Los pasos mnimos para configurar un
acceso bsico a Internet (si el router no
tiene una configuracin bsica por defecto)
Direcciones IP de LAN, Puerta de
enlace predeterminada y servidor DNS
Direccin IP WAN
Regla de NAT (mascarada)
Cliente SNTP y la zona horaria
2013-01-01
45
Upgrading the router
2013-01-01
46
Cuando actualizar
Corregir un error conocido.
Necesita una nueva funcin.
Desempeo mejorado.
NOTA: Por favor lea la lista de cambios !!
2013-01-01
47
El procedimiento
Se requiere una planificacin.
Pasos pueden tener que hacerse en
orden preciso.
Se requiere pruebas ...
Y las pruebas ...
Y, s, la prueba!
2013-01-01
48
Antes de actualizar
Sepa lo (mipsbe, ppc, x86, mipsle, baldosas), la
arquitectura est actualizando.
En caso de duda, Winbox indica la arquitectura en la
esquina superior izquierda!
Sepa lo que los archivos que necesita:
NPK: Imagen Base RouterOS con paquetes estndar
(Siempre)
ZIP: Paquetes adicionales (sobre la base de las
necesidades)
Changelog: Indica lo que ha cambiado y las
indicaciones especiales (Siempre)
2013-01-01
49
Cmo actualizar
Obtener los archivos del paquete en el
sitio web de Mikrotik
Downloads page
2013-01-01
50
Cmo actualizar
Tres maneras
1. Descargar archivo (s) y copiar a
router.
2. "Buscar actualizaciones" (Sistema ->
Paquetes)
3. Actualizacin automtica (Sistema ->
Actualizacin automtica)
2013-01-01
51
La descarga de los archivos

Copiar archivo (s) para el router a travs
de la ventanaFiles.
Ejemplo:
routeros-smips-6.33.1.npk
ntp-6.33.1-smips.npk
Reboot
Validar estado del router
2013-01-01
52
Comprobando actualizaciones
(con /system packages)
menu System ->

Packages
Click Check for
Updates despues
Download &
Upgrade
Reboots
Validar paquetes y
estado del router
2013-01-01
53
Actualizacin automtica
Copia requiere archivos de todos los
routers a un router interno (fuente).
Configure todos los routers para que
apunte al enrutador fuente
Mostrar los paquetes disponibles
Seleccione y descargue los paquetes
Reinicie y validar enrutador
2013-01-01
54
Auto upgrading
2013-01-01
55
RouterBOOT actualizacin de
firmware
Compruebe versin actual
[admin@MikroTik] > /system routerboard print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
2013-01-01
56
RouterBOOT actualizacin de
firmware
Actualiza si es necesario (Es en este
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
2013-01-01
57
Gestin RouterOS de inicios

de sesin
2013-01-01
58
Cuentas de usuario
Crear cuentas de usuario a
administrar privilegios
Entrar acciones del usuario
Crear grupos de usuarios a
Tener una mayor flexibilidad en la
asignacin de privilegios
2013-01-01
59
La gestin de los servicios

RouterOS
2013-01-01
60
IP Services
Administrar servicios IP
Lmite de uso de recursos (CPU,
memoria)
Amenazas a la seguridad Lmite
(puertos abiertos)
Cambie los puertos TCP
Lmite aceptado direcciones IP /
subredes IP
2013-01-01
61
IP Services
Para el control de los servicios, vaya a
IP -> Services
Deshabilitar
o habilitar
los servicios
requeridos.
2013-01-01
62
Access to IP Services
Haga doble clic en un
servicio
Si es necesario,
especifique que alberga o
subredes pueden acceder
al servicio
Las buenas prcticas
para limitar ciertos
servicios a los
administradores de red
2013-01-01
63
La gestin de las copias de

seguridad de configuracin
2013-01-01
64
Tipos de copias de seguridad

Gestin de configuracin de copia de
seguridad backupsBinary
exportacin de configuracin
2013-01-01
65
Copias de seguridad binarios

Copia de seguridad completa del sistema
incluye contraseas
Asume que las restauraciones estarn
mismo router
2013-01-01
66
Export files
Configuracin completa o
parcial
Genera un archivo script o
enva a la pantalla
Utilice conpact" para
mostrar slo las
configuraciones no
predeterminadas (por
defecto en ROS6)
Utilice verbose" para
mostrar las configuraciones
por defecto
2013-01-01
67
Archiving backup files

Una vez generado, copiarlos en un
servidor
Con SFTP (enfoque asegurado)
Con FTP, si est activada en servicios IP
El uso de arrastrar y soltar desde la ventana
"Archivos"
Dejando de archivos de copia de

seguridad en el router no es una buena
estrategia archivstica
2013-01-01
68
RouterOS licenses
2013-01-01
69
License levels
6 niveles de licencias
0: Demo (24 horas)
1: Libre (muy limitado)
3: WISP CPE (cliente Wi-Fi)
4: WISP (necesario para ejecutar un
punto de acceso)
5: WISP (ms capacidades)
6: Controlador (capacidades ilimitadas)
2013-01-01
70
Licenses
Determina las capacidades permitidas en
el router.
RouterBOARD vienen con una licencia
preinstalado.
Los niveles varan
Las licencias deben ser comprados por un
sistema X86.
Una licencia es vlida para una sola
mquina..
2013-01-01
71
Updating licenses
Los niveles se describen en la pgina web
http://wiki.mikrotik.com/wiki/Manual:License
Level 3: CPE, wireless client

Level 4: WISP
Level 5: Larger WISP
Level 6: ISP internal infrastructure (Cloud
Core)
2013-01-01
72
Use of licenses
No se puede actualizar el nivel de
licencia. Comprar el derecho dispositivo /
licencia desde el principio.
La licencia est unida a la unidad que
est instalado. Tenga cuidado de no
formatear la unidad utilizando
herramientas que no Mikrotik.
Lea la pgina web de la licencia para ms
detalles!
2013-01-01
73
Netinstall
2013-01-01
74
Netinstall
Vuelva a instalar RouterOS si el original
se convirti daado
Vuelva a instalar RouterOS si la
contrasea "admin" se perdi
Se puede encontrar en el sitio web de
Mikrotik en la pestaa descarga
2013-01-01
75
Procedimiento, sin COM port

Para RBS sin un puerto COM.
Conecte el ordenador al puerto Ethernet 1
Dar ordenador una direccin IP esttica y la mscara
Netinstall
Haga clic en "arranque de red" y escribir una
direccin IP al azar en la misma subred que el
ordenador
En la seccin "Paquetes", haga clic en "Examinar" y
seleccione el directorio que contiene los archivos de NPK
vlidos
2013-01-01
76

Pulse el botn "reset" hasta la "LEY" LED
se apaga
Router aparecer en la seccin "Routers /
Drives"
Seleccinela!
Select required RouterOS version from
Packages section
Install button becomes available; click it!
2013-01-01
77

La barra de progreso se volver azul como se
est transfiriendo el archivo de NPK
Una vez completado, vuelva a conectar el cable
de la computadora en uno de los puertos vlidos
y cable de conexin a Internet en el puerto 1
Uso MAC-Winbox conectar como la
configuracin estar en blanco
Incluso si "Mantener configuracin antigua" se
comprob !!
2013-01-01
78

Sube una copia de seguridad de
configuracin y reiniciar el sistema
(de ah la importancia de la gestin de copia de seguridad!)
Si el problema era una contrasea perdida,

vuelva a realizar la configuracin desde cero, ya
que la copia de seguridad se utilice la misma
contrasea olvidada
(de ah la importancia de la gestin de un acceso
adecuado!)
2013-01-01
79
Procedimiento, con COM port

Para RBS con un puerto COM
Comienza (casi) el mismo
PC en el puerto Ethernet 1 con direccin esttica
Conecte el puerto serie del PC a la consola de
RouterBOARD puerto (COM)
Lanzamiento Netinstall (y configurar el
parmetro "Arranque Net")
Seleccione el directorio con los archivos de NPK
2013-01-01
80

Reboot the router
Press Enter, when prompted, to enter
setup
Press o for boot device
Press e for Ethernet
Press x to exit setup (which reboots the
router)
2013-01-01
81

Router will appear in Routers/Drives
section
Select it
Select RouterOS package that will be

installed
Click Keep old configuration
Install button becomes available; click
it!
2013-01-01
82

La barra de progreso se volver azul como
se est transfiriendo el archivo de NPK
Una vez completado, vuelva a conectar el
cable de la computadora en uno de los
puertos vlidos y cable de conexin a
Internet en el puerto 1
Puede utilizar Winbox conectar
El "Mantener configuracin antigua"
opcin funciona aqu !!
2013-01-01
83

Reboot the router
Press Enter, when prompted, to enter
setup
Press o for boot device
Press n for NAND then Ethernet on fail
If you forget, you will always boot from
Ethernet
Press x to exit setup (which reboots the

router)
2013-01-01
84
Recursos adicionales
2013-01-01
85
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
Pgina principal RouterOS Wiki

Documentacin sobre todos los comandos
RouterOS
Explicacin
Sintaxis
Ejemplos
Consejos y trucos adicionales
2013-01-01
86
Tiktube
http://www.tiktube.com/
Recursos de vdeo en varios temas

Presentado por los entrenadores, socios,
proveedores de Internet, etc.
Puede incluir diapositivas de la
presentacin
Varios idiomas
2013-01-01
87
Forum
http://forum.mikrotik.com/
Moderado por el personal Mikrotik
Panel de discusin sobre diversos temas
Una gran cantidad de informacin se puede

encontrar aqu
Usted puede encontrar una solucin a su
problema!
Busca por favor antes de publicar una pregunta
Foro de la etiqueta estndar
2013-01-01
88
Mikrotik support
support@mikrotik.com
Procedimientos de apoyo explican en

http://www.mikrotik.com/support.html
El apoyo de Mikrotik durante 15 das
(nivel licencia 4) y 30 das (nivel 5 de
licencia y el nivel 6) si el router compraron
de ellos
2013-01-01
89
Distributor / consultant
support
Se les da apoyo por el distribuidor,
cuando el router se compra a ellos
Consultores certificados pueden ser
contratados para necesidades especiales.
http://www.mikrotik.com/consultants.html
Registrense
2013-01-01
90
FIN DEL MDULO 1
Tiempo para un ejercicio prctico
2013-01-01
91
LABORATORIO 1
Objetivos del laboratorio
1. Familiarizar a los estudiantes con los mtodos de
acceso
2. Configurar el acceso a Internet
3. Actualizar el router con RouterOS actuales
4. Crear un grupo de acceso limitado, asignarlo a un
usuario
5. Administrar los servicios IP
6. Realice una copia de seguridad de la configuracin
actual y restaurarlo despus de hacer una
restauracin de fbrica
2013-01-01
92
Laboratory : Setup
2013-01-01
93
Laboratorio: Paso 1
Configure su equipo Laptop con la
direccin IP esttica de su POD
Especifique la mscara de subred
Especifique puerta de enlace
predeterminada (enrutador)
Especificar servidor DNS (el router
trainer)
Haga una Netinstall de ROS 6 (opcional)
Una vez reiniciado, conectarse a l de la
manera que le permitir acceso completo
2013-01-01
94
Hay 2 caminos con Quickset y desde sin

Default
Usaremos sin default para aprender todas
la partes
Reset Configuration
No default
Reboot router
Laboratorio: Paso 2
Configure la direccin IP de Ether2 del
router
Configure la direccin IP WAN Ether1
del router
Configurar regla de NAT del router
Configurar el servidor DNS del enrutador
Configure ruta por defecto del router *
2013-01-01
96
Laboratorio: Paso 3
Agregar un grupo llamado "mnimo"
Darle el "telnet", "leer", y los derechos "winbox"
Explicar estos derechos
Aadir un usuario y darle su nombre
Asignar a grupo "mnimo"

Darle una contrasea
Asigne una contrasea para "admin"

Dale lugarX", donde "X" es el nmero de su Lugar
Abra una nueva terminal. Que pas?
2013-01-01
97
Laboratorio: Paso 4
Asegurar que RouterBOARD firmware
est actualizado.( no nesesario en algunos)
Copiar paquete NTP (archivo NPK) NO NECESARIO
Compruebe Sistema -> SNTP Client
Compruebe Sistema -> Cliente NTP y servidor NTP
Que pas?
Una vez reiniciado

Compruebe Sistema -> SNTP Client
Compruebe Sistema -> Cliente NTP y servidor NTP
Configurar cliente NTP y la zona horaria del reloj
2013-01-01
98
Laboratorio: Paso 5
Los estudiantes telnet en el router
Los estudiantes desactivar estos servicios
IP:
Telnet
WWW
Los estudiantes se conectan al router mediante
Telnet, un explorador Web y SSH
Explicar los resultados
2013-01-01
99
Laboratorio: Paso 6
Abra una "Nueva Terminal" y la ventana
"Archivos"
Exportar la configuracin, desde la raz, en un
archivo denominado "Module1-podX"
Realice una copia de seguridad binaria
Copie ambos archivos a un ordenador
Abra los dos y ver su contenido
Eliminar la regla de NAT y utilizar el
archivo "exportado" a crearlo rpidamente
2013-01-01
100
Laboratorio: Paso 7
Ver la licencia del RouterBOARD
Revise el nivel del router e indicar su
significado
Como grupo, discutir los posibles usos de
este nivel de la licencia
2013-01-01
101
Fin de Laboratorio 1
2013-01-01
102
MODULO 2 ENRUTAMIENTO
2013-01-01
103
Descripcin general del

enrutamiento
2013-01-01
104
Conceptos de enrutamiento
El enrutamiento es un proceso de capa 3
del modelo OSI de la ISO.
Enrutamiento define dnde se reenva el
trfico (enviado).
Se requiere para permitir diferentes
subredes para comunicarse.
Incluso si deben estar en la misma
"alambre"
2013-01-01
105
Conceptos de enrutamiento, el
ejemplo 1
Las computadoras no se comunicarn
2013-01-01
106
Conceptos de enrutamiento,
ejemplo 2
Computadoras ahora pueden
comunicarse.
2013-01-01
107
Banderas de rutas
Rutas tienen estados. En este curso,
vamos a familiarizarnos con lo siguiente:
X: Desactivado
R: Activo
D: Dinmica
C: Conectado
S: Esttico
2013-01-01
108
Banderas de rutas
Desactivado: Router est desactivado.
No tiene influencia en el proceso de
enrutamiento.
Activo: Route est activo y se utiliza en
el proceso de enrutamiento.
Dinmica: Ruta ha sido creado por el
proceso de enrutamiento, no a travs de
la interfaz de administracin.
2013-01-01
109
Banderas de rutas
Conectado: Se crea una ruta para
cada subred IP que tiene una
interfaz activa en el router.
Esttico: ruta creada para forzar
reenvo de paquetes a travs de un
determinado destino..
2013-01-01
110
Enrutamiento estatico
2013-01-01
111
Rutas a subredes que existen en un
router se crean y se conocen con ese router
automticamente. Pero, qu pasa si usted
necesita para llegar a una subred que
existe en otro router? Se crea una ruta
esttica!
Una ruta esttica es una forma de
manual de reenvo de trfico a subredes
desconocidas.
2013-01-01
112
2013-01-01
113
La comprensin de los campos

Banderas: El estado de cada ruta, como se explica en las
diapositivas anteriores
Dst. Direccin: Las direcciones de destino que esta ruta utiliza
Puerta de enlace: Por lo general, la direccin IP del siguiente salto
que recibir los paquetes destinados a "Dst. Direccin".
Distancia: Valor utilizado para la seleccin de la ruta. En las
configuraciones en las varias distancias son posibles, se prefiere la
ruta con el valor ms pequeo.
Marca Enrutamiento: tabla de enrutamiento que contiene esta
ruta. El valor predeterminado es "Principal".
Pref. Fuente: La direccin IP de la interfaz local responsable de
reenviar paquetes enviados por subred anunciado.
2013-01-01
114
Por que Enrutamiento

estatico?
Hace configuracin ms sencilla en muy
pequea red que lo ms probable es que no
crezca.
Limita el uso de los recursos del router
(memoria, CPU)
2013-01-01
115
Lmites de enrutamiento
esttico
No escala bien.
Se requiere configuracin manual cada
vez que una nueva subred debe ser
alcanzado.
2013-01-01
116
esttico Ejemplo
Su red crece y hay
que aadir enlaces a
los routers remotos
(y subredes).
Supongamos que
todos los routers
tienen 2 subredes
LAN y 1 o ms
subredes WAN..
2013-01-01
117
esttico ejemplo
How many static
routes to add on
router-1?
Routers 3 to 5 : 9
Router 2 : 2
Router 6 and 7 : 4
Total of 15 static
routes to add
manually!!
2013-01-01
118
Creando Rutas
Para agregar una
ruta esttica:
IP -> Routes
+ (Add)
Especificar subred
destino y mscara
Especifique
"Gateway"
(siguiente salto)
2013-01-01
119
La ruta por defecto

La ruta 0.0.0.0/0
Conocida como la ruta por defecto.
Es el destino donde se enviar todo el
trfico de subredes desconocidas.
Tambin es una ruta esttica.
2013-01-01
120
Gestin de rutas dinmicas

Como se mencion antes, las rutas
dinmicas se agregan por el proceso de
enrutamiento, no por el administrador.
Esto se hace automticamente.
No se puede gestionar rutas dinmicas. Si
la interfaz a la que la dinmica de ruta
est vinculada disminuye, tambin lo hace
la ruta!
2013-01-01
121
Managing dynamic routes,

example
2013-01-01
122
Implementar el enrutamiento
esttico en redes simples
Ejemplo.
2013-01-01
123
Ejercicio:
Suponiendo que las direcciones IP se
han introducido correctamente, lo que
los comandos usara para permitir las
comunicaciones completas de ambas
subredes (LAN1 y LAN2)?
(Respuesta en la siguiente diapositiva. No espiar)
2013-01-01
124
router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2
router-2
/ip route
add gateway=10.0.0.1
2013-01-01
125
Fin del mdulo 2
2013-01-01
126
LABORATORIO 2
1. Obtener la conectividad con otras
LUGARES o PODs LAN
2. Validar uso de ruta por defecto
3. Ver y explicar banderas ruta
2013-01-01
127
Laboratorio : Setup
2013-01-01
128
Laboratorio : paso 1
Eliminar la ruta predeterminada que se
cre en el mdulo 1
Hacer de ping otras POD '. Nota
resultados
Crear rutas estticas a subredes LAN
otras POD '
Computadoras de ping otras POD '. Nota
resultados
2013-01-01
129
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik. Nota
resultados
Crear la ruta por defecto utilizando el
router del entrenador como puerta de
entrada Internet
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik. Nota
resultados
2013-01-01
130
Backup de texto y binario opcional
2013-01-01
131
MODULO 3 BRIDGING
2013-01-01
132
Bridging Concepto
2013-01-01
133
Bridging conceptos
Los puentes son OSI capa 2 en
dispositivos.
Tradicionalmente, se utilizan para unir
dos segmentos de tecnologa diferente (o
similar).
2013-01-01
134
Bridging conceptos
Bridges tambin se utilizaron para crear
dominios de colisin ms pequeos.
El objetivo era mejorar el rendimiento al reducir el
tamao de la subred. Especialmente til antes del
advenimiento de los interruptores.
Swiches se conocen como puentes de

mltiples puertos.
Cada puerto es un dominio de colisin de un solo
dispositivo!
2013-01-01
135
Ejemplo 1
Todos los equipos pueden comunicarse entre s.
Todos tienen que esperar a que todo el mundo
sea no transmita antes de poder iniciar la
transmisin!
2013-01-01
136
Ejemplo 2
Todas las computadoras todava se oyen" entre s.
Todas las computadoras ahora slo comparten la mitad
del "alambre".
Todo todava tienen que esperar a que todo el mundo
este callado antes de poder iniciar la transmisin, pero el
grupo es la mitad del tamao ahora.
Mejor rendimiento para todos los dispositivos!
2013-01-01
137
Usando bridges
Por defecto, en los routers MikroTik,
puertos Ethernet estn asociados (esclavo)
a un puerto maestro.
Ventaja: conmutacin de la velocidad del
cable (a travs de chips de conmutacin, no
software).
Desventaja: No la visibilidad del trfico de
los puertos de esclavos. No es conveniente si
se utiliza SNMP para supervisar el uso de
puertos.
2013-01-01
138
Usando bridges
Mediante la eliminacin de configuracin
maestro y esclavo, debe utilizar una
interfaz de puente para agrupar a ella los
puertos necesarios en una sola LAN.
o Ventaja: Completa la visibilidad de todas las
estadsticas de puerto para los puertos.
o Desventaja: El cambio hace a travs de software.
Algunos CPU golpe. Menos de una velocidad ptima
de transferencia de paquetes.
2013-01-01
139
Creando bridges
Usando Menus
Bridge
Add (+)
Name the bridge
Click OK and Listo!
2013-01-01
140
Creando bridges
2013-01-01
141
Adicin de puertos a los

puentes
Adicin de puertos definir cules
pertenecen a la misma subred.
Diferentes tecnologas se pueden agregar,
como una interfaz Wi-Fi.
2013-01-01
142

puentes
Menu path to add a port
Bridge
Ports tab
Add (+)
Choose the interface and the bridge
Click OK y listo!
2013-01-01
143

puentes
2013-01-01
144
Bridging wireless networks

El mismo se puede hacer con interfaces
inalmbricas.
Veremos esto en el prximo mdulo. Se
paciente!
2013-01-01
145
FIN DEL MDULO 3
2013-01-01
146
LABORATORIO 3
Crear un puente
Asignar puertos a un puente
Validar que siguiendo estos pasos, puede
asignar todos los puertos libres a la misma
subred
2013-01-01
147
Laboratorio : Diagrama
2013-01-01
148
Laboratorio: paso 1
Lanzar ping t w 500 192.168.0.254.
Desconecte el cable de red desde el puerto
actual (# 2) y conectarlo en otro puerto.
Discutir los resultados.
Deje la ventana de comandos en
funcionamiento y visible a travs de este
laboratorio.
2013-01-01
149
Laboratorio: paso 2
Conecte al router en modo alguno que
funcione.
Crear una interfaz de puente. El nombre
de "LAN" y dejar los otros valores en su
defecto.
Asignar la direccin IP de la LAN de la
POD (192.168.x.1) a la interfaz de puente.
Ha cambiado algo?
2013-01-01
150
Laboratorio: paso 3
Abra la ventana "Lista de Interfaz" y comprobar
que las interfaces se estn ejecutando.
Asignar puertos # 2 al # 5 a la interfaz de
puente "LAN".
Discutir los resultados. Cundo devolver su
ping?
Cambie el cable a los puertos # 2 a # 5. Que
pas? Discuta por qu. Mira la columna de
estado. Qu significa I" decir?
2013-01-01
151
2013-01-01
152
Wireless
MODULO 4
WIRELESS
2013-01-01
153
802.11 Conceptos
2013-01-01
154
Frecuencias
802.11b
2.4GHz (22MHz bandwidth), 11Mbps
802.11g
2.4GHz (22MHz bandwidth), 54Mbps
802.11a
5GHz (20MHz bandwidth), 54Mbps
802.11n
2.4GHz or 5GHz up to 300Mbps, if using 40MHz
channel and 2 radios (chains)
802.11ac
2.4GHz or 5GHz up to 1690Mbps, if using 160MHz
channel and 2 radios (chains)
2013-01-01
155
Frecuencias
802.11b, g rango de frecuencia
Los canales 1, 6 y 11 no se solapan
Diagram by Michael Gauthier
2013-01-01
156
Frecuencias
Rango de frecuencia 802.11a
12 20MHz canales de ancho y 5 canales
de 40MHz
2013-01-01
157
Frecuencias
Bandas
Mikrotik soporta tanto 5GHz (802.11a / n) y
las bandas de 2,4 GHz (802.11b / g / n) y
ahora saliendo los equipos AC en 5Ghz
2013-01-01
158
Frecuencias
La funcin de "Canales avanzadas" ofrece
posibilidades extendidos en configuracin
de la interfaz inalmbrica:
scan-list que abarca mltiples bandas y anchos de

canal;
frecuencias centrales de canal no estndar
(especificar con granularidad KHz) para el hardware
que lo permite;
anchos de canal no estndar (especificados con
granularidad KHz) para el hardware que permite.
2013-01-01
159
Frecuencias
Tasas bsicas son las velocidades que un cliente debe
ser compatible con el fin de conectarse a un AP
Tasas compatibles son las velocidades que se pueden
alcanzar una vez que la conexin se ha aceptado
(factores pueden influir en la velocidad mxima
alcanzada)
Data-tasas son las tasas compatibles segn el estndar
que se utiliza.
802.11b: 1 a 11 Mbps
802.11a / g: 6 a 54 Mbps
802.11n: 6 300 Mbps, en funcin de factores tales como el ancho
de banda del canal (20 o 40 MHz), Guardia de intervalo (GI), y
cadenas
2013-01-01
160
Frecuencias
Cadenas HT
Son para antenas con una radio
Se utiliza para 802.11n, y es un factor en el
rendimiento
2013-01-01
161
Frecuencias
Modo de Frecuencia
Reguladora de dominios: canales lmite y
potencia de transmisin en base a la
normativa del pas.
Manual-txpower: Igual que el anterior pero
sin la restriccin de potencia TX.
Superchannel: ignorar todas las
restricciones
2013-01-01
162
Frecuencias
Country parmetro: Frecuencias y
limitaciones de potencia se basan en los
reglamentos "de pas". El uso de
"no_country_set" configurar el conjunto
de canales de FCC ..
2013-01-01
163
Configuracin del punto de

acceso
Access point configuration
Mode : ap bridge
Band :Con base en el router de
las capacidades y de los clientes.
Si AP soporta mltiples bandas
(ej. B / G / N) seleccionar la que
mejor se ajuste a sus necesidades
Frequency : Any of the
available channels
SSID : identidad del red
inalmbrica
Wireless protocol : Basado en el
router y las capacidades de los
clientes. Por AP "normal" a los
enlaces de PC, utilice 802.11
2013-01-01
164
Establecimiento de una
conexin inalmbrica sencilla
AJUSTE PERFIL DE
SEGURIDAD!
No hacerlo es una
violacin total de la
seguridad. Deja tu red
de par en par!
2013-01-01
165
Para agregar un perfil de
seguridad
Click on Add (+)

Name : El nombre del perfil
Mode : Tipo de autenticacin a
utilizar
Authentication types : Los
mtodos utilizados para
autenticar una conexin
Ciphers : Mtodos de
encriptacin
2013-01-01
166
Ahora usted puede utilizar su
nuevo perfil de seguridad y
sentirse mejor acerca de la
seguridad de su red
inalmbrica
2013-01-01
167
Volver a las frecuencias! Cul
usar?
Haga clic en "Snooper"
Tener cuidado! Esto
desconectar la interfaz
WLAN y clientes asociados
2013-01-01
168
Volver a las frecuencias! Cul
usar?
Haga clic en "Snooper"
Tener cuidado! Esto
desconectar la interfaz
WLAN y clientes asociados
Usted tiene una visin
completa de las bandas de
frecuencias utilizadas y
Seleccione un canal libre o, al
menos, uno con poco uso
2013-01-01
169
configuracin de la estacin
Cliente
Mode : station
Band : Para que coincida con su
AP.
Frequency : no tiene
importancia para los clientes
2013-01-01
170
Station configuration
SSID : Para que coincida con el
punto de acceso al que desea
conectarse
Wireless protocol : Para que
coincida con el punto de acceso al
que desea conectarse
Crear un perfil de seguridad,
como se demuestra en la
configuracin de "punto de
acceso", y aplicar aqu.
Parmetros deben coincidir
2013-01-01
171
Filtrado por direcciones MAC

Filtrado de direcciones MAC es
una forma adicional de limitar la
conexin de los clientes.
Para aadir una entrada a una
lista de acceso (en un AP !!),
seleccione un nodo registrado y
haga clic en "Copiar a la lista de
acceso"
2013-01-01
172

Ahora tiene una nueva entrada!
2013-01-01
173

Las listas de acceso se utilizan
en los puntos de acceso para
restringir conexiones a clientes
especficos y controlar sus
parmetros de conexin.
Reglas se comprueban
secuencialmente
Slo se aplica la primera regla
coincidente
Si la opcin "Default Autenticar"
(pestaa "Wireless" en "Interfaz ->
wlan" pantalla) est des-marcada,
los dispositivos que no responden a
una regla de la lista de acceso son
rechazados
2013-01-01
174

Opcin Autenticacin le dir router
para comprobar la "seguridad-perfil"
para determinar si la conexin debe
permitir. Si no se controla, la
autenticacin siempre fallar.
Opcin Reenvo le dir al router para
permitir a los clientes de la AP para
llegar a la otra sin la ayuda APs
(evitando as las reglas del firewall
que pueda tener). Para mayor
seguridad, deje sin marcar
2013-01-01
175

AP Tx Limit restringe la
velocidad de datos de AP con el
cliente
Ajuste demasiado bajo puede causar
problemas de conexin. Prueba
primero!
Lmite TX Client restringe la

velocidad de datos desde el cliente
al AP
Extensin patentada que es
apoyada solamente por RouterOS
clientes
Una vez ms, es posible que
desee probar para ver lo que es
aceptable
2013-01-01
176

Conecte listas (en estaciones
cliente) asignar prioridades,
sobre la base de la fuerza de la
seal y la configuracin de
seguridad, que indiquen que los
puntos de acceso del cliente se
puede conectar a
Reglas se comprueban
secuencialmente
Slo se aplica la primera regla
coincidente
Si la opcin "Default Autenticar"
(pestaa "Wireless" en "Interfaz ->
wlan" pantalla) est marcada y hay una
regla de conexin-lista se corresponde,
cliente intentar relacin basada en la
mejor seal y la compatibilidad de
seguridad
2013-01-01
177

Ejemplo: Esta estacin no
tiene SSID o perfil de
seguridad definido, sino
porque tiene un partido de
conexin-lista, se estableci
una conexin
2013-01-01
178

Nota interesante: Si el campo
SSID (en la estacin de conectar
regla) est vaca, el cliente se
conecta a cualquier SSID con un
perfil de seguridad
correspondiente.
Campo Interface de SSID
tambin debe estar vaco!
2013-01-01
179

Default-authentication : Especifica el
comportamiento tras la comprobacin de acceso
y conectarse listas.
Para los puntos de acceso, si el valor yes, permitir conexiones
si no hay una lista de acceso partido proporcionado SSID
interfaz y el perfil de seguridad de partido. De lo contrario, no se
permiten conexiones.
Para las estaciones, si el valor yes, permitir conexiones si no
hay conexin lista de partido, SSID interfaz proporcionada y el
perfil de seguridad de partido. De lo contrario, no se permiten
conexiones.
2013-01-01
180

Por defecto la autenticacin
Si AP no tiene ninguna lista de acceso,
y por defecto a autenticarse est
marcada, clientes nunca se conectarn
Si la estacin no tiene lista de
conexin, y por defecto a autenticarse
no est marcada, nunca se conectar a
un AP
2013-01-01
181

Default-forwarding : Especifica el
comportamiento de reenvo de los clientes
despus de la verificacin de las listas de
acceso.
Si se establece en s, permitir capa 2
comunicaciones entre los clientes.
Si se establece en no, los clientes seguirn
viendo unos a otros (en la capa 3) SI reglas de
firewall permiten.
2013-01-01
182
La seguridad inalmbrica y
encriptacin
WPA, WPA2
Wi-Fi Protected Access (I y II)
Protocolo de autenticacin creado despus
debilidades fueron encontradas en WEP
Si se pone en marcha correctamente, WPA
es muy seguro
Debilidades a ataques de fuerza bruta se
encontraron al utilizar WPS (Wi-Fi Protected
Setup)
WPS no utilizados por Mikrotik
2013-01-01
183
encriptacin
WPA
Se utiliza para reemplazar a WEP
(debilidades encontradas)
Utiliza TKIP como protocolo de encriptacin
Genera una nueva clave para cada paquete
2013-01-01
184
encriptacin
WPA2
Utiliza CCMP para reemplazar como protocolo de
encriptacin
Sobre la base de AES
Ms fuerte que TKIP
Es obligatoria en dispositivos certificados Wi-Fi
desde 2006
Debe ser usado para alcanzar tasas de bits ms
altas, de otro modo limitado a 54 Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
2013-01-01
185
encriptacin
WPA-Personal
Also referred to as WPA-PSK, is designed for
small offices and the home
Does not require an authentication server
Client to AP authentication is based on a
256-bit key generated from a pre-shared key
(PSK), which can be a password or
passphrase, known to both
2013-01-01
186
encriptacin
WPA-Enterprise
Also referred to as WPA-802.1X mode, is
designed for enterprise networks
Uses EAP for authentication
Require a RADIUS authentication server
More complicated to deploy, but provides
added features such as protection against
dictionary attacks on weaker passwords
2013-01-01
187
MikroTik wireless protocols

NV2 (Nstreme Version 2)
A Mikrotik proprietary protocol in its
second version
For use with the Atheros 802.11 wireless
chip.
Based on TDMA (Time Division Multiple
Access) instead of CSMA (Carrier Sense
Multiple Access)
Used to improve performance over long
distances
2013-01-01
188
MikroTik wireless protocols

NV2 benefits
Increased speed
More client connections in point to
multipoint environments (limit is 511 clients)
Lower latency
No distance limitations
No penalty for long distances
2013-01-01
189
Monitoring tools
There are various tools that will help you
analyse whats in the air so you can choose
the frequency with no (or the least)
interference
2013-01-01
190
Monitoring tools
Wireless scan : Two options
Frequency usage
Scan
2013-01-01
191
Monitoring tools
Wireless scan :
Frequency Usage
Shows all
supported
frequencies and
their usage by
neighboring APs
Drops connected
wireless clients!
2013-01-01
192
Monitoring tools
Wireless scan :
Scan
Gives information
about neighboring
APs
Drops
connected
wireless clients!
2013-01-01
193
Herramientas de monitoreo
Snooper
Proporciona
informacin ms
detallada acerca de
otros puntos de acceso
y clientes
Desconecta clientes
inalmbricos
conectados!
2013-01-01
194
Snooper
Proporciona
informacin ms
detallada acerca de
otros puntos de acceso
y estaciones haciendo
doble clic
2013-01-01
195
Registration table : Proporciona
informacin sobre las estaciones cliente
conectadas.
til slo en los puntos de acceso.
2013-01-01
196
2013-01-01
197
Registration table
Podemos ver el
estado de conexin
actual estacin
Nota: Los comentarios
que aparecen por
encima de las estaciones
es de ficha "Lista de
acceso". til para ver
bajo las cuales criterios
se autoriz la estacin
2013-01-01
198
Bridging wireless networks

Station-bridge : Un modo propietario
Mikrotik para crear un puente L2 segura
entre routers Mikrotik
Se puede utilizar para ampliar una
subred inalmbrica a muchos clientes
2013-01-01
199
Fin del mdulo 4
2013-01-01
200
Laboratorio
Utilice las distintas herramientas para analizar los
canales y las caractersticas de las redes
inalmbricas, puntos de acceso y estaciones
utilizadas
Configurar routers PODs como clientes inalmbricos
del router del profesor
Configurar routers PODs como puntos de acceso
inalmbricos
Familiarizarse mismos con Listas Connect y listas
de acceso
2013-01-01
201
Laboratorio : Diagrama
2013-01-01
202
Laboratorio : Pasos Preliminar

Antes de hacer nada !!!
Realice una copia de seguridad binaria de la
configuracin actual con el nombre:
Mdulo 3-podX donde X es el nmero de su
POD
Cmo hara usted para hacerlo?
que ventanas usara?
2013-01-01
203
USE, uno tras otro:
Frequency Usage
Anote los canales con ms uso
Scan
Hacer un vnculo entre las frecuencias y SSID
visibles
Snooper
Qu se puede decir de las redes visibles?
Qu significan los smbolos en la columna de la
izquierda representan?
2013-01-01
204
Abra la ventana "Puente" y vaya a la
pestaa "Puertos"
Mediante el uso de los procedimientos
que hemos visto en los mdulos anteriores,
agregue la interfaz "wlan1" de puente
"LAN".
Cierre la ventana de "puente"
2013-01-01
205
Abra la ventana "Wireless" y asegurarse
de que la interfaz "wlan1" est activado
2013-01-01
206
Haga doble clic en la interfaz y vaya a la pestaa
"Wireless". Haga clic en "Modo avanzado", a
continuacin, introduzca los siguientes parmetros:
Mode : ap bridge
Band : 2GHz-B/G/N
Channel width : 20MHz
Frequency : POD IMPAR use 2437, POD PARES 2462
SSID : podX
RadioName: RouterPodX
Wireless protocol : 802.11
Security Profile : default (mala idea otras veces)
Frequency Mode : Regulatory-domain
Country : <Bolivia>
Default Authenticate est activada
2013-01-01
207
Retire el cable de red entre el ordenador
porttil y el router. El cable de su router
al del profesor debe permanecer
Configure su porttil para utilizar
parmetros wi-fi de su Router
Asegrese de que tiene conectividad wi-fi
Ponga los IP al wifi de la portable
Conectarse a Internet
2013-01-01
208
configuracin actual con el nombre de:
Module4a-podX donde X es el nmero de su
vaina
Desde la ventana "Lista de archivos", seleccione
Mdulo 3-podX y haga clic en el botn
"Restaurar" en la parte superior de la ventana
Responda "s" para reiniciar el router
2013-01-01
209
Vuelva a conectar el cable de red de su
computadora porttil a su router
Desconecte el cable de la red de su router
a otro del profesor
Ahora debera tener ningn acceso a
Internet
2013-01-01
210
Trabajo preliminar
Direccin IP para WLAN1
192.168.252.podX
Habilitar interfaz wlan1

Security profile
Name : WPA2
Authentication types : WPA2 PSK
Unicast and group ciphers : aes ccm
WPA2 pre-shared key : mtcna123!
2013-01-01
211
Active el "Modo avanzado" en la pestaa
"Wireless" de "Interfaz <wlan1>"
Tenemos que conectar con la AP de la
clase. Los siguientes parmetros deben ser
compatibles con la de la AP conectarse.
Mode : Station
Band : 2GHz-only-N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : Cliente
2013-01-01
212
Frequency Mode : regulatory-domain
Country : Bolivia.
Leave Default Authenticate checked for
now
Haga clic en Aceptar y seleccione la
pestaaRegistration en la ventana Wireless
Tables
Tu debera ver aparecer AP del profesor.

Si es as, usted est conectado!
Pero espera!!!
2013-01-01
213
Antes de la navegacin puede trabajar,
vamos a corregir nuestras tablas de
enrutamiento.
Redefinir la puerta de enlace
predeterminada para ser 192.168.252.254
Redefinir la ruta a la interfaz LAN del pod
de tu prjimo (192.168.Y.1) que pasar por
192.168.252.Y
Ping a su vecino LAN (192.168.Y.1)
Cul es el resultado? Chequea DNS y NAT
2013-01-01
214
FIN DE LABORATORIO 4
2013-01-01
215
Administracin de redes
MODULO 5
2013-01-01
216
ARP
2013-01-01
217
ARP
Soportes para "Address Resolution
Protocol"
Mecanismo que une capa direccin IP 3 a
la capa 2 de direcciones MAC
Se utiliza normalmente como un proceso
dinmico, pero se puede configurar de
forma esttica en ciertas situaciones
donde la seguridad lo amerita
2013-01-01
218
ARP modos
Modos ARP "dicen RouterOS cmo ARP es
trabajar
Los modos se configuran en una base "por interfaz
Los modes son
Enabled : El modo por defecto. Peticiones ARP sern contestadas

y la tabla ARP se rellenarn automticamente
Disabled : Interfaz no enviar o respondera a peticiones ARP.

Otros anfitriones debe ser dicha direccin MAC del router
Proxy ARP : El router responde a peticiones ARP que vienen

por su red directamente conectada (independientemente del origen)
Reply only : El router responde a peticiones ARP. Tabla ARP

del router debe ser llenado de forma esttica
2013-01-01
219
RouterOS Tabla ARP

La tabla ARP muestra todas las entradas
ARP y la interfaz de la que se aprenden
La tabla ARP ofrece:
La direccin IP de los dispositivos conocidos
Las direcciones MAC asociadas con las
direcciones IP
Las interfaces de la que fueron aprendidas
2013-01-01
220
RouterOS ARP table

Puede agregar entradas estticas a la
tabla ARP para proteger la red
Puede evitar el envenenamiento ARP /
ARP Spoofing
Requiere mucho trabajo y planificacin
2013-01-01
221
ARP syntax
View ARP table :
/ip arp print
Add a static entry :

/ip arp add address=172.16.2.222 macaddress=11:22:33:44:55:66 interface=BridgePC
Configure ARP mode :

/interface ethernet set ether04 arp=proxyarp
2013-01-01
222
DHCP servidor y el cliente
2013-01-01
223
DHCP server
Soportes para Dynamic Host
Configuration Protocol
Se utiliza para asignar automticamente
una direccin IP, mscara de red, puerta
de enlace predeterminada y,
opcionalmente, otros parmetros a los
nodos que solicitan
2013-01-01
224
DHCP server setup

La interfaz que aloja el servidor DHCP
debe tener su propia direccin IP que no
est en el grupo de direcciones
Una pool es un rango de direcciones IP
que se pondrn a disposicin de los
clientes
2013-01-01
225
DHCP server setup

En la ventana DHCP-servidor,
simplemente haga clic en el botn
"Configuracin de DHCP" y responder a
las preguntasDHCP Server Interface
Interfaz Servidor DHCP
DHCP Rango de red
Gateway para Red del DHCP
Las direcciones para dar a conocer
Servidores DNS (ms de uno se puede)
Tiempo de reserva
2013-01-01
226
DHCP server setup

La configuracin automtica:
Crea una piscina IP
Un grupo de direcciones IP para asignar
Crea el servidor DHCP
Su nombre y los parmetros (como la interfaz
que aceptar solicitudes de los)
Crea el espacio de direcciones
La red IP y varios parmetros
2013-01-01
227
DHCP server setup

Los resultados de la configuracin
automatizada
2013-01-01
228
DHCP server setup

DHCP se puede utilizar para configurar
opciones como
42 : NTP Servers
70 : POP3-Server
Visit
http://www.iana.org/assignments/bootp-dhcpparameters/bootp-dhcp-parameters.xhtml
para mas opciones DHCP
Nota IMPORTANTE
Si tiene un entorno de puente, el servidor DHCP debe estar
configurado en la interfaz de puente. Si se establece en un puerto de
puente, el servidor DHCP no funcionar.
2013-01-01
229
DHCP server syntax

Configure a DHCP scope
/ip dhcp-server setup
Configure a DHCP option

/ip dhcp-server option add name=46-nodetype code=46 value=0x0008
2013-01-01
230
DHCP server syntax

Assign a DHCP option to a network
/ip dhcp-server network print (to view
available networks)
/ip dhcp-server network set dhcp-option=46node-type numbers=1
Assign a WINS server to a network

/ip dhcp-server network set winsserver=172.16.2.100 numbers=1
2013-01-01
231
DHCP server Networks configuration
2013-01-01
232
DHCP cliente
Permite interfaces Ethernet como para

solicitar una direccin IP.
El servidor DHCP remoto suministrar:
Direccin
Mscara
Puerta de enlace predeterminada
Dos servidores DNS (si el servidor DHCP remoto
est configurado)
El cliente DHCP proporcionar opciones configurables:
Nombre de host
ClientId (en la forma de su direccin MAC)
Normalmente se utiliza en las interfaces de la Internet, por
ejemplo
2013-01-01
233
DHCP client syntax

To configure a DHCP-client interface
/ip dhcp-client add interface=ether5 dhcpoptions=clientid,hostname
To view and enable a DHCP client

/ip dhcp-client print
/ip dhcp-client enable numbers=1
To view the DHCP client's address

/ip address print
2013-01-01
234
Gestin de arrendamiento
La seccin "/ip dhcp-server lease" proporciona
informacin sobre los clientes DHCP y
arrendamientos
Muestra arrendamientos dinmicos y estticos
Se puede convertir un permiso dinmico en uno
esttico
Puede ser muy til cuando un dispositivo tiene que mantener la
misma direccin IP
Tener cuidado! Si cambia la tarjeta de red, se pondr una nueva
direccin. una direccin por MAC
2013-01-01
235
Servidor DHCP se podra hacer para
funcionar nicamente con direcciones
estticas
Los clientes slo recibirn las
direcciones IP preconfigurados
Evale su situacin y la necesidad de
hacer esto antes de hacerlo de esta
manera. Se requerir mucho trabajo para
grandes redes
2013-01-01
236
syntax
To view DHCP leases
/ip dhcp-server lease print
/ip dhcp-server lease print detail (gives more
detailed information)
To make a dynamic IP address static

/ip dhcp-server lease make-static numbers=0
To modify the previous entry's assigned

IP address
/ip dhcp-server lease set
address=192.168.3.100 numbers=0
2013-01-01
237
RouterOS Herramientas
2013-01-01
238
E-mail
Una herramienta que le permite enviar
correo electrnico desde el router
Se puede utilizar, junto con otras
herramientas, para enviar las copias de
seguridad de configuracin regulares
administrador de red, por ejemplo,
Tool CLI path
/tools e-mail
2013-01-01
239
E-mail, Ejemplo
Configuracion SMTP server
/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded password=never123! port=\
587 start-tls=yes user=mymail@gmail.com
Enviar configuration file via e-mail

/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name] export"\
body="$[/system clock get date] configuration file" file=export.rsc
2013-01-01
240
Netwatch
Una herramienta que le permite
controlar el estado de los dispositivos de
red
Para cada entrada, puede especificar
IP address
Ping interval
Up and/or Down scripts
2013-01-01
241
Netwatch
MUY til
Ser conscientes de los fallos de red
Automatizar un cambio de puerta de enlace
predeterminada, por ejemplo, en caso de
fracasar las principales
Slo para tener una vista rpida de lo que
est arriba
Cualquier otra cosa que se puede llegar a
simplificar y agilizar su trabajo (y te hacen
ver eficiente!)
2013-01-01
242
Ping
Herramienta de conectividad bsica que utiliza
mensajes de eco ICMP para determinar la
accesibilidad host remoto y el retardo de ida y
vuelta
Una de las primeras herramientas a utilizar
para solucionar problemas. Si hace ping, el
anfitrin est vivo (desde el punto de vista de
redes)
Utilcelo con otras herramientas para
solucionar problemas. No es la ltima
herramienta, pero un buen comienzo
2013-01-01
243
Ping syntax
CLI
CTRL-C para parar
[admin@MikroAC1] > ping www.mikrotik.com
HOST
SIZE TTL TIME STATUS
159.148.147.196
56 50 163ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms max-rtt=163ms
2013-01-01
244
Traceroute
Se utiliza para mostrar todos los routers
viajaron hasta llegar a su destino
Indica el retraso para llegar a cada router
en el camino para llegar a su destino
Bueno para localizar un fallo o nodo lenta
2013-01-01
245
Traceroute
CLI
/tools traceroute www.mikrotik.com
[admin@MikroAC1] > /tool traceroute
# ADDRESS
1
2 216.113.124.190
3 216.113.122.230
4
5 216.6.99.14
6 80.231.130.121
7 80.231.130.86
8 80.231.154.70
9 80.231.153.122
10 195.219.50.38
11 87.245.233.178
12 87.245.242.94
13 85.254.1.226
14 85.254.1.6
15 159.148.16.2
16 159.148.42.129
17
18
19
20
21 159.148.147.196
-- [Q quit|D dump|C-z pause]
2013-01-01
www.mikrotik.com
LOSS SENT
LAST
100%
3 timeout
0%
3 13.9ms
0%
3
9.6ms
100%
3 timeout
0%
3 114.4ms
0%
3 104.5ms
0%
3 103.2ms
0%
3 136.5ms
0%
3
113ms
0%
3 111.9ms
0%
3 140.7ms
0%
3
169ms
0%
3 173.3ms
0%
3 165.2ms
0%
3 165.3ms
0%
3 167.6ms
100%
3 timeout
100%
3 timeout
100%
3 timeout
100%
2 timeout
0%
2 156.9ms
AVG
BEST
WORST STD-DEV STATUS
12.2
9
11.1
7.5
13.9
9.8
1.2
1
114.7
105.7
107.5
119
110.7
115
159.6
173
168.4
166.7
166.1
166.6
113.6
104.5
103.2
104.3
106.4
110.7
135.7
169
164.6
165.1
165.3
165.6
116.2
107.1
115.4
136.5
113
122.5
202.4
178.4
173.3
169.7
167.3
167.6
1.1
1.1
5.6
13.3
3.1
5.3
30.3
4
3.6
2.1
0.8
0.8
155.7
154.5
156.9
1.2
<MPLS:L=400657,E=0>
<MPLS:L=420033,E=0>
<MPLS:L=795472,E=0>
<MPLS:L=485138,E=0>
246
Profiler (CPU load)

Tool that shows the CPU load
Shows the processes and their load o the
CPU
Note : idle is not a process. It means
just that; the percentage of the CPU NOT
being used
2013-01-01
247
Profiler (CPU load)

CLI
/tool profile
[admin@MikroAC1] > /tool profile
NAME
CPU
console
all
flash
all
networking
all
radius
all
management
all
telnet
all
idle
all
profiling
all
unclassified
all
-- [Q quit|D dump|C-z continue]
USAGE
0%
0%
0%
0%
0.5%
0.5%
99%
0%
0%
Para ms detalles sobre los procesos y lo que significan, por favor visite
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
2013-01-01
248
System identity
Aunque no es una herramienta, es importante para
establecer la identidad del sistema.
No se puede gestionar 100 routers que todos tienen el
nombre "Mikrotik". Se hace casi imposible la solucin de
problemas.
Una vez establecido, se har la identificacin del router
que est trabajando mucho ms simple
.Syntax
/system identity print (show current name)

/system identity set name=my-router (sets
the router's name)
2013-01-01
249
Ponerse en contacto con

soporte Mikrotik
2013-01-01
250
Supout.rif
Supout.rif es un archivo de soporte
utilizado para RouterOS depurar
propsitos y para ayudar al personal de
apoyo Mikrotik resolver problemas ms
rpido
Syntax
CLI : /system sup-output
2013-01-01
251
Supout.rif
Una vez
generado, el
archivo
"supout.rif" se
encuentra en la
lista de archivos
2013-01-01
252
Supout.rif Viewer
Para acceder al
visualizador
supout.rif", acceder
a su cuenta
Mikrotik
Usted debe tener
una cuenta (es una
buena idea tener
uno de todos
modos)
2013-01-01
253
Supout.rif Viewer
Los primeros pasos
son para localizar y
cargar el archivo
que gener
Comience a
navegar todos los
aspectos de la
configuracin
La vista
predeterminada es
"recurso"
2013-01-01
254
Autosupout.rif
Un archivo se puede generar de forma
automtica en caso de fallo de software (ej.
Kernel Panic o el sistema deja de
responder durante un minuto)
Hecho por el organismo de control
(sistema)
2013-01-01
255
System logging and debug logs

El registro es importante para asegurar
una historia (permanentes o no) de los
eventos del router
La forma ms fcil de ver los registros es
a travs de la (Men) ventana "log"The
CLI
/log print
2013-01-01
256
System logging
Comportamiento
Las tareas que el router emprender con ciertos
eventos
Reglas dicen que el router que "accin" para tomar
Hay cinco tipos de acciones, por lo que puede tener
un sistema de registro muy flexible
Sugerencia
Debe definir noticias "acciones" en primer lugar que
no se pondrn a disposicin de acciones
personalizadas a sus "reglas" hasta que se crean
2013-01-01
257
System logging
Actions, Ejemplos
[admin@MikroAC5] > /system logging action print
Flags: * - default
#
NAME
TARGET
0 * memory
memory
1 * disk
disk
2 * echo
echo
3 * remote
remote
4
webproxy
remote
5
firewallJournal
remote
2013-01-01
REMOTE
172.16.1.105
172.16.1.105
172.16.1.105
258
System logging
Rules
Cuentan RouterOS la "accin" para llevar a cabo con
un determinado evento (que se llama un topic")
Usted puede tener ms de una regla para un mismo
tema, cada regla de realizar una "accin" diferente
Usted puede tener una regla con dos o ms temas, la
realizacin de una "accin"
Adicin de reglas es simple, elegir uno o varios
temas, nombrar la regla, elija una accin. (Por esta
razn, se sugiere crear acciones primero)
2013-01-01
259
System logging
Rules, examples
[admin@MikroAC5] > /system logging print
Flags: X - disabled, I - invalid, * - default
#
TOPICS
0 * info
!firewall
1 * error
2 * warning
3 * critical
4
firewall
5
firewall
6
info
!firewall
7
error
8
warning
9
critical
10 X snmp
11
web-proxy
!debug
2013-01-01
ACTION
memory
PREFIX
INF
memory
memory
memory
memory
firewallJournal
remote
ERR
WRN
CRT
FW
FW
INF
remote
remote
remote
memory
webproxy
ERR
WRN
CRT
SNMP
PROXY
260
System logging syntax

Ver rules
/system logging print
Ver actions
/system logging action print
Grabar los errores en syslog server
/system logging action
add bsd-syslog=yes name=firewallJournal
remote=172.16.1.105 src-address=10.5.5.5 syslog-facility=local5
target=remote
Crear una regla para los temas de firewall que utilizar

la accin anterior
/system logging
add action=firewallJournal prefix=FW topics=firewall
2013-01-01
261
Donde se envan los registros

Como se indica en "acciones", los registros
se pueden encontrar en cinco lugares
Disk : A hard drive on the router
Echo : la consola del router (si existe)
Email : A predefined e-mail account
Memory : memoria interna del router (como
se ve en la ventana de "log")
Remote : A syslog server
2013-01-01
262
Configuracin Leible
Tambin conocido como "Que quede claro!"
La oscuridad es su peor enemigo. Mantenga sus
configuraciones clara y legible a travs de comentarios,
los nombres y la uniformidad
Comentarios: Dar una descripcin simple del tema
Nombres: Hacerlos significativa
Uniformidad: hacer las cosas de la misma manera en
todas partes
Por qu debera hacer todo esto?
Para ti. A la larga, esto simplificar tu trabajo y te
hacen ver eficiente (de nuevo)
2013-01-01
263
Configuracin Leible
Ejemplo
2013-01-01
264
Network diagrams
Un diagrama bien elaborado es un deber!

Incluso si usted comienza a partir de un humilde
comienzo, su red crecer.
Identificar todos los componentes clave
Mantenga el diagrama al da
Es una herramienta importante de solucin de
problemas.
Se usa para identificar posibles puntos
problemticos
Utilizando las herramientas vistos en este
mdulo (ping, traceroute), anote los posibles
problemas
2013-01-01
265
Network diagrams
Ejemplo
Todos los
puertos estn
marcados,
incluso los
disponibles
Los dispositivos
se identifican
Revisin #
actualizada
2013-01-01
266
Fin del mdulo 5
2013-01-01
267
LABORATORIO 5
Practique conceptos ARP que se
muestran en este mdulo
Aadir funcionalidad DHCP (cliente y
servidor) a su router
Utilice varias herramientas de solucin
de problemas
2013-01-01
268
Laboratory : Setup
2013-01-01
269
Laboratorio : Paso 1
Muestra las entradas ARP del router
Identificar cada entrada
Con base en el diagrama de la red, tiene
sentido? Comparar con el puerto de la
direccin MAC se supo
Validar en el que el modo de ARP sus interfaces
Agregar una direccin MAC falsa como si se
supiera desde el puente llamado "LAN"
2013-01-01
270
Aadir un cliente DHCP en la interfaz WLAN1
Pregunte al entrenador para hacer una reserva
esttica en su servidor DHCP. El cuarto dgito
de su direccin IP debe coincidir con su vaina
Dar el entrenador direccin MAC de su interfaz
WLAN desde el router no ha sido nombrado
todava
Eliminar su direccin IP esttica
Renueve su direccin del cliente DHCP
Cul es la direccin de final?
2013-01-01
271
Limpieza
Al crear el cliente DHCP, la opcin "Aadir ruta
por defecto" se establece en yes. Esto significa
que el cliente DHCP recibe una ruta por defecto
de forma dinmica
Muestra tus rutas. Qu ves en la ruta por
defecto?
Qu debe hacerse ahora para limpiar esta
tabla?
2013-01-01
272
Configurar el servidor DHCP para los
ordenadores del puente "LAN
Crear la configuracin que asegure que los
clientes recibirn una direccin IP siempre
El servidor DNS est en la misma direccin que
la puerta de enlace predeterminada (enrutador)
Vuelva a configurar el equipo para que reciba una
direccin IP de su router
Configurar el router para que el equipo siempre se sale
con la direccin .20X (donde X es la direccin de su
vaina)
Qu tienes que hacer para conseguir esa direccin?
2013-01-01
273
Limpieza
Aadir un comentario a su direccin esttica
para indicar lo que la reserva es para
En la pestaa DHCP del servidor DHCP,
darle un nombre significativo al servidor
DHCP (actualmente llamado dhcp 1)
2013-01-01
274
E-mail setup
Configure los ajustes de correo electrnico
que permite enviar mensajes de correo
electrnico a una direccin de correo
electrnico personal.
Usted puede utilizar su propia cuenta de
correo electrnico para probar esto
Pon a prueba tu configuracin con un correo
electrnico de prueba
2013-01-01
275
Netwatch
Utilice esta herramienta para controlar un
nodo prueba suministrada por el entrenador
Para acelerar las cosas, configurar intervalo
de supervisin a los 30 segundos
2013-01-01
276
Netwatch
Use este scripts:
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
/tool e-mail send to=<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."
2013-01-01
277
Netwatch
Apague el nodo prueba. Compruebe que
recibe un e-mail indicando el cambio de
estatus. Debe ser algo como esto
2013-01-01
278
Ping
Utilice la herramienta de ping para validar
que el nodo de prueba responde a los
paquetes de eco ICMP
Traceroute
Utilice la herramienta traceroute para ver

qu saltos son entre usted y el nodo de
prueba. Validar que lo que ves es lo que hay
en el diagrama de red de clase '
2013-01-01
279
Profiler
Inicie la herramienta de perfiles y ver los
distintos procesos que se ejecutan en su
router
Qu representa el porcentaje ms alto?
Ordenar las tareas por "uso"
2013-01-01
280
Supout.rif
Cree un archivo supout.rif. Dnde est?
Sube y echar un vistazo a las diferentes
secciones de su router, como se ve por el visor
supout.rif. Es interesante ver que un archivo
tan pequeo puede recorrer un largo camino
para ayudar a Mikrotik ayudarle.
Nota importante: Si usted no tiene una cuenta de Mikrotik, por
favor crear una ahora, ya que se requiere para tomar el examen de
certificacin !!
2013-01-01
281
Logging
Crear una accin:
El tipo es "memoria"
Crear una regla:
temas "e-mail" y "depuracin"
Accin "accion1"
Abra la ventana "log"
Volver a la herramienta de correo
electrnico y enviarse un correo electrnico de
prueba. Qu es lo que se ve en la ventana de
registro?
2013-01-01
282
La limpieza de nuestra configuracin
Vaya a la ventana, en la ficha Seguimiento de
las Acciones y cambiar el nombre "accion1" a "Email-depuracin"
Que pas? Cambiar el nombre de "accion1" a
"EmailDebug"
Cambie de nuevo a la ficha Reglas. Qu notas
acerca de la entrada "e-mail, depurar"?
configuracin que respeta la estructura de nombre de
archivo anterior desde el mdulo anterior
2013-01-01
283
Por ltimo, cambiar el nombre de su
router de manera que:
que lleva el nombre de su POD
La primera letra se escribe con mayscula
Crea dos copias de seguridad nombrados

Mdulo 5-Podx
uno debe ser binario
uno debe ser una exportacin
2013-01-01
284
2013-01-01
285
MODULO 6 FIREWALL
2013-01-01
286
Firewall Principios
2013-01-01
287
Firewall principles
Un firewall es un servicio que permite o
bloquea los paquetes de datos que va a
travs de l o basado en reglas definidas
por el usuario.
El servidor de seguridad acta como una
barrera entre dos redes.
Un ejemplo comn es su LAN (de
confianza) e Internet (no fiable).
2013-01-01
288
Firewall principios
Cmo funciona el firewall
El firewall funciona con reglas. Estos tienen dos partes
El matcher: Las condiciones que necesitas un partido
La Accin: Qu voy a hacer una vez que tengo un partido
El matcher analiza parmetros como:
Direccin MAC de origen
Direcciones IP (red o lista) y los tipos de direcciones (emisin, local,
multicast, unicast)
Puerto o puerto serie
Protocolo
Opciones de protocolo (tipo y cdigo campos ICMP, banderas TCP,
opciones IP)
Interfaz del paquete llega o sale a travs de
byte DSCP
Y ms
2013-01-01
289
Packet flows - Flujo de

Paquetes
Mikrotik creado los diagramas de flujo de
paquetes para ayudarnos en la creacin de
configuraciones ms avanzadas
Es bueno estar familiarizado con ellos
para saber qu est pasando con los
paquetes y en qu orden
Para este curso, vamos a mantenerlo
simple
2013-01-01
290
Packet flows
Overall diagrams
2013-01-01
291
Packet flows
2013-01-01
292
Packet flows
2013-01-01
293
Packet flows, example

Complicado? Bienvenido al club!
El siguiente ejemplo puede ayudar a
ilustrar un sencillo flujo de paquetes:
Haciendo ping a un (nodo inexistente) en
la interfaz LAN del router a travs de su
interfaz WAN
IP del nodo haciendo el ping: 172.16.2.100
IP del nodo que se est ping: 192.168.3.2
IP de WAN del enrutador (Ether1): 192.168.0.3
2013-01-01
294

Ping in
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
2013-01-01
295

explained
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip firewall mangle
add action=log chain=prerouting log-prefix=Mangle-prerouting
protocol=icmp
add action=log chain=output log-prefix=Mangle-output protocol=icmp
add action=log chain=input log-prefix=Mangle-input protocol=icmp
add action=log chain=forward log-prefix=Mangle-forward protocol=icmp
add action=log chain=postrouting log-prefix=Mangle-postrouting
protocol=icmp
/ip firewall nat
add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
2013-01-01
296
El seguimiento de conexiones y
estados
El seguimiento de conexiones gestiona la informacin
sobre todas las conexiones activas.
Antes de crear los filtros de firewall (o reglas), es bueno
saber qu tipo de trfico pasa a travs de su router. El
seguimiento de conexiones que muestran precisamente
eso.
Flags: S - seen reply, A - assured
#
PROTOCOL SRC-ADDRESS
0 SA tcp
172.16.2.140:52010
1
ospf
172.16.0.6
2 SA tcp
172.16.2.100:49164
3 SA tcp
172.16.2.122:61739
4 SA tcp
172.16.2.130:58171
5 SA gre
172.16.0.254
6 SA udp
172.16.0.254:4569
7 SA tcp
172.16.2.130:58174
8 SA tcp
172.16.2.140:52032
9 SA tcp
172.16.2.107:47318
10 SA tcp
172.16.2.102:57632
11
ospf
172.16.0.5
12 SA tcp
172.16.2.102:56774
13 SA tcp
172.16.2.102:56960
14 SA tcp
172.16.0.254:37467
15 SA tcp
172.16.2.107:39374
2013-01-01
DST-ADDRESS
17.172.232.126:5223
224.0.0.5
172.16.9.254:445
206.53.159.211:443
17.149.36.108:443
172.16.0.1
209.217.98.158:4569
173.252.103.16:443
69.171.235.48:443
173.252.79.23:443
173.252.102.241:443
224.0.0.5
65.54.167.16:12350
173.194.76.125:5222
172.16.0.1:1723
79.125.114.47:5223
TCP-STATE
TIMEOUT
established 23h42m6s
5m49s
4h44m11s
13m9s
5m49s
297
estados
En caso de que deshabilite el seguimiento
por cualquier razn, las siguientes
caractersticas no funcionarn:
NAT
Firewall
connection-bytes
connection-type
connection-limit
layer7-protocol
new-connection-mark
connection-mark
connection-state
connection-rate
p2p
tarpit
p2p matching in simple queues

Antes de deshabilitar el seguimiento de conexiones,
asegrese de la meta que desea alcanzar!
2013-01-01
298
estados
Estados de conexin (suponiendo cliente-A est iniciando
una conexin con el cliente-B):
Established
una sesin TCP con el host remoto se ha establecido,
proporcionando una conexin abierta, donde se pueden intercambiar datos
Time-wait
tiempo de espera para asegurar que host remoto ha
recibido un acuse de recibo de su solicitud de finalizacin de conexin
(despus de "cerrar")
Close
Representatividad en espera de una peticin de terminacin de
conexin desde la distancia
Syn-sent
Client-A est a la espera de una solicitud de conexin a
juego despus de haber enviado a uno
Syn-received
Client-B est esperando una confirmacin de solicitud de
conexin reconocimiento despus de haber recibido tanto y se enva una
solicitud de conexin
2013-01-01
299
estados
El uso de seguimiento de conexiones
permite el seguimiento de conexiones
UDP, incluso si UDP no tiene estado.
Como tal, el firewall de Mikrotik puede
filtrar en UDP "estados".
Primer paquete ser "nueva", el resto
puede ser aceptada como lo establece si no
se alcanza el valor UDP-timeout.
2013-01-01
300
Firewall Estados de conexin

New primer paquete de UDP, TCP SYN
paquete
Established El resto de la UDP, el resto
de TCP
Related una conexin creada por la
conexin ya existente
Invalid paquete TCP sin entrada de
seguimiento de conexiones
Estado de conexin
- new
En que primer paquete que se puede
establecer la entrada de seguimiento de
conexiones
De paquetes TCP SYN Primera
En primer paquete UDP
Estado de conexin
- established
Los paquetes de conexiones ya se conocen
El resto de la comunicacin UDP, si la tasa de
paquetes puede mantener la entrada del tiempo
de espera
Es una buena idea para aceptarlos
Estado de conexin
- realted
Conexin que se crea por otra conexin,
ya establecido.
Por ejemplo, la conexin de datos de la
PTF es creado por conexin de gestin
FTP.
Es esencial para ellos aceptarlo
Estado de conexin
- invalid
Cualquier paquete con estado desconocido
Es buena idea dejarlos DROP
Estructura: cadenas y acciones

Una cadena es una agrupacin de reglas basado en los mismos
criterios. Hay tres cadenas predeterminadas en funcin de criterios
predefinidos..
Input : El trfico que va al router
Forward : El trfico que va a travs del router
Output : El trfico procedente del enrutador
Usted puede tener cadenas de usuario basadas en criterios

personalizados. Por ejemplo :
All icmp traffic
Traffic coming in from Ether2 and going to bridge interface "LAN
Cadenas definidas por el usuario se crean mediante la seleccin de

los "comparadores" deseados y elegir la accin de "salto". Se le dar
a su cadena definida por el usuario de un nombre en el campo
"objetivo salto".
Despus de eso, usted puede empezar a crear reglas de filtrado que
utilizan la nueva cadena mediante la introduccin en el campo
"Cadena" del nuevo filtro de cortafuegos
2013-01-01
306
Estructura: cadenas y acciones

Una accin dicta lo que har el filtro cuando los
paquetes se hacen coincidir con l.
Los paquetes se comprueban secuencialmente contra de
las reglas existentes en la cadena del firewall actual
hasta que se produce una coincidencia. Cuando lo hace,
se aplica la regla.
Saber que ciertas acciones pueden o no requerir que el
paquete se procesar ms.
Otras acciones pueden exigir que el paquete de ser
procesado en una cadena diferente. Veremos esto en
pginas posteriores.
2013-01-01
307
Filtros de cortafuegos en
accin
2013-01-01
308
Filosofa de seguridad bsico

Usted puede acercarse a la seguridad de
varias maneras
Confiamos en el interior, las normas
afectarn a lo que viene del exterior
Nos bloquean todo y permitimos que
los que estamos de acuerdo sobre
Nos permitimos todo y bloqueamos lo
que sabemos es problemtico
2013-01-01
309
Consejos bsicos y trucos

Antes de configurar o cambiar las reglas,
activar el "modo seguro".
Despus de configurar o cambiar las
reglas, probar sus reglas usando una
herramienta como ShieldsUP
(https://www.grc.com/x/ne.dll?bh0bkyd2)
Te dar un informe debilidades
2013-01-01
310

Antes de comenzar, establecer una poltica.
Anote, en texto plano, en su idioma, las reglas bsicas que usted
desea.
Una vez que los entiende y est de acuerdo con ellos, la entrada
en el router.
Aadir otras reglas progresivamente, una vez que est satisfecho
con los bsicos.
Si eres nuevo en la seguridad, no le ayudar a disparar en todas
las direcciones. Hacer lo bsico, pero hacerlas bien.
Eso s, no espere demasiado tiempo para aadir las siguientes
reglas. Es una cosa que funciona bien, pero es otra que dejar
agujeros abiertos porque quieres probar las primeras reglas a
cabo.
2013-01-01
311

Es una buena idea para poner fin a sus cadenas
con las reglas "catch-all" y ver lo que puede
haber perdido.
Tendr dos reglas "catch-all", uno de "log" y otro
para "soltar" el trfico incomparable. Ambos
deben basarse en los mismos comparadores ser
til para usted.
Una vez que vea lo que llega a las reglas "catchall", puede agregar nuevas reglas basadas en el
comportamiento deseado del servidor de
seguridad.
2013-01-01
312
Filter Matchers
Antes de tomar "accin" en un paquete,
debe estar identificado.
Comparadores son muchos!
2013-01-01
313
Filter actions
Una vez que el paquete ha sido adaptado a una regla,
una accin se aplicar a la misma.
Filtros de firewall de MikroTik tienen 10 acciones.
Accept
Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list
Add destination address to address list specified by address-list parameter. Packet is passed to next
firewall rule.
Add-src-to-address-list
Add source address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Drop
Silently drop the packet. Packet is not passed to next firewall rule.
Jump
Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule (in
the user-defined chain).
Log
Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough Ignore this rule and go to next one (useful for statistics).
Reject
Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return
Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in originating
chain, if there was no previous match to stop packet analysis).
Tarpit
Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to next
firewall rule.
2013-01-01
314
La proteccin de su enrutador
(input)
La cadena de entrada se ve en el trfico
dirigido al router.
Las normas que se agregan en la cadena
de entrada deben evitar que los piratas
lleguen al router sin detenerlo de hacer su
trabajo.
2013-01-01
315
La proteccin de su
enrutador(example)
Las siguientes son sugerencias!
Supongamos que ether01 est conectado a la red WAN (red no
fiable) y estamos utilizando la "confianza dentro" la poltica..
Acepte respuestas de eco ICMP (Es posible que desee hacer ping a
un servidor en Internet. Sera til para que usted pueda obtener
las respuestas!)
Cada de peticiones de eco ICMP (Usted no quiere que otros ping
ti. Permanezca bajo el radar!)
Acepte todos "establecido" y el trfico de entrada "relacionados"
(Usted querr las respuestas a lo que el enrutador pedimos, como
las solicitudes NTP y DNS)
Cada de todos "no vlido" el trfico de entrada (Cualquiera que
sea el router recibe que no pidi)
Entra el resto del trfico de entrada (Me he perdido algo
importante?)
Suelta el resto del trfico de entrada (Quiero estar seguro!)
2013-01-01
316
La proteccin de Clientes(forward)
Como se dijo antes, la cadena hacia
adelante mira el trfico que va a travs
del router.
Las reglas que se aaden en la cadena
hacia adelante debe evitar que los piratas
lleguen a su red "seguro" y sin que nos
impida hacer su trabajo.
2013-01-01
317
La proteccin de Clientes (example)

Las siguientes son sugerencias!
Una vez ms, se supone que ether01 est conectado a la red WAN
(red no fiable) y estamos utilizando el "confiar en el interior".
Acepte todo el trfico hacia adelante "establecida" y "relacionados"
(Usted querr las respuestas a lo que usted pidi, como peticiones
HTTP y correo electrnico)
Cada de todo el trfico hacia adelante "no vlido" (Lo que usted
obtiene que no pediste)
LOG el resto del trfico hacia adelante (Me he perdido algo
importante?)
Suelta el resto del trfico directo (Quiero estar seguro!)
2013-01-01
318
Lo que se ve en el final
2013-01-01
319
Firewall filter syntax

View existing filter rules
/ip firewall filter print (produces a clearer, readable output)
/ip firewall filter export (shows complete syntax)
Create various rules (from /ip firewall filter)
add chain=input comment="Established-Related (in)"

connection-state=established in-interface=ether01
add chain=forward comment="Established-Related (fwd)"
connection-state=established in-interface=ether01
add action=log chain=input comment="===CATCH-ALL==" ininterface=ether01 log-prefix="CATCH-ALL(in)"
add action=drop chain=input in-interface=ether01
add action=add-dst-to-address-list address-list=temp-list
address-list-timeout=3d1h1m1s chain=input protocol=tcp srcaddress=172.16.2.0/24
2013-01-01
320
Basic address-list
2013-01-01
321
Basic address-list
Las listas de direcciones son grupos de
direcciones IP
Pueden ser utilizados para simplificar las
reglas de filtrado
Por ejemplo, podra crear 100 reglas para
bloquear 100 direcciones o !!
Se puede crear un grupo con esos 100
direcciones y crear una sola regla de filtrado.
Los grupos (listas de direcciones) pueden representar
Los administradores de TI con derechos especiales
hackers
Cualquier otra cosa que se pueda imaginar ...
2013-01-01
322
Basic address-list
Pueden ser utilizados en los filtros de cortafuegos, NAT
mangle y las instalaciones.
Creacin de listas de direcciones se puede automatizar
mediante el uso de add-src-a-direccin-lista o add-dst-adireccin-lista de acciones en las instalaciones de filtrado
del cortafuegos, mangle o NAT.
Esta es una gran manera de bloquear automticamente direcciones
IP sin tener que introducir uno a uno
Example : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd in-interface=ether1Internet psd=21,3s,3,1
2013-01-01
323
Address list syntax

View existing address lists
/ip firewall address-list print
Create a permanent address list

/ip firewall address-list add address=1.2.3.4 list=hackers
Create an address list through a firewall filter rule

/ip firewall filter add action=add-dst-to-address-list addresslist=temp-list address-list-timeout=3d1h1m1s chain=input
protocol=tcp src-address=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list addresslist=NAT-AL chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list addresslist=DST-AL address-list-timeout=10m chain=prerouting
protocol=tcp
2013-01-01
324
Source NAT
2013-01-01
325
NAT
Network Address Translation (NAT) permite a
los hosts para utilizar un conjunto de direcciones
IP en el lado LAN y otro conjunto de direcciones
IP al acceder a redes externas.
Fuente NAT traduce las direcciones IP privadas
(en la LAN) a direcciones IP pblicas cuando se
accede a Internet. El revs se hace para el
trfico de retorno. Se refiere a veces como
"esconder" su espacio de direcciones (de la red)
detrs del ISP suministra direccin.
2013-01-01
326
Enmascarado y la accin-src
nat
La primera cadena de NATing es "srcnat". Es usado por
el trfico que sale del router.
Al igual que los filtros de firewall, reglas NAT tienen
muchas propiedades y acciones (13 acciones).
La primera, y la ms bsica de las reglas NAT, slo
utiliza la accin "mascarada".
Masquerade sustituye la direccin IP de origen en
paquetes de un solo determinados por la instalacin de
enrutamiento.
Por lo general, la direccin IP de origen de los paquetes que van
a la Internet ser reemplazado por la direccin de la interfaz
externa (WAN). Esto es necesario para el trfico de retorno a
"encontrar su camino a casa".
2013-01-01
327
Enmascarado y la accin srcnat

La accin "src-nat" cambia la direccin IP
de origen y el puerto de paquetes a los
especificados por el administrador de la
red
Ejemplo de uso: Dos empresas (alfa y beta) se han
fusionado y ambos utilizar el mismo espacio de
direcciones (ex 172.16.0.0/16.). Ellos crearn un
segmento utilizando un espacio de direccin
totalmente diferente como un amortiguador y ambas
redes requerirn reglas-src y NAT-dst nat.
2013-01-01
328
Destination NAT
2013-01-01
329
DST-nat y la accin de
redireccin
"Dst-nat" es una accin se utiliza con la
cadena "dstnat" para redirigir el trfico
entrante a una direccin IP diferente o
puerto
Ejemplo de uso: En nuestro Alfa y Beta anterior
ejemplo, vemos que se requieren normas-DST nat
reconvertir el "buffer direccin IP" a la direccin del
servidor de Beta.
2013-01-01
330
DST-nat y la accin de
redireccin
"Redirect" cambia el puerto de destino al
puerto especificado "al-puertos" del router.
Ejemplo de uso: Todas http (TCP,
puerto 80) el trfico se va a enviar al
servicio web proxy en el puerto TCP
8080.
2013-01-01
331
NAT Syntax
Source NAT (from /ip firewall nat)
Add the masquerade rule
add action=masquerade chain=srcnat
Change the source IP address

add chain=srcnat src-address=192.168.0.109 action=src-nat toaddresses=10.5.8.200
Destination NAT
Redirect all web traffic (TCP, port 80) to the router's web proxy on port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
2013-01-01
332
Tiempo para un ejercicio prctico . .
Fin del mdulo 6
2013-01-01
333
LABORATORIO 6
Configuracin de reglas bsicas de
cortafuegos
Configurar una direccin de la lista bsica
Aplicar reglas bsicas NAT origen y ponerlas
a prueba
Aplicar reglas bsicas NAT destino y
ponerlas a prueba
2013-01-01
334
Laboratory : Diagrama
2013-01-01
335
Laboratorio: paso 1
Crear Usuario Test1 Pass1 Permiso minimo

Antes de seguir adelante con las reglas del cortafuegos,
vamos a probar una regla NAT: Enmascaramiento
Mira en la configuracin para ver si usted tiene un
"enmascaramiento" regla NAT. Crear uno si usted no
PERO deja desactivada. Si usted tiene uno asegurarse
de que es discapacitado
Lanzamiento Winbox y conectarse a una router vecino.
En la seccin de conexin IP FIREWALL, mira las
conexiones activas. Que ves? Por qu?
Establecer la opcin de configuracin que le permitir
realizar un seguimiento de las conexiones. Compruebe
los resultados.
Habilitar la regla NAT mascarada y comprobar el
seguimiento
de conexiones de nuevo.
2013-01-01
336
Laboratorio: paso 2
Vamos a hacer las cosas ms interesantes
aadiendo reglas de filtrado. Aplique las
siguientes reglas para el trfico entrante en la
interfaz WAN.
Acepte respuestas de eco ICMP
Cada de peticiones de eco ICMP
Acepte todos "establecida" y "relacionados con" el trfico de
entrada y hacia adelante
Cada de todas las entradas "no vlido" y el trfico hacia
adelante
Entra el resto de la entrada y el trnsito hacia adelante
Suelta el resto de la entrada y el trnsito hacia adelante
Aadir comentarios significativos a todas las reglas.
Haga lo mismo con los prefijos "log" REGLAS ".
2013-01-01
337
Laboratorio: paso 3
Ahora que ya tiene normas, revisar sus
registros. Mira los mensajes y su formato
Al ver lo que se ve ahora, cree
solucionando problemas de conexin sera
ms fcil? Por qu?
2013-01-01
338
Laboratorio: paso 4
Crear listas de direcciones que
representan a todas las vainas
Utilice el siguiente formato:
Nombre: Pod1
Direccin: <red / mscara> de la LAN
Nombre: Pod1
Direccin: <IP> de la interfaz WAN
Hacerlo para todos pod, incluso su propio pod
2013-01-01
339
Laboratorio: paso 5
Grupos de dos en dos para las siguientes pruebas
Cierre la ventana de su WinBox y vuelva a abrirlo, se
conecta a su router pareja. Lo que est sucediendo?
Con una regla de filtrado SOLAMENTE, permitir que
todas las direcciones IP de usted mira con fijeza pod para
conectarse a su router con WinBox (TCP, 8291)
Asegrese de que est en el lugar correcto

para que funcione
Y no se olvide comentarios!
2013-01-01
340
Laboratorio: paso 6
Para probar la redireccin de puertos,
tendremos que hacer un pequeo cambio
en los servicios de IP de su vaina.
En la seccin de servicios IP, cambie el
puerto WinBox a 8111.
2013-01-01
341
Laboratorio: paso 7
Cierre y vuelva a abrir la interfaz WinBox sin
aadir parmetros especiales. Qu resultado se
puede conseguir?
Inicie sesin en el WinBox utilizando el puerto
8111.
Crear una regla-dst nat con una accin de
redireccin al puerto 8111 en todo el puerto 8291
el trfico TCP.
Cierre y vuelva a abrir WinBox sin el puerto
despus de la direccin IP. Funciona ahora?
Acceda a usted mira con fijeza enrutador de
pod. Lo que est sucediendo?
2013-01-01
342
Laboratorio: paso 8
Regrese al puerto WinBox a su valor
normal de 8291.
Desactivar (no eliminar) la regla dstnat
de "reorientar".
Cierre WinBox y validar que se puede
iniciar sesin en el router y el router de su
pares normalmente.
2013-01-01
343
Laboratorio: paso 9
Crear una regla-dst nat con una accin de
redireccin al puerto 8291 en todo el
puerto TCP 1313 el trfico que entra en el
puerto WAN.
Abra WinBox e iniciar sesin en el router
a travs del puerto 1313.
Abra WinBox e iniciar sesin en el router
de su pares a travs del puerto 1313.
Explicar los diferentes resultados.
2013-01-01
344
Laboratorio: paso 10
Hacer una exportacin y una copia de
seguridad binaria bajo el nombre de
archivo module6-podx.
2013-01-01
345
2013-01-01
346
MODULO 7 QOS
2013-01-01
347
Simple queue - cola simple
2013-01-01
348
Introduccin
QoS (calidad de servicio) es el arte de la
gestin de los recursos de ancho de banda
y no slo "a ciegas" ancho de banda que
limita a ciertos nodos
QoS puede priorizar el trfico basado en
mtricas. til para
Las aplicaciones crticas
Trfico sensible como flujos de voz y video
2013-01-01
349
Introduccin
Colas simples son un ... simple ... forma
de limitar el ancho de banda de
Subida del Cliente
Descarga del Cliente
Agregada de cliente (carga y
descarga)
2013-01-01
350
Target Objetivo
Target es la interfaz a la que se aplica la
cola sencilla
DEBE especificar un objetivo. Puede ser
Una direccin IP
Una subred
Una interfaz
Orden de la cola es importante. Cada
paquete debe pasar por cada cola sencilla
hasta que se produzca una coincidencia
2013-01-01
351
Destinos
Direccin IP donde el trfico del objetivo
est dirigido, o
Interface a travs del cual el trfico de
destino fluir a travs de
No es obligatorio, como el campo
"objetivo"
Se puede utilizar para limitar la
restriccin de la cola
2013-01-01
352
Max-limit and limit-at

El parmetro "max-lmite" es la velocidad
de datos mxima que puede alcanzar un
objetivo
Visto como MIR (mxima velocidad de informacin)
Mejor de los casos
El limit-at" parmetro es una velocidad

de datos mnima garantizada para el
objetivo
Visto como CIR (tasa de informacin comprometida)
En el peor escenario
2013-01-01
353
Bursting Rafaga
Bursting permite a los usuarios de
conseguir, por un tiempo corto, ms ancho
de banda que el permitido por el
parmetro "max-lmite".
til para impulsar el trfico que no
utiliza el ancho de banda con demasiada
frecuencia. Por ejemplo, HTTP. Obtener
una pgina de descarga rpida, que ley
durante unos segundos
2013-01-01
354
Bursting
Definitions.
Burst-limit : Tasa mxima de datos mientras se
permite rfaga
Burst-time : El tiempo, en segundos, durante el
cual se hizo el muestreo. No es el perodo durante el
cual el trfico va a estallar.
Burst-threshold : el valor que determinar si se
permitir a un usuario de usar la rafaga
Average-rate : Un promedio de transmisin de
datos calcula en 1/16th partes de "tiempo de rfaga".
Actual-rate : Actual tasa de transferencia de datos
(real).
2013-01-01
355
Bursting
Cmo funciona..
Se permite que estalla mientras que las estancias de tasa
promedio por debajo del umbral de estallar.
Estallar se limitar a la velocidad especificada por el lmite de
estallar.
Tasa media se calcula un promedio de 16 muestras (a tasa real)
ms de segundos en tiempo de rfaga.
Si en tiempo de rfaga es de 16 segundos, y luego se toma una
muestra cada segundo.
Si en tiempo de rfaga es de 8 segundos, luego se toma una
muestra cada segundo. Etctera
Cuando estalla aperturas, se permiti segundo en tiempo de
rfaga ms larga, que es
(umbral estallar x tiempo de rfaga) / lmite de estallar.
2013-01-01
356
Bursting
With a burst-time of 16 seconds
2013-01-01
357
Bursting
With a burst-time of 8 seconds
2013-01-01
358
Syntax
Una cola sencilla
add max-limit=2M/2M name=queue1 target=192.168.3.0/24
La misma cola con estallido

add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s
limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
2013-01-01
359
Tip
Usted puede haber notado que los iconos
de cola cambian de color de acuerdo al uso.
El color tiene un significado.
Verde: 0 - 50% de ancho de banda
disponible utilizado
Yellow empresa: 51 - 75% de ancho de
banda disponible utilizado
Red: 76 - 100% de ancho de banda
disponible utilizado
2013-01-01
360
Una cola simple para toda la

red (PCQ)
2013-01-01
361
Por qu tener una cola para

todos?
Per Connection Queue (PCQ) es una
forma dinmica de conformacin de trfico
para varios usuarios que utilizan una
configuracin ms sencilla.
Definir los parmetros, entonces cada
sub-stream (direcciones IP especfica, por
ejemplo) tendr las mismas limitaciones.
2013-01-01
362
Configuracin de tasa PCQ

La tasa PCQ parmetro limita permitido
velocidad de datos del tipo de cola.
Clasificador es lo que el router comprueba
cmo se va a aplicar esta limitacin. Puede
ser en direccin de origen o de destino, o la
fuente o puerto de destino. De este modo
se podra limitar el trfico de usuario o
trfico de aplicaciones (HTTP, por
ejemplo).
2013-01-01
363
Pcq-limit configuration
Este parmetro se mide en paquetes.
Un valor PCQ lmite grande
Crear un bfer mayor, reduciendo as los paquetes
cado
Aumentar latencia
Un valor PCQ lmite ms pequeo

Aumentar paquetes gotas (desde tampn es menor)
y forzar a la fuente de volver a enviar el paquete,
reduciendo as la latencia
Dar lugar a un ajuste de tamao de la ventana
TCP, dicindole a la fuente para reducir la velocidad
de transmisin
2013-01-01
364
Pcq-limit configuration
Qu valor se debe usar? No hay una
respuesta fcil..
Si a menudo comienza en una base "ensayo y error"
por aplicacin
Si los usuarios se quejan de latencia, reducir el
lmite pcq- (longitud de la cola) Valor
Si los paquetes tienen que pasar por un servidor de
seguridad compleja, entonces puede que tenga que
aumentar la longitud de la cola, ya que puede
introducir retrasos
Las interfaces Fast (como Gib) requieren colas ms
pequeas, ya que reducen los retrasos
2013-01-01
365
PCQ, un ejemplo
Vamos a suponer que tenemos usuarios
que comparten un vnculo WAN limitada.
Les daremos las siguientes velocidades de
datos:
Descargar: 2Mbps
Subir: 1Mbps
WAN est en Ether1
Subred LAN es 192.168.3.0/24
2013-01-01
366
PCQ, un Ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
2013-01-01
367
Our example explained

Mangle : Le estamos diciendo al router para marcar los paquetes
con el "client_upload" o la marca "client_download", dependiendo de
si
Los paquetes son procedentes de la LAN y estn dejando de Ether1
(upload) o,
Los paquetes estn entrando desde Ether1 e ir a la LAN (descargar).
Queue types : Estamos definiendo los tipos de datos y

clasificadores de usar para diferenciar sub-corrientes (origen o
destino)
Queue tree : Las combinaciones que se comprueban para ver si los
paquetes califican para la modulacin del trfico y lo que debe
aplicar..
Por ejemplo, en el caso del trfico de subida, comprobamos entrada y
interfaces de salida (globales) para los paquetes con la marca
"client_upload" y aplicamos el "PCQ_upload" tipo de cola..
2013-01-01
368
Monitoring Monitoreo
2013-01-01
369
Interface traffic monitor

La herramienta de monitor de
trfico se utiliza para ejecutar
secuencias de comandos
cuando un trfico de interfaz
alcanza un cierto umbral.
Example
/tool traffic-monitor
add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \
traffic=received
/system script
add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\
YOU@DOMAIN.CA\" subject=([/system identity get name] . \" Log \
\" . [/system clock get date]) body=\"Hello World. You're going too fast!\""
2013-01-01
370
Torch
Torch es una herramienta de
monitorizacin de trfico en tiempo real
que se puede utilizar para monitorear el
trfico que va a travs de una interfaz.
Aunque CLI es muy flexible, la interfaz
de Torch en Winbox es muy intuitivo..
2013-01-01
371
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT
DST-PORT
53217
8291 (winbox)
[admin@Pod3] /tool> torch interface=ether2 port=any

SRC-PORT
DST-PORT
PACKETS RX-PACK
53217
8291 (winbox)
7
62414
53 (dns)
1
53538
80 (http)
12
62437
53 (dns)
1
53540
80 (http)
18
53541
80 (http)
19
59150
53 (dns)
1
53542
80 (http)
12
53543
443 (https)
6
53544
80 (http)
73
53545
80 (http)
4
2013-01-01
53546
80 (http)
12
TX
12.0kbps
12.0kbps
RX TX-PACKETS RX-PACKETS
4.7kbps
7
6
4.7kbps
7
6
TX
RX TX-
15.2kbps
5.1kbps
728bps
600bps
92.8kbps
5.3kbps
744bps
616bps
182.2kbps
8.4kbps
191.1kbps
8.6kbps
760bps
632bps
112.9kbps
7.0kbps
34.8kbps
6.3kbps
860.4kbps
20.0kbps
4.5kbps
5.6kbps
122.0kbps
6.3kbps
372
Torch, Winbox
2013-01-01
373
Graphs
Grfica es una herramienta utilizada para
monitorizar diversos parmetros RouterOS en el
tiempo y poner los datos recogidos en los
grficos.
Los siguientes parmetros se pueden capturar..
CPU, memory and disk usage
Interface traffic
Queue traffic
Los grficos se puede acceder tecleando http: //

<router IP-address> / grficos
2013-01-01
374
Graphs
Primeros Pasos.
[admin@Pod3] /tool graphing> set store-every=5min pagerefresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
Aadimos los valores a graficar.

[admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0
interface=all
[admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simplequeue=test-queue1
[admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0
2013-01-01
375
Graphs
2013-01-01
376
SNMP
SNMP, siglas de Simple Network Management
Protocol, es un protocolo estndar de Internet
utilizado para la gestin de dispositivos en las
redes IP.
Muchas de las herramientas, tanto de cdigo
abierto y comercial, estn disponibles para
gestionar sus redes y automatizar muchas
tareas.
Como todas las cosas, la configuracin debe ser
pensado desde uno podra utilizar SNMP para
hackear la red.
2013-01-01
377
SNMP
Primeros Pasos.
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
2013-01-01
378
SNMP
Especial atencin se debe dar a las
comunidades.
Dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-access=no
authentication-protocol=MD5 encryption-protocol=DES authentication-password=""
encryption-password=""
[admin@Pod3] /snmp community>
2013-01-01
379
SNMP
2013-01-01
380
Fin del mdulo 7
2013-01-01
381
LABORATORIO 7
Configurar y probar una cola simple.
Configurar y probar una configuracin de
cola PCQ.
Ser capaz de decir a los pros y los contras de
ambos.
Pruebe las herramientas de seguimiento y
ver cmo pueden ayudar en situaciones
cotidianas.
2013-01-01
382
Laboratory : Setup
2013-01-01
383
Antes de continuar, instale un navegador
MIB de sus computadoras.
Adems, las Estudiantes deben
emparejarse para este laboratorio varios
pasos requerirn que ms de un equipo se
conecte a los routers.
http://www.ireasoning.com/mibbrowser.shtml
2013-01-01
384
Laboratorio: paso 2
Rendimiento de prueba usando un sitio web de pruebas
de velocidad. Tenga en cuenta los resultados.
Configure una cola sencilla (lo llaman "lab7") que
limitar toda su LAN para descarga 1Mbps y 512Kbps
de subida.
Rendimiento de nueva prueba.
Hacer que un compaero de estudios se conecte a su
router y repita la prueba de velocidad. Qu obtienes?
Su compaero de estudios conseguir los mismos
resultados cuando se conecta a su router?
2013-01-01
385
Laboratorio: paso 3
Aadir estallando en la cola "lab7". Los
parmetros son:
Burst limit 1M (upload), 4M (download)
Burst-threshold 1M (upload), 3M (download)
Burst-time 16 seconds for both
Repetir las mismas pruebas como antes y

ver los resultados.
Una vez hecho esto, deshabilite la cola
simple.
2013-01-01
386
Laboratorio: paso 4
Crear un sistema basado PCQ para que todos los
ordenadores de la misma red LAN tienen un lmite de 2
Mbps para descargas y 512 Kbps para cargas.
Asegrese de que los nombres que se utilizan tienen
sentido!
Rendimiento de prueba usando un sitio web de pruebas
de velocidad. Tenga en cuenta los resultados.
Hacer un compaero de estudios se conecte a su router
y repita la prueba de velocidad. Qu obtienes? Su
compaero de estudios conseguir los mismos resultados
cuando se conecta a su router?
2013-01-01
387
Laboratorio: paso 5
Configurar la supervisin del trfico de
una manera tal que se le enviar un email si el trfico de entrada es superior a 3
Mbps en su interfaz inalmbrica.
2013-01-01
388
Laboratorio: paso 6
Utilice la herramienta torch de tal
manera que se puede ver la direccin de
origen de nodos que hacen todo el trfico
IP en cualquier puerto a travs de la
interfaz inalmbrica.
Experimente con la CLI y enfoques
winbox.
2013-01-01
389
Laboratorio: paso 7
Habilitar grficos en:
interfaz inalmbrica
recursos de hardware
Ver en su navegador
2013-01-01
390
Laboratorio: paso 8
Habilitar SNMP, y el suministro de estos
parmetros:
Su nombre como informacin de contacto.
Su nmero de lugar como ubicacin (Podx).
Mantenga el resto a su valor por defecto.

El uso de un navegador MIB, caminar a
travs de las MIB de su router. Puedes
ver tu nombre y ubicacin?
2013-01-01
391
Laboratorio: paso 9
Como de costumbre, guardar la
configuracin actual en formato binario y
de texto utilizando el mismo formato de
nombre que se ha utilizado en los
laboratorios anteriores
2013-01-01
392
2013-01-01
393
MODULO 8 TNELES
2013-01-01
394
Tunnels
Los tneles son una forma de ampliar su

red privada a travs de una red pblica,
como Internet.
Tambin se conocen como VPNs (redes
privadas virtuales).
El concepto de seguridad se asocia con
VPNs. Estn acostumbrados ya que no es
deseable para permitir el trfico de los
usuarios a ir a travs de redes no seguras
y no de propiedad privada (por el cliente).
2013-01-01
395
PPP
2013-01-01
396
PPP profile - perfil

Perfiles PPP representan los parmetros de
configuracin para ser utilizados por los clientes
PPP tales como, pero no limitado a:
Direcciones o grupos IP locales y remotas
Compresin
Encriptacin
2013-01-01
397
/ppp profile (Ejemplo Cliente)

add change-tcp-mss=yes name=Profileexternal use-compression=\
yes use-encryption=yes use-vjcompression=no
/ppp profile (Ejemplo Server)

add change-tcp-mss=yes localaddress=192.168.222.1 name=Profileexternal \
remote-address=192.168.222.2 usecompression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dnsserver=192.168.5.1 localaddress=192.168.5.1 name=\
Profile-internal remote-address=PoolVPN use-compression=yes \
use-encryption=yes use-vjcompression=no
PPP secret
Secretos PPP se encuentran en servidores
PPP y especifican los parmetros bsicos
necesarios para autenticar un cliente,
tales como:
Nombre: Identificacin del usuario
Contrasea: La contrasea del usuario
Servicio: El protocolo est dando servicio (si se deja a
"cualquiera", el secreto PPP autenticar al usuario a
travs de cualquier servicio (PPPoE, L2TP, PPTP,
etc.))
2013-01-01
399
Perfil: El subconjunto de configuracin para ser

utilizado por este usuario. Los perfiles permiten
parmetros a ser utilizados por muchos usuarios
sin tener que volver a escribir todo lo que en todo
momento.
Los clientes no utilizan secretos PPP como sus
credenciales de autenticacin. Se especifican en la
interfaz del cliente de PPP con los parmetros
"password" "usuario.
/ppp secret
add name=Pod4-external password=pod4-123
profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profileinternal
PPP status
Representa estado actual de las conexiones.
til para depurar y verificar las operaciones
propias de sus tneles.
[admin@Pod5] > /ppp active print detail
Flags: R - radius
0
name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytes-out=0
1
name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97" address=192.168.222.2
uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytes-out=0
[admin@Pod5] > /ppp active print

Flags: R - radius
#
NAME
SERVICE CALLER-ID
ADDRESS
0
alain
pppoe
28:D2:44:2C:06:EE 192.168.5.100
1
Pod4-exte... pppoe
D4:CA:6D:8E:1A:97 192.168.222.2
2013-01-01
UPTIME
4m12s
53s
ENCODING
MPPE128 statefull
MPPE128 stateless
401
IP pool
2013-01-01
402
Creacin de una piscina

Pool de IP definen un rango de
direcciones IP para los clientes.
No slo es utilizado para DHCP, como
vimos anteriormente en este supuesto,
pero se puede utilizar para los clientes
PPP y Hotspot.
til cuando una interfaz puede dar
servicio a muchos clientes. Las direcciones
se asignan desde la piscina de forma
automtica.
2013-01-01
403
Manejando Rangos
Rangos de IPs son listas de direcciones IP que
no se superponen que se pueden asignar a los
clientes a travs de servicios (DHCP, PPP,
hotspots).
Vamos a demostrar con un ejemplo. Usted tiene
50 equipos de la LAN corporativa y 50 prximos
en la de usted VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
2013-01-01
404
Manejando Rangos
Usted necesita agregar 50 computadoras
ms en la piscina de la LAN.
/ip pool print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
0 Pool-PC
1 Pool-VPN
2013-01-01
RANGES
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
192.168.5.100-192.168.5.149
405
Asignar a un servicio
Las piscinas (pools) pueden ser asignados
a servicios como DHCP, PPP y punto de
acceso.
Vamos a ver la sintaxis de las
diapositivas por venir.
2013-01-01
406
Asegure las redes locales
2013-01-01
407
PPPoE
Point-to-point over Ethernet es un
protocolo de capa 2.
Se utiliza a menudo por los ISP para
controlar el acceso a sus redes.
Se puede utilizar como un mtodo de
acceso en cualquier tecnologa de capa 2,
como 802.11 o Ethernet.
2013-01-01
408
PPPoE service-name
El service-name puede ser visto como el
SSID de 802,11, lo que significa que es el
nombre de la red que el cliente est
buscando.
A diferencia del SSID, si el cliente no
especifica uno, el concentrador de acceso
(servidor PPPoE) enviar todos los
service-names que servicios. El cliente
responder al primero de ellos que
responda.
2013-01-01
409
Creacin de un servidor
PPPoE
Un servidor PPPoE es el dispositivo que

est ofreciendo el servicio de tnel.
Se permite a los clientes obtener un
servicio de VPN segura capa 3 sobre una
infraestructura de capa 2.
Usted no puede llegar a un servidor
PPPoE a travs de routers. Ya que es un
protocolo de capa 2, el servidor slo se
puede llegar a travs del mismo dominio
de difusin Ethernet en el que los clientes
son.
2013-01-01
410
PPPoE
Antes de crear el propio servidor, cree los
parmetros de configuracin que usted
requiere (para valores distintos de forma
predeterminada), tales como:
piscinas o pools IP
perfiles PPP
secretos PPP
Crear la interfaz del servidor en la

interfaz fsica frente a los clientes.
2013-01-01
411
Creacin de un servidor PPPoE

Ejemplo
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\
yes use-vj-compression=no
2013-01-01
412
Creacin de un servidor PPPoE

ejemplo
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
2013-01-01
413
PPPoE
Consejo :
Puede dejar un puerto Ethernet sin un
puerto principal, un puente o una
direccin IP y el cliente que est conectado
a este puerto puede conseguir todava
acceso a Internet si su servidor PPPoE (y
el cliente PPPoE) est configurado
correctamente.
2013-01-01
414
Direcciones punto-punto
La forma ms fcil de crear direcciones es
codificando en la configuracin.
Direccin del / secret ppp tiene prioridad
del / perfil ppp, y ellos tienen prioridad
sobre pool / ip.
Tanto las direcciones locales y remotas
pueden ser nicos o de una piscina.
Las direcciones IP estticas o DHCP no
se deben utilizar en interfaces de cliente
PPPoE. Deje el control a la
infraestructura!
2013-01-01
415
Creacin de clientes PPPoE en RouterOS
Si desea utilizar un perfil diferente a la

default, crearla primero. Usted no tendr
que volver a ella ms tarde.
Crear la interfaz de cliente en la interfaz
de cara al ISP.
Ya terminaste!
Consejo :
El router no tendra que ser configurado con un cliente
DHCP en la interfaz WAN y funcionaria si el servidor
PPPoE est en la misma infraestructura de capa 2 como
puerto WAN.
2013-01-01
416
Cliente PPPoE en RouterOS, ejemplo

/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name="" add-default-route=yes allow=mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no \
interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \
mrru=disabled name=Client-PPPoE password=pod4-123 profile=\
Profile-external service-name="" use-peer-dns=no user=\
Pod4-external
Habilitar la interfaz del cliente.
2013-01-01
417
Secure remote networks

communication
2013-01-01
418
Clientes PPTP y servidores

PPTP es un protocolo de tnel de capa 3 y utiliza la informacin de
enrutamiento IP y direcciones de obligar a los clientes a los servidores.
Definir el servidor PPTP es casi lo mismo que para PPPoE, excepto que
ninguna interfaz tiene que ser especificado.
El cliente se define casi la misma forma que un cliente PPPoE, excepto que
una direccin IP tiene que ser especificado para el servidor.
Consejo: Usted debe permitir TCP, el puerto 1723 en el firewall del router
(el servidor PPTP) para su tnel pueda llegar..
/interface pptp-server server
set authentication=mschap2 default-profile=Profile-external enabled=yes
/interface pptp-client
add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \
default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \
max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\
Profile-external user=Pod4-external
2013-01-01
419
Clientes SSTP y servidores sin certificados

Definir el servidor SSTP es casi lo mismo que para PPTP, salvo que se
especifique un puerto TCP para conectarse al (443 por defecto).
El cliente se define casi la misma forma que un cliente PPTP, salvo que
se especifique un puerto TCP a utilizar para establecer una conexin
(443 por defecto).
Consejo: Usted debe permitir TCP, el puerto 443 para el tnel para
llegar. Adems, dejar el puerto en 443 para asegurar SSL se utiliza
para sus comunicaciones..
/interface sstp-server server
set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
2013-01-01
420
Rutas entre las redes

Una vez que el tnel est para arriba, usted necesita
rutas para mover paquetes de ida y vuelta.
La primera forma, para un solo tnel de cliente, es que
la ruta que se crea automticamente para ese tnel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#
DST-ADDRESS
PREF-SRC
GATEWAY
DISTANCE
0 ADS 0.0.0.0/0
192.168.0.254
0
1 ADC 192.168.0.0/24
192.168.0.5
ether1
0
2 ADC 192.168.5.0/24
192.168.5.1
Bridge-PC
0
3 ADC 192.168.5.101/32
192.168.5.1
<pptp-alain>
0
2013-01-01
421

La segunda manera es especificar una o
varias rutas en el Secret PPP para un
cliente.
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
/ppp secret print

Flags: X - disabled
#
NAME
ADDRESS
0
Pod4-external
1
alain
SERVICE CALLER-ID
PASSWORD
PROFILE
any
any
pod4-123
alain!!
Profile-external
Profile-internal
REMOTE-
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
2013-01-01
422

La tercera forma es agregar rutas
estticas a una o varias redes a travs de
un tnel.
Este mtodo es til si ambos routers
deben tener su propia ruta por defecto,
pero implica ms mantenimiento y
parmetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24
gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21
gateway=192.168.254.10
2013-01-01
423
Closing note
VPN
Protocol
Encryption
Ports
Compatible
with
Notes
PPTP
MPPE with RC4

128 bit key
1723 TCP
Windows XP, Vista,

7,8,10
Mac OS X
iPhone OS
Android
PPTP is the most widely used VPN protocol

today.
It is easy to setup and can be used to
bypass all Internet restrictions.
PPTP is considered less secure.
SSTP
SSL with AES

2048 bit key
certificate
256 bit key for
encryption
443 TCP
Windows 7
SSTP uses a generic port that is never

blocked by firewalls.
You can use SSTP to bypass corporate or
school firewalls.
SSTP is considered a very secure protocol.
Want to learn more?

http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx
http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols
http://www.vpnonline.pl/en/protokoly-vpn-porownanie (Linta Tabla!)
2013-01-01
424
Fin del mdulo 8
2013-01-01
425
LABORATORIO 8

Crear perfiles PPP y secretos
Crear y asignar pools IP a servicios
Crear un PPPoE VPN entre un
ordenador y un router
Crear PPTP y SSTP tneles entre
vainas
Asegure el enrutamiento adecuado
2013-01-01
426
Laboratory : diagrama
2013-01-01
427
Laboratorio: paso 1
El Laboratorio se realizara en parejas.
Los estudiantes crearn tres perfiles PPP
Dos de usar con la pod del vecino.

Uno para el servicio de servidor.
Uno para el servicio al cliente.
Uno de usar para los clientes conectados localmente.
Los estudiantes crearn dos secretos PPP
Uno para permitir la vaina vecino para conectarse a la vaina

local.
Uno para conectar los clientes conectados localmente.
Estudiantes vinculados estarn de acuerdo sobre la

sintaxis y el contenido de los parmetros.
2013-01-01
428
Laboratorio: paso 2
Crear una piscina IP para ser utilizado
por los clientes que deseen conectarse por
VPN.
Su piscina o pool ser en una red
diferente a su red LAN existente.
Asignar la piscina o pool para el perfil
para ser utilizado por su futuro VPN
"corporativo".
2013-01-01
429
Laboratorio: paso 3
Seleccione un puerto libre en el router y sacarlo
de cualquier grupo puente o puerto principal que
puede ser asignado a. No debe tener una
direccin IP o cualquier DHCP configurado en
l.
Configurar un servidor PPPoE en el router para
utilizar ese puerto. Usted debe utilizar el perfil
que ha creado para sus clientes VPN. Habilitar
slo MSChap2 para la autenticacin. Mira el
material del curso para los ajustes de
compresin y cifrado.
2013-01-01
430
Laboratorio: paso 4
Configure su ordenador para conectarse a
su router con una conexin de cliente
PPPoE.
Conectar y navegue!
Advertencias!
Compruebe la interfaz en la que se configura
el servidor (y en la que se conecta el
ordenador).
Compruebe la configuracin de perfil en su
servidor PPPoE y PPP secreto..
2013-01-01
431
Laboratorio: paso 5
Conecte su equipo de nuevo en una

interfaz Ethernet normal.
Las pod pares crearn un servidor PPTP
y un cliente SSTP.
Las pod impares crearn un cliente PPTP
y el servidor SSTP.
Utilice los perfiles y secretos creados
anteriormente.
SSTP no debe utilizar certificados!
Suba los tneles VPN y mirar lo que est
sucediendo.
2013-01-01
432
Laboratorio: paso 6
Nada? Qu olvidamos?
Sugerencia: Una nueva regla firewall tal
vez?
Una vez que los tneles estn arriba,
mirar a los estados de las conexiones
activas ".
2013-01-01
433
Laboratorio: paso 7
Retire las rutas estticas de la tabla de
enrutamiento. Slo debe tener uno a su
Pod de grupo.
Ping a la direccin IP LAN de su Pod
compaero. Funciona? Pero el tnel est
todava? Como puede ser? (Deja el ping
en ejecucin)
Se puede hacer ping a la direccin a
distancia del tnel? No todo est perdido
entonces.
2013-01-01
434
Laboratorio: paso 8
Abra el secret PPP del router y, en el campo

"Routes", agrega la red de la otra POD y
mscara.
Una vez hecho esto en ambas Pods, reinicie sus
tneles cliente.
Observe el efecto que tiene en su tabla de
enrutamiento. La sub red de sus compaeros
aparecieros. Una vez que ambos tneles estn
arriba, ambos sern capaces de hacer ping.
Observe tambin las direcciones en la lista de
direcciones IP.
2013-01-01
435
Laboratorio: paso 9
Como de costumbre, guardar la
configuracin actual en formato binario y
de texto utilizando el mismo formato de
nombre que se ha utilizado en los
laboratorios anteriores
2013-01-01
436
2013-01-01
437

MTCNA M1 Introduction EN v1 FINAL

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

MTCNA M1 Introduction EN v1 FINAL

Încărcat de

Drepturi de autor:

Formate disponibile

MikroTik Certified Network Associate

OBJETIVOS DEL CURSO

RouterOS and RouterBoard

RouterBOARD (boards only)

Por qu obtener un router

Integrated router, Ejemplo

Integrated router, Ejemplo

Integrated router, Ejemplos

Good for WISP or

Integrated router, examples

Por qu construir su propio

Custom router, examples

Custom router, examples

Add power supply or PoE

Add R5SHPn (5GHz radio

Add 3rd party enclosure

Primera vez en el router

WinBox and MAC-Winbox

WinBox and MAC-Winbox

WinBox and MAC-WinBox

SSH and Telnet

Basic or blank configuration?

Upgrading the router

La descarga de los archivos

menu System ->

Gestin RouterOS de inicios

La gestin de los servicios

La gestin de las copias de

Tipos de copias de seguridad

Copias de seguridad binarios

Archiving backup files

Dejando de archivos de copia de

Level 3: CPE, wireless client

Procedimiento, sin COM port

Procedimiento, sin COM port

Procedimiento, sin COM port

Procedimiento, sin COM port

Si el problema era una contrasea perdida,

Procedimiento, con COM port

Procedimiento, con COM port

Procedimiento, con COM port

Select RouterOS package that will be

Procedimiento, con COM port

Procedimiento, con COM port

Press x to exit setup (which reboots the

Pgina principal RouterOS Wiki

Recursos de vdeo en varios temas

Una gran cantidad de informacin se puede

Procedimientos de apoyo explican en

FIN DEL MDULO 1

Tiempo para un ejercicio prctico

Hay 2 caminos con Quickset y desde sin

Asignar a grupo "mnimo"

Asigne una contrasea para "admin"

Abra una nueva terminal. Que pas?

Una vez reiniciado

Descripcin general del

La comprensin de los campos

Por que Enrutamiento

La ruta por defecto

Gestin de rutas dinmicas

Managing dynamic routes,

Tiempo para un ejercicio prctico

Fin del mdulo 2