Documente Academic
Documente Profesional
Documente Cultură
MikroTik
Mdulo MTCNA
(MikroTik Certified Network Associate)
Mdulos MikroTik
1- Introduo
Agenda
Treinamento das 08:30hs s 18:30hs
Coffe break as 16:00hs
Almoo as 12:30hs 1 hora de durao
1- Introduo
Agenda
Contedo do MTCNA:
Configurao bsica;
Gerencia de redes;
Bridges
Roteamento esttico;
Wireless;
Firewall;
QoS e Controle de banda;
Tneis e VPNs.
1- Introduo
Contedo bnus:
Reviso TCP/IP;
Load Balance;
Failover;
Introduo ao OSPF;
Hotspot;
Web Proxy.
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
1- Introduo
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introduo
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCNA.
Prover um viso geral sobre o MikroTik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o MikroTik
RouterOS dispe para prover boas solues.
1- Introduo
MikroTik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introduo
Oque so Routerboards?
RB 951
RB 951G
RB 750r2
RB 2011
Grandes empresas
72 ncleos de processamento
RB 2011
CCR 1072
RB 450
0 ou nenhuma wireless
5 interfaces ethernet
3 slots p/ wireless
Serie 400
RB 433
3 interfaces ethernet
1- Introduo
10
RouterOS
RouterOS alm de estar disponvel para Routerboards
tambm pode ser instalado em hardware x86.
RouterOS o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de contedo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros
1- Introduo
11
Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.
1- Introduo
12
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introduo
13
1- Introduo
14
Diagrama da rede
15
1- Introduo
16
Configurao bsica
Conectando seu router a um ponto de acesso
Configurando endereo de IP
Configurando mascara de sub-rede
Configurando DNS
Configurando Gateway (rota default)
Configurando seu computador
Realizando testes de conectividade
1- Introduo
17
1- Introduo
18
1- Introduo
19
1- Introduo
20
Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 172.25.X.254
2) Pingar a partir da Routerboard o IP de WAN dos integrantes
de seu grupo.
3) Pingar a partir da Routerboard o IP de WAN dos integrantes
de outro grupo.
4) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8
1- Introduo
21
Configurao do roteador
Adicione a rota padro
1- Introduo
22
Teste de conectividade
1) Pingar a partir da Routerboard o IP de WAN dos integrantes
de outro grupo.
2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8
3) Pingar a partir da Routerboard o seguinte endereo: uol.com
1- Introduo
23
Configurao do roteador
Adicione o servidor DNS
24
1- Introduo
25
1- Introduo
26
Teste de conectividade
1) Pingar a partir do notebook o seguinte IP: 10.X.Y.1
2) Pingar a partir do notebook o seguinte IP: 8.8.8.8
3) Pingar a partir do notebook o seguinte endereo: uol.com
4) Analisar os resultados.
1- Introduo
27
1- Introduo
28
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est
funcionando, faa o backup da routerboard e
armazene-o no notebook. Ele ser usado ao
longo do treinamento.
1- Introduo
29
Faa um backup
Clique no menu Files e depois em Backup para salvar
sua configuraes.
Arraste o arquivo que foi gerado para seu computador.
1- Introduo
30
Instalao do RouterOS
Porque importante saber instalar o
RouterOS?
Necessrio quando se deseja utilizar um hardware prprio.
Assim como qualquer S.O. o RouterOS tambm pode
corromper o setor de inicializao (geralmente causado por
picos eltricos).
31
Instalao do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards j vem instalado por padro) ,
as duas principais maneiras de instalar o ROS so:
1- Introduo
32
Download
http://www.mikrotik.com/download
1- Introduo
33
Download
No link acima voc pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale verses de teste em roteadores em
produo sempre selecione verses estveis.
1- Introduo
34
1- Introduo
35
Dica
O boto de reset tem duas funes:
1- Introduo
36
Pacotes do RouterOS
System: Pacote principal contendo os servios bsicos e drivers. A rigor o nico
que obrigatrio.
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnstico, netwatch e outros utilitrios.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horrio oficial mundial.
IPv6: Suporte a endereamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinmico.
Security : IPSEC, SSH, Secure WinBox.
Dica
-
No possvel adicionar drivers ou qualquer outro tipo de pacote que no seja criado diretamente pela MikroTik.
1- Introduo
37
Features
advanced ping tools. netwatch, ip-scan, sms tool, wakeon-LAN
data gathering tool for specific use due to
"Communications Assistance for Law Enforcement Act" in
USA
Dynamic Host Control Protocol client and server
Protocol Independent Multicast Sparse Mode; Internet Group Managing Protocol - Proxy
routeros-mipsbe (mipsbe)
routeros-powerpc (ppc)
routeros-x86 (x86)
APC ups
MikroTik User Manager
wireless interface support
legacy Aironet Arlan support
ISDN support
LCD panel support
RadioLan cards support
FarSync support
XEN Virtualization
KVM Virtualization
combined package for mipsle (RB100,
RB500) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
combined package for mipsbe (RB400)
(includes system, hotspot, wireless, ppp,
security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
combined package for powerpc (RB300,
RB600, RB1000) (includes system, hotspot,
wireless, ppp, security, mpls, advanced-tools,
dhcp, routerboard, ipv6, routing)
combined package for x86 (Intel/AMD PC,
RB230) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
Multi Protocol Labels Switching support
improvements
routing protocols (RIP, OSPF, BGP)
improvements
http://wiki.mikrotik.com/wiki/Manual:System/Packages
1- Introduo
38
Gerenciando pacotes
Voc pode habilitar e desabilitar pacotes em:
1- Introduo
39
Mac-telnet
1- Introduo
40
MNDP
MikroTik Neighbor Discovery protocol
Protocolo para descoberta de vizinhos.
1- Introduo
41
1- Introduo
42
SSH e telnet
1- Introduo
43
FTP
Usado para transferir arquivos.
1- Introduo
44
WEB
O acesso via web traz quase todas as funes
existentes no winbox.
1- Introduo
45
Upgrade do RouterOS
Faa download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.
1- Introduo
46
Atualizando a RB
Faa download do pacote .npk.
Envie o pacote para sua Routerboard
usando o winbox ou via FTP.
Reinicie o roteador.
Confira se a nova verso foi instalada.
Novas verses esto disponveis no site.
http://www.mikrotik.com/download
1- Introduo
47
Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
1- Introduo
48
Upgrade de firmware
Para fazer upgrade de firmware clique em:
1- Introduo
49
Nveis de licena
O RouterOS trabalha com nveis de licena isso significa que
cada nvel lhe oferece um numero X de recursos.
A chave de licena gerada sobre um software-id fornecido
pelo sistema.
A licena fica vinculada ao HD ou Flash e/ou placa me.
A formatao com outras ferramentas muda o software-id
causa a perda da licena.
1- Introduo
50
Nveis de licena
1- Introduo
51
NTP
As routerboard no tem fonte de alimentao
interna, portanto sempre que o hardware for
desligado sistema perde a data e a hora, isso vem
a ser um grande problema quando necessrio
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introduo
52
1- Introduo
53
1- Introduo
54
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o contedo do router em
um arquivo criptografado que no pode ser
editado(salva inclusive os usurios e senhas de login
no router).
Backup com comando export = Voc pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado no criptografado e
pode ser aberto por qualquer editor de texto(no
exporta dados de usurios e senhas de login no
router).
1- Introduo
55
Criptografado
Comando export
Possvel editar
1- Introduo
56
Backup comum
57
58
Backup
Faa os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
1- Introduo
59
Modo seguro
O MikroTik permite o acesso ao sistema atravs do modo seguro.
Este modo permite desfazer as configuraes modificadas caso a
sesso seja perdida de forma automtica. Para habilitar o modo
seguro pressione CTRL+X ou na parte superior clique em Safe
Mode.
1- Introduo
60
Modo seguro
Se um usurio entra em modo seguro, quando j h
um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
u: desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d: deixa tudo como est
r: mantm as configuraes no modo seguro e pe a
sesso em modo seguro. O outro usurio receber a
seguinte mensagem:
1- Introduo
61
Dvidas e perguntas ?
1- Introduo
62
63
Um pouco de historia
1962 Primeiras comunicaes em rede.
1965 Primeira comunicao WAN.
1969 Desenvolvido o TCP.
1978 Vrios padres de comunicao.
1981 Inicio de discusses sobre padronizaes.
1984 Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos
64
Modelo TCP/IP
65
66
Encapsulamento
1- Introduo
67
Encapsulamento
Dados
Camada 3 rede - IP
68
PDU
4 - Camada de transporte
Segmento
3 - Camada de rede
Pacote
2 - Camada de enlace
1 - Camada fsica
Bit
69
1 - Camada fsica
A camada fsica define as caractersticas tcnicas
dos dispositivos eltricos.
nesse nvel que so definidas as especificaes
de cabeamento estruturado, fibras pticas, etc...
Banda, frequncia e potencia so grandeza que
podemos alterar diretamente na camada 1.
70
2 - Camada de enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao
meio e correes de erros da camada I.
Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao
Meio) que so nicos no mundo e que so atribudos aos dispositivos de
rede.
71
wlan1
72
Roteador
Bridge1
wlan1
73
Endereo MAC
o nico endereo fsico de um dispositivo de
rede.
usado para comunicao com a rede local.
00:0C:42:00:00:00
2 - OSI, TCP/IP e protocolos
74
3 - Camada de rede
Responsvel pelo endereamento lgico dos pacotes.
Determina que rota os pacotes iro seguir para atingir o destino baseado em
fatores tais como condies de trfego de rede e prioridade.
Separa domnios de broadcast.
PPPoE, DHCP, ARP e outros protocolos NO se propagam em domnio de
broadcast diferentes.
75
4 - Camada de transporte
Quando no lado do remetente, responsvel por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatrio, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
76
77
5 - Camada de sesso
Administra e sincroniza dilogos entre dois
processos de aplicao.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de unio:
login/autenticao e desunio: logoff).
Controla troca de dados, delimita e sincroniza
operaes em dados entre duas entidades.
78
6 - Camada de apresentao
A principal funo da camada de apresentao
assegurar que a informao seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nvel pode modificar a sintaxe da mensagem,
sempre preservando sua semntica.
O nvel de apresentao tambm responsvel por
outros aspectos da representao dos dados, como
criptografia e compresso de dados.
2 - OSI, TCP/IP e protocolos
79
7 - Camada de aplicao
Muito confundem aplicao com aplicativo.
Usurio interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicao( HTTP, SMTP, FTP, SSH, Telnet ...).
HTTP
HTTPS
DNS
80
O datagrama
Dados
Dados
Dados
Camada 3 rede - IP
Dados
81
Protocolos
82
Endereo IP
o endereo lgico de um dispositivo de rede.
83
Sub Rede
Como o prprio no j diz (sub rede) a uma parte de rede ou seja uma rede que foi
dividida.
O tamanho de uma sub rede determinado por sua mscara de sub rede.
O endereo de IP geralmente acompanhado da mascara de sub rede.
Com esses dois dados (Endereo IP e mascara de sub rede) podemos dimensionar onde
comea e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereo de REDE o primeiro IP da sub rede.
O endereo de BROADCAST o ltimo IP da sub rede.
Esses endereos(Rede e broadcast) so reservados e no podem ser usados.
End IP/Mas
10.1.2.3/8
10.1.2.3/16
10.1.2.3/24
End de Rede
10.0.0.0
10.1.0.0
10.1.2.0
End de Broadcast
10.255.255.255
10.1.255.255
10.1.2.255
84
Protocolos - IP
Usado para identificar logicamente um host.
Possui endereos pblicos e privados.
Possui duas verses IPv4 (quase esgotado) e IPv6.
85
Protocolos - ARP
ARP Address resolution protocol ou simplesmente
protocolo de resoluo de endereos.
Como o prprio nome sugere esse protocolo consegue
resolver(encontrar) o endereo MAC atravs do
endereo de IP e aps feito isto o coloca em uma
tabela.
86
MSG-02
Sou eu e meu MAC
00:00:00:11:11:02
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03
87
TCP
88
Protocolos - ICMP
89
DHCP
90
Perguntas ?
91
Roteamento
6 - Roteamento
92
O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.
93
192.168.1.1/24
192.168.20.1/24
192.168.1.202/24
Exemplo 1
No necessita de roteamento
192.168.20.2/24
Exemplo 2
Necessita de roteamento
Origem
Destino
Origem
192.168.1.201
192.168.1.202
192.168.1.201
6 - Roteamento
Destino
192.168.20.2
94
Tipos de rotas
2- Introduo ao roteamento
95
Funcionamento padro
192.168.1.1
192.168.1.200
187.15.15.134
8.8.8.8
Pacote IP
Origem
Destino
192.168.1.99
8.8.8.8
Tabela de rotas
Encaminhe para
o roteador:
(Gateway)
0.0.0.0/0
192.168.1.1
10.10.10.0/24
192.168.4.1
10.172.0.0/23
10.172.4.1
8.8.0.0/16
10.172.5.1
96
Na tabela de rotas
Para cada encaminhamento o roteador faz um leitura
completa da tabela de rotas.
Se o roteador encontrar mais de uma rota para o destino
solicitado ele sempre ir utilizar a rota mais especifica.
Tabela de rotas
6 - Roteamento
Dst. Address
Gateway
0.0.0.0/0
192.168.1.1
8.0.0.0/8
10.172.6.1
8.8.0.0/16
10.172.5.1
97
1.1.1.1/30
1.1.1.2/30
10.1.1.1/24
10.2.2.1/24
Rede 2
Rede 1
10.2.2.0/24
10.1.1.0/24
10.1.1.2/24
R2
Roteamento
6 - Roteamento
10.2.2.2/24
98
Criando as rotas
Rota em R1
para alcanar a rede 2
Rota em R2
para alcanar a rede 1
6 - Roteamento
99
Perguntas ?
6 - Roteamento
100
Wireless no Mikrotik
5 - Wireless
101
Configuraes Fsicas
Padro IEEE
Frequncia
Largura de
banda mxima
Velocidade mx
802.11b
2.4Ghz
20Mhz
11 Mbps
802.11g
2.4Ghz
20Mhz
54 Mbps
802.11a
5Ghz
20Mhz
54 Mbps
802.11n
2.4Ghz e 5 Ghz
40Mhz
300 Mbps
802.11ac
5 Ghz
80Mhz
866 Mbps
5 - Wireless
102
Tipos de enlaces
Ponto a ponto
Station
AP
Ponto multi-ponto
Station
AP
60
Station
Station
5 - Wireless
103
104
MIMO
MIMO: Multiple Input and Multiple Output
5 - Wireless
105
Potncias
5 - Wireless
106
Espalhamento espectral
11
2412
2422
2432
2442
2452
2462
2422
2432
2442
2452
+
20Mhz
2402
2412
5 - Wireless
2462
2472
107
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
5 - Wireless
108
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
5 - Wireless
109
Data Rates
A velocidade em uma rede wireless definida pela modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as velocidades de dados entre o AP e os clientes.
Basic Rates: So as velocidades que os dispositivos se comunicam independentemente
do trfego de dados (beacons, sincronismos, etc...)
5 - Wireless
110
5 - Wireless
111
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
5 - Wireless
112
5 - Wireless
113
5 - Wireless
114
115
NV2
Proprietrio da MikroTik (no funciona com outros
fabricantes).
Funcionamento do NV2
Diferente do padro 802.11 onde no existe controle do meio, com a
utilizao de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem ir transmitir e quem ir receber).
5 - Wireless
118
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no MikroTik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
5 - Wireless
119
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.
5 - Wireless
120
5 - Wireless
121
122
5 - Wireless
123
124
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.
5 - Wireless
125
5 - Wireless
126
5 - Wireless
127
128
5 - Wireless
129
Perguntas ?
5 - Wireless
130
Firewall no Mikrotik
7 - Firewall
131
Firewall
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao
de pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
7 - Firewall
132
Firewall - Opes
133
Estrutura do Firewall
Firewall
Tabela Filter
Tabela NAT
Canal input
Canal SRCNAT
regras
regras
regras
regras
Canal Output
Canal DSTNAT
regras
regras
regras
regras
Tabela Mangle
Canal input
regras
Canal Output
regras
Canal Forward
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras
7 - Firewall
134
Fluxo do Firewall
Chegada
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
Canal SRCNAT
Canal Input
Deciso
de
roteamento
Sada
Processo local
7 - Firewall
135
7 - Firewall
136
137
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
conntrack
Canal SRCNAT
Deciso
de
roteamento
Sada
Canal Input
Processo local
7 - Firewall
138
139
7 - Firewall
140
7 - Firewall
141
142
143
7 - Firewall
144
145
146
Firewall
Protegendo o roteador
7 - Firewall
147
7 - Firewall
148
149
150
7 - Firewall
151
152
153
7 - Firewall
154
Firewall - NAT
7 - Firewall
155
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alteraes de IP ou porta de origem.
7 - Firewall
156
Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o
roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
7 - Firewall
157
7 - Firewall
158
Firewall - SRCNAT
Source NAT: A ao mascarade troca o endereo IP
de origem de uma determinada rede pelo endereo IP
da interface de sada. Portanto se temos, por exemplo,
a interface ether5 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1,
podemos fazer o seguinte:
7 - Firewall
159
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de
clientes sem utilizao de endereo IP pblico.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
7 - Firewall
160
7 - Firewall
161
Perguntas ?
7 - Firewall
162
Failover
8 - Balance e Failover
163
1- Introduo
164
8 - Balance e Failover
165
8 - Balance e Failover
166
8 - Balance e Failover
167
8 - Balance e Failover
168
8 - Balance e Failover
169
8 - Balance e Failover
170
8 - Balance e Failover
171
8 - Balance e Failover
172
Criando o script
8 - Balance e Failover
173
8 - Balance e Failover
174
Link 2
172.25.X.254
172.25.10.254
8 - Balance e Failover
175
Classificador
Dividendo
8 - Balance e Failover
Divisor
Resto
176
Dividendo
8 - Balance e Failover
Divisor
Resto
177
Divisor
Resto
178
8 - Balance e Failover
179
1) Marcas de conexo
Utilizando o PCC
2) Marcas de roteamento
com base nas marcas de conexo criadas anteriormente
8 - Balance e Failover
180
8 - Balance e Failover
181
8 - Balance e Failover
182
8 - Balance e Failover
183
8 - Balance e Failover
184
8 - Balance e Failover
185
Tneis e VPN
9 - Tuneis e VPN
186
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
9 - Tuneis e VPN
187
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
9 - Tuneis e VPN
188
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN
189
Site-to-site
9 - Tuneis e VPN
190
Conexo remota
9 - Tuneis e VPN
191
Router 2
9 - Tuneis e VPN
192
Diagrama de VPN
Internet
IP pblico
172.25.1.1
IP da VPN
2.2.2.2
IP da VPN
1.1.1.1
Rede LAN
10.1.1.0/24
IP pblico
172.25.2.1
Rede LAN
10.1.2.0/24
DST
GW
DST
GW
10.1.2.0/24
2.2.2.2
10.1.1.0/24
1.1.1.1
9 - Tuneis e VPN
193
9 - Tuneis e VPN
194
9 - Tuneis e VPN
195
9 - Tuneis e VPN
196
Acompanhando o Status
Status no servidor
9 - Tuneis e VPN
Status no client
197
Criando as rotas
Rota no client
Rota no servidor
Status no servidor
9 - Tuneis e VPN
Status no client
198
199
200
9 - Tuneis e VPN
201
202
9 - Tuneis e VPN
203
4) Criar usurios
9 - Tuneis e VPN
204
Criando
um
Pool
Esses so os endereos que sero entregues ao clientes que se conectarem no
servidor de PPPoE.
9 - Tuneis e VPN
205
9 - Tuneis e VPN
206
9 - Tuneis e VPN
207
Criando
um
usurio
Adicione um usurio e senha
9 - Tuneis e VPN
208
9 - Tuneis e VPN
209
210
9 - Tuneis e VPN
211
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o
concentrador suportar.
9 - Tuneis e VPN
212
213
Perguntas ?
9 - Tuneis e VPN
214
10 - QoS
215
10 - QoS
216
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS
217
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
10 - QoS
218
Qualidade de Servio
Os mecanismos para prover QoS no MikroTik so:
Limitar banda para certos IPs, subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
10 - QoS
219
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo
que mantm e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reorden-los, e determina quais
pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a
garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que
ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.
10 - QoS
220
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: As filas so aplicadas na
interface onde o fluxo est saindo.
A limitao de banda feita mediante o descarte de
pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
10 - QoS
221
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados
por uma disciplina de filas(queue types). Por padro as disciplinas
de filas so colocadas sob queue interface para cada interface
fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
10 - QoS
222
Controle de trfego
O controle de trfego implementado atravs
de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes so policiados e marcados para
tratamento futuro.
Pacotes so enfileirados na interface de
sada:
Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS
223
Filas simples
10 - QoS
224
10 - QoS
225
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
10 - QoS
226
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
10 - QoS
227
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues
no so limitadas, ou seja, elas podero usar a largura mxima
de banda disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.
10 - QoS
228
Utilizao do PCQ
10 - QoS
229
Utilizao do PCQ
10 - QoS
230
Perguntas ?
10 - QoS
231
Reset a routerboar
Entre no terminal e execute o comando
abaixo:
/system reset-configuration
10 - QoS
232
HotSpot no Mikrotik
3 - Hotspot
233
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
3 - Hotspot
234
HotSpot
3 - Hotspot
235
236
3 - Hotspot
237
238
3 - Hotspot
239
240
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
3 - Hotspot
241
HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot
242
243
HotSpot IP Bindings
O MikroTik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.
3 - Hotspot
244
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
3 - Hotspot
245
3 - Hotspot
246
247
248
3 - Hotspot
249
Perguntas ?
3 - Hotspot
250
Web Proxy
4 - Web proxy
251
Web Proxy
Com o servio de web proxy podemos fazer
cache de objetos da internet e com isso
economizar banda.
4 - Web proxy
252
4 - Web proxy
253
4 - Web proxy
254
4 - Web proxy
255
4 - Web proxy
256
4 - Web proxy
257
4 - Web proxy
258
4 - Web proxy
259
260
4 - Web proxy
261
4 - Web proxy
262
Perguntas ?
4 - Web proxy
263