Mikrotik Training Colombia - 2009

Intelioffice S.A.
- 2009 1
DIA 1
 08:00 – 10:00 Modulo I

 10:00 – 10:30 Descanso
 10:30 – 12:30 Modulo II
 12:30 – 14:00 Almuerzo
 14:00 – 16:00 Modulo III
 16:00 – 16:30 Descanso
 16:30 – 18:00 Modulo IV
Intelioffice S.A. - 2009 2

DIA 2
 08:00 – 10:00 Modulo I

 10:00 – 10:30 Descanso
 10:30 – 12:30 Modulo II
 12:30 – 14:00 Almuerzo
 14:00 – 16:00 Modulo III
 16:00 – 16:30 Descanso
 16:30 – 18:00 Modulo IV

DIA 3
 08:00 – 10:00 Modulo I

 10:00 – 10:30 Descanso
 10:30 – 12:30 Modulo II
 12:30 – 14:00 Almuerzo
 14:00 – 16:00 Modulo III
 16:00 – 16:30 Descanso
 16:30 – 18:00 Modulo IV

 Andrés Castro Valencia (Intellioffice)
 Entrenador certificado por Mikrotik (Riga, Latvia)
 Estudios realizados en Mikrotik RouterOS (México)
 Especialidades:
- Análisis y Diseño de Redes e infraestructura de redes WISP
- Wireless Avanzado (Redes Malladas, Enlaces de Larga Distancia)
- Tuneles VPN (EoIP, L2TP, PPTP, Vlan´s)
- QoS por Marcado de Paquetes (Queue Tree), NAT
- HotsPot y Usermanager
- Enrutamiento Estático y Dinámico (OSPF)
 Conferencista invitado por Mikrotik al MUM 2008 para America
Latina (Sao Paulo, Brasil)

 Proveer conocimiento sobre los alcances y capacidades de
Mikrotik RouterOS
 Conocer, practicar y operar los principios básicos del
RouterOS, tanto en configuración y mantenimiento como
en resolución de problemas
 Al terminar el curso el alumno estará familiarizado con la
mayoría de las características del RouterOS y será capaz
de aplicar las configuraciones de red más comunes

Instalación, Licenciamiento,
Actualización, Configuración básica
en GUI y CLI

 RouterOS es un sistema operativo de red multi-funcional
 Router dedicado (RIP, OSPF, BGP)
 Firewall
 Controlador de ancho de banda
 802.11 a/b/g wireless
 Servidor-cliente de VPN
 Hotpspot
 .....
 Puedes encontrar en él la mayoría de los servicios
requeridos en un elemento activo de red

 Netinstall es una aplicación windows que nos permite
instalar RouterOS
1) sobre otro equipo en una LAN
2) En algún medio de almacenamiento adicional
montado sobre la PC
 Uso de Netinstall:
 Instalar en un medio de almacenamiento vacio
 Re-instalación en caso de olvido de passwords
 Re-instalación en caso de instalaciones corruptas
 Re-instalación para hacer un upgrade o downgrade
(Falta de espacio de almacenamiento)

 En el cliente
 Deberás hacer el arranque usando:
 Etherboot en RouterBoard
 PXE boot, opción que tienen algunas trajetas de red
 Usando un disco de arranque creado para unidad
floppy
 Una vez arrancado, este baja el cliente de instalación y
puede instalarse con Netinstall

Etherboot
 RouterBoard
tiene la
capacidad para
usar Etherboot
en el BIOS
 BIOS es solo
accesible por
medio de consola
en puerto serial

Netinstall Server Status

Instalando el Router

 Laboratorio de instalación
 Baje y corra NetInstall
 Habilite boot server de NetInstall
 Arranque su hardware desde la red
 Seleccione los paquetes a instalar
 Haga click en el botón instalar
 Después de la instalación reinicie

 GUI – Graphical Use Interface (Winbox)
 CLI – Command Line Interface
 Monitor y teclado
 Interface Serial
 MAC Telnet (La interface debe estar habilitada)
 Telnet (dirección ip es requerida)
 SSH (dirección ip es requerida)
 Otros
 http server (dirección ip es requerida)
 ftp server (dirección ip es requerida)

 http://demo2.mt.lv
 Webbox – simple system

configuration tool with Web
based interface
 Winbox tool – system

configuration tool with GUI
 Telnet – system configuration

tool with CLI

 Winbox se puede conectar por
IP o MAC
 Winbox tiene también un
“Neighbour viewer”

Licenciamiento

 La licencia nunca expira. Cada router instalado necesita una licencia
separada
 Ingresando la llave por Consola/FTP
 Importar la fila adjunta con el comando '/system license import'
(ud. debería subir este archivo hacia el servidor FTP del router)
 Ingresando la llave con Consola/Telnet:
 usar copiar/pegar para ingresar la llave en una ventana Telnet
(no importa que submenu). Aseguresé de copiar la llave
completa, incluyendo las lineas "--BEGIN MIKROTIK
SOFTWARE KEY--" y "--END MIKROTIK SOFTWARE KEY--"
 Ingresando la llave vía WinBox
 use el menu 'system -> license' del Winbox para pegar ó
importar la llave

Level number 0 (FREE) 1 (DEMO) 3 (WISP CPE)4 (WISP) 5 (WISP) 6 (Controller)
Software free, no key registration required
volume only
Features
Upg radable T o - no upgrades ROS v3.x ROS v3.x ROS v4.x ROS v4.x
Initial Config Support - - - 15 days 30 days 30 days
Wireless AP 24h limit - - yes yes yes
Wireless Client and Bridg e 24h limit - yes yes yes yes
RIP, OSPF, BGP protocols 24h limit - yes (v3 x86 = RIP)
yes (v3 x86 = RIP,
yes (v3
OSPF)
x86 = ALL)
yes
EoIP tunnels 24h limit 1 unlimited (V3 =unlimited
1) unlimited unlimited
PPPoE tunnels 24h limit 1 200 (V3 = 1) 200 500 unlimited
PPT P tunnels 24h limit 1 200 (V3 = 1) 200 unlimited unlimited
L2T P tunnels 24h limit 1 200 (V3 = 1) 200 unlimited unlimited
VLAN interfaces 24h limit 1 unlimited (V3 =unlimited
P2P firewall rules 24h limit 1 unlimited (V3 =unlimited
NAT rules 24h limit 1 unlimited unlimited unlimited unlimited
HotSpot active users 24 h limit 1 1 200 500 unlimited
RADIUS client 24 h limit - yes yes yes yes
Queues 24 h limit 1 unlimited unlimited unlimited unlimited
Web proxy 24 h limit - yes yes yes yes
Synchronous interfaces 24 h limit - - yes yes yes
User manag er active sessions 24 h limit 1 10 (v3 10) 10 (v3 20) 10 (v3 50) Unlimited
http://wiki.mikrotik.com/wiki/Software_levels

 Command Line Interface (CLI)
 La primera vez que se accesa se autentifica con el usuario “admin”
sin password
 Una vez en la consola escriba ¨ ?” y le mostrará todos los
comandos disponibles en el menú de su actual nivel
 [admin@MikroTik] > [?]
 Si presiona “Tab”dos veces podrá ver una lista de los comandos
disponibles
 [admin@MikroTik] > ip [Tab][Tab]
 Ud. puede ver estos comandos en cualquier nivel
 [admin@MikroTik] > ip address [?]
 [admin@MikroTik] > ip address print [Enter]

 Comandos y argumentos no tienen que ser completamente escritos
 [admin@MikroTik] > /ip add pri (es igual a)
 [admin@MikroTik] > /ip address print
 Puedes ir comando por comando a los diferentes niveles del menú
 [admin@MikroTik] > ip [Enter]
 [admin@MikroTik] ip > address [Enter]
 [admin@MikroTik] ip address> print [Enter]
 Se usa “..” para subir de nivel en el menú
 Use “/” para subir al nivel raíz del menú

 Comandos y argumentos no tienen que ser completamente escritos
 [admin@MikroTik] > /ip add pri (es igual a)
 [admin@MikroTik] > /ip address print
 Puedes ir comando por comando a los diferentes niveles del menú
 [admin@MikroTik] > ip [Enter]
 [admin@MikroTik] ip > address [Enter]
 [admin@MikroTik] ip address> print [Enter]
 Se usa “..” para subir de nivel en el menú
 Use “/” para subir al nivel raíz del menú

 Comandos mas usados
 print (Imprime las propiedades del item)
 monitor (Muestra el status del item)
 add (Agrega un item)
 set (Modifica una propiedad del item)
 remove (Remueve un item)
 /undo (Desecha la última modificación)
 /redo (Repite la última acción)
 /export (exporta todos los comandos de configuración)
 /import (Importa los comandos de de un archivo)
 /system backup Respalda restablece la configuración
 Ctrl-x (Si la terminal se desconecta revierte la configuración)

 Comandos mas usados
 /tool ping
 /tool traceroute
 /tool ipscan
 /tool torch
 /tool sniffer
 /tool mac-server
 /tool mac-telnet
 /tool bandwidth-test
 /tool bandwidth-server

 Winbox
 Es la interface gráfica para el manejo del Mikrotik
 Se puede bajar de http://www.mikrotik.com/download/winbox.exe
 Se puede ejecutar en sistemas linux o Mac OSX con emuladores
 En su parte izquierda muestra el menú general, al hacer click
con el ratón despliega la ventana o sub-menú correspondiente
 Es intuitivo y fácil de operar
 Implementa algunas opciones interesantes como el drag and
drop en la opción “Files”, para exportar importar archivos
 Hay que tener en cuenta que, existen algunas opciones que no
se encuentran aún implementadas solo son accesibles por
consola

 Winbox
 Asignando IP

 Winbox
 Agregando rutas estáticas

O
R

Conceptos de redes

 Definición
 Grupo dispositivos
interconectados entre sí a
través algún medio (cable,
línea telefónica, microondas,
etc ), con la finalidad de
comunicarse y compartir
recursos entre ellos.

 Las redes se pueden clasificar por su ámbito de influencia:
 LAN conjunto de elementos físicos y lógicos que
proporcionan interconexión en una área privada y
restringida
 MAN es una serie de LANs interconectadas en una área
geográfica en el entorno de una ciudad
 WAN red de área extensa, intercomunica equipos sobre
un gran territorio

 Intranet
 Es un conjunto de LANs o WANs interconectadas y bajo
un solo control administrativo, regularmente proporciona
servicios a una sola organización
 Internet
 Es una serie de WANs interconectadas, desplegadas
por todo el mundo, no pertenece a ningún país ni
organización y no posee ningún tipo de restricción

 Protocolos
 Los protocolos son reglas y procedimientos para la
comunicación
 En redes existen muchos protocolos con propósitos
diferentes, algunos solo trabajan en ciertos niveles OSI,
pueden interactuar entre si proporcionando una jerarquía
de protocolos
 Protocolos encaminables son aquellos que pueden
transportar información entre LANs, creando entornos de
área extensa
 TCP/IP es el principal protocolo de comunicación usado
actualmente, otros protocolos son IPX/SPX, NetBeui,
AppleTalk, etc.

 Modelo OSI
 Consiste de 7 capas

 MAC (Media Access Control address o dirección de control de acceso al medio)
es un identificador de 48 bits que corresponde de forma única a una tarjeta o
interfaz de red. Es individual, cada dispositivo tiene su propia dirección MAC
determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los
primeros 24 bits) utilizando el OUI. La mayoría de los protocolos que trabajan
en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por
el IEEE: MAC-48, EUI-48, y EUI-64 las cuales han sido diseñadas para ser
identificadores globalmente únicos
 MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la
información libre de errores entre dos máquinas conectadas directamente. Para
ello se generan tramas, pequeños bloques de información que contienen en su
cabecera las direcciones MAC correspondiente al emisor y receptor de la
información

 Una dirección IP es un número que identifica de manera lógica y jerárquica a
una interfaz de un dispositivo (habitualmente una computadora) dentro de una
red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de
red o nivel 3 del modelo de referencia OSI
 En su versión 4, una dirección IP se representa mediante un número binario de
32 bits (IPv4). Las direcciones IP se pueden expresar como números de
notación decimal: se dividen los 32 bits de la dirección en cuatro octetos. El
valor decimal de cada octeto puede ser entre 0 y 255 (el número binario de 8
bits más alto es 11111111 y esos bits, de derecha a izquierda, tienen valores
decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255 en total).
 En la expresión de direcciones IPv4 en decimal se separa cada octeto por un
carácter ".". Cada uno de estos octetos puede estar comprendido entre 0 y 255

 IP netmask define las direcciones IP son accesibles directamente
 Hay 3 tipos de notación de máscara de red
 Byte notación
 Notación binaria
 Bit notación
Ejemplos:
(byte) 255.255.224.0 = (binary) 11111111.11111111.11100000.00000000 = (bit) /19
(byte) 255.255.255.0 = (binary) 11111111.11111111.11111111.00000000 = (bit) /24
(byte) 255.255.255.248 = (binary) 11111111.11111111.11111111.11111000 = (bit) /29

IP address/netmask: 192.168.3.14/24
IP value (binary): 11000000.10101000.00000011.00001110

Netmask(binary): 11111111.11111111.11111111.00000000
Network (binary): 11000000.10101000.00000011.00000000
Network address: 192.168.3.0/24

Last = Broadcast address: 192.168.3.255
Usable IP address: 192.168.3.1 -192.168.3.254

Ejemplos de Mascaras de Subred
 Network address/mask 192.168.1.0/24

 host addresses 192.168.1.1-254
 broadcast address 192.168.1.255
 Sub-Network address/mask 192.168.1.0/25

 host addresses 192.168.1.1-126
 Sub-Network address/mask 192.168.1.128/25

 host addresses 192.168.1.129-254

 Valores por defecto para los diferentes tipos de RED(IP Privadas):
 * CLASE A: (10.0.0.0 a 10.255.255.255) Mask : 255.0.0.0
 El primer octeto Ex: 10.0.0.1 / NET ID = 10
 * CLASE B: (172.26.0.0 a 172.31.255.255) Mask : 255.255.0.0
 Dos primeros octetos Ejem: 170.10.0.1, NET ID = 170.10
 * CLASE C: (192.168.0.0 a 192.168.255.255) Mask : 255.255.255.0
 Los tres primeros octetos Ejem: 192.168.0.1, Net ID = 192.168.0
 Valores por defecto para los diferentes tipos de RED(IP Públicas):

 CLASE A: (0 – 127, 127 – Dirección de LoopBack) Mask : 255.0.0.0;
Ejemplo: 11.0.0.0
 CLASE B: (128 – 191) Mask : 255.255.0.0; Ejemplo: 172.15.0.0
 CLASE C: (192 – 223) Mask : 255.255.255.0; Ejemplo: 192.25.18.0

Asignando dirección IP

 Laboratorio
 Dada una red 192.168.5.32/29
 Calcular
 Rango de direccionamiento de red ___________________
 Número de direcciones usables ___________________
 Dirección de Broadcast ___________________

 Laboratorio:
 Conecte su Laptop al ether1 de su router
 Asigne la dirección 192.168.XY.254/24 a tu router en ether1
 Asigne la dirección 192.168.XY.1/24 a tu laptop
 Ejecute desde el modo de comandos
 ping 192.168.XY.254 -t

 Puertos TCP/IP
 La asignación de puertos permite que una máquina pueda
establecer simultáneamente diversas conexiones TCP/IP con
máquinas distintas, ya que todos los paquetes que se reciben
tienen la misma dirección IP, pero van dirigidos a puertos diferentes.
También que una máquina pueda establecer simultáneamente
diversas comunicaciones TCP/IP con otra utilizando puertos
distintos para cada conexión
 Puertos bien conocidoshttp://www.iana.org/assignments/port-
numbers
 El sistema se comprende mejor considerando que cada paquete de
una conexión TCP/IP tiene una cabecera con los siguientes datos:
 Dirección IP de origen (4 bytes)
 Puerto TCP o UDP de origen (2 bytes)
 Dirección IP de destino (4 bytes)
 Puerto TCP o UDP de destino (2 bytes)

 TCP/IP

 Conexiones TCP/IP
 Una conexión TCP se establece de la
siguiente forma
 El Transmission Control Protocol (TCP)
se encarga de fragmentar y unir los
paquetes y el Internet Protocol (IP) tiene
como misión hacer llegar los fragmentos
de información a su destino correcto
 El establecimiento de la conexión TCP
se da en tres pasos
 Cliente manda una requisición de SYN
 Server responde con SYN/ACK
 Cliente manda ACK

 Conexiones TCP/IP
 Transferencia de datos
 El cliente divide y manda el flujo de
datos en segmentos DATA n
 El server da acuse de recibo ACK
por cada segmento
 Si el ACK no es recibido por el
cliente, este lo reenvía
 Fin de comunicación
 Client manda FIN
 Server da acuse de recibo ACK,
con un FIN/ACK
 Cliente manda ACK

 Laboratorio TCP/IP
 Entrar al winbox de tu router
Ir a Tools-torch
Escoger la interfaz ether1 (la de conexión entre lap-router)
Palomear las opciones “Protocol” y “Port”
Activar el botón “Start”
 Qué se observar en la pantalla?
 Que protocolo y puerto que utiliza el Winbox?

MikroTik Bridge

 Las interfaces del tipo Ethernet, pueden conectarse
integrándolas en capa 2 del modelo OSI (Bridge)
 Permite la interconexión de hosts conectados en diferentes
segmentos de red (LAN) como si estos estuvieran en el
mismo segmento
 Bridge extiende el dominio de broadcast con los
inconvenientes que esto conlleva incrementando el tráfico

 Bridge se maneja creando una interfaz virtual
 /interface bridge
 Se pueden crear varias interfaces bridge
 /interface bridge add name=bridge1
 Las interfaces son agregadas
 /interface bridge port add interface=ether1 bridge=bridge1
 /interface bridge port add interface=ether2 bridge=bridge1

 Spaning tree protocol (STP)
 Es un protocolo de red de la segunda capa OSI, (nivel
de enlace de datos), que gestiona enlaces redundantes
 Es definido por el IEEE 802.1d
 Su función es evitar los loops en una red Bridge
 Es conveniente utilizarlo, sobre todo en red malladas
 Rapid Spanning Tree Protocol (RSTP)
 Especificado en IEEE 802.1w, es una evolución del
Spanning tree Protocol (STP), reemplazándolo en la
edición 2004 del 802.1d. RSTP reduce
significativamente el tiempo de convergencia de la
topología de la red cuando ocurre un cambio en la
topología

 Redes Bridge vs Route
 Las redes ruteadas no pasan los segmentos de broadcast
 Los loops en una red bridge causan tormentas de broadcast, estas
no suceden en una red ruteada
 En una red ruteada se pueden crear enlaces redundantes, aun
topologías de malla, con tolerancia a fallos
 Laboratorio:
 Crear un bridge entre ether1 y ether2
 Asignar una IP a la interfaz bridge
 Crear un servidor DHCP en la interaz bridge
 Conectar dos laptop en ambos equipos como clientes DHCP
 Realizar un ping entre ambos equipos

Ruteo estático y dinámico

 Ruteador
 Es un dispositivo de hardware para interconexión de redes de
computadoras que opera en la capa tres (nivel de red). Este dispositivo
permite asegurar el encaminamiento de paquetes entre redes o
determinar la ruta que debe tomar el paquete de datos
 La ruta indica el camino que se debe tomar hacia una red específica,
escogiendo la interfaz y el próximo salto (Gateway) que se debe seguir
para llegar al destino
 Operan en dos planos diferentes:
 Plano de Control,en la que el router se informa de que interfaz de
salida es el más apropiado para la transmisión de paquetes
específicos a determinados destinos
 Plano de Reenvío,que se encarga en la práctica del proceso de
envío de un paquete recibido en una interfaz lógica a otra interfaz
lógica saliente

 Ruteo
 Los protocolos de enrutamiento son
utilizados por los routers para
comunicarse entre sí y compartir
información, toman la decisión de
cual es la ruta más adecuada en
cada momento para enviar un
paquete.
 Los protocolos más usados son
RIP (v1 y v2), OSPF (v1, v2 y v3),
IGRP, EIGRP y BGP (v4),
gestionan las rutas de una forma
dinámica
 No es estrictamente necesario que
un router haga uso de algún
protocolos, se puede indicar de
forma estática las rutas para las
distintas subredes que estén
conectadas al dispositivo.

 Ruteo
 En Mikrotik se soportan dos tipos de ruteo
 Estático: son rutas que son anexadas a la tabla de ruteo por
el usuario
 /ip route
 Dinámico: son rutas que son agregadas por algún protocolo
de ruteo (RIP 1 y 2, OSPF v2, BGPv4)

 Ruteo estático
 En Mikrotik el menú para anexar estáticamente y monitorear las tablas de ruteo
 /ip route
 Se necesita indicarle a un router donde enviar los paquetes IP hacia los hosts que están
mas allá de cualquier red conectada de manera directa
 /ip route add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
 ds-address red destino
 gateway siguiente salto
 distance precendencia ruta
 Imprimir tabla de ruteo
 /ip route print
 Algunos estatus
 A activo
 D dinámico
 S estático
 C conectado

 Laboratorio ruteo estático
 Interconectar los routers de la clase de manera estática en base al
siguiente esquema
 interconectar usuario1 ether2 con usuario2 ether3 con usuario3
 Usuario 1 - ether1 192.168.1.254/24, ether2 2.2.2.1/30, ether3 3.3.3.1/30
 .......
 Conectando usuario1 ether2 con usuario2 ether2, usaurio1 ether3 con usuario3 ether2
 Usuario2 ether3 con usuario 4 ether2 y Usuario3 ether3 con usuario 5 ether2 etc.
 De tal forma que los usuarios nones se encuentran en el ether3 de usuario1 y los pares en
ether2
 Imprimir la tabla de ruteo
 Efectuar un ping y trazado de ruta al equipo del usuario N
 Discutir los resultados
 Donde recomendarías utilizar ruteo estático?, en donde no?, Porque?

 Ruteo dinámico
 Para acceder a encaminamiento dinámico en mikrotik se utiliza
 /routing rip
 /routing ospf
 /routing bgp
 Las ventajas del ruteo dinámico
 Permite mantener las tablas de manera automática
 Se pude tener redundancia y balanceo de carga sin mayor esfuerzo

 Ruteo RIP
 Router Information Protocol Es un protocolo de puerta de enlace
interna o IGP (Internal Gateway Protocol) utilizado por los routers
(enrutadores), aunque también pueden actuar en equipos, para
intercambiar información acerca de redes IP
 RIP utiliza UDP para enviar sus mensajes y el puerto 520.
 RIP calcula el camino más corto hacia la red de destino usando el
algoritmo del vector de distancias. La distancia o métrica está
determinada por el número de saltos de router hasta alcanzar la red de
destino, RIP tiene una distancia administrativa de 120
 RIP no es capaz de detectar rutas circulares, por lo que necesita limitar
el tamaño de la red a 15 saltos
 Las rutas tienen un tiempo de vida de 180 segundos. Si pasado este
tiempo, no se han recibido mensajes que confirmen que esa ruta está
activa, se borra

 Ruteo RIP
 Ventajas y desventajas de RIP
 En comparación con otros protocolos de enrutamiento, RIP es más
fácil de configurar. Además, es un protocolo abierto, soportado por
muchos fabricantes.
 Por otra parte, tiene la desventaja que, para determinar la mejor
métrica, únicamente toma en cuenta el número de saltos (por
cuántos routers o equipos similares pasa la información); no toma
en cuenta otros criterios importantes, como por ejemplo ancho de
banda de los enlaces. Por ejemplo, si tenemos una metrica de 2
saltos hasta el destino con un enlace de 64 kbps y una metrica de 3
saltos, pero con un enlace de 2 Mbps, lamentablemente RIP
tomara el enlace de menor número de saltos aunque sea el más
lento

 Ruteo RIP
 Para acceder a RIP en mikrotik se utiliza
 /routing rip
 Se tiene que activar el protocolo
 /routing rip set distribute-default=always garbage-timer=2m metric-bgp=1 metric-
connected=1 metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no
redistribute-connected=yes redistribute-ospf=yes redistribute-static=no timeout-
timer=3m update-timer=30s
 Se activa las interfaces
 /routing rip interface add interface=all passive=no receive=v1-2 send=v1-2
 Se anuncian los asociados
 /routing rip neighbor
 add address=192.168.100.1 disabled=no

 Ruteo RIP
 Se puede comprobar el intercambio de tablas con
 /routing rip route print

 Ruteo OSPF
 Open Shortest Path First es un protocolo de enrutamiento jerárquico de pasarela interior o
IGP (Interior Gateway Protocol), que usa el algoritmo Dijkstra enlace-estado para calcular
la ruta más corta posible. Usa costo como su medida de métrica. Además, construye una
base de datos enlace-estado idéntica en todos los enrutadores de la zona
 OSPF es probablemente el tipo de protocolo IGP más utilizado en redes grandes. Puede
operar con seguridad usando MD5 para autentificar a sus puntos antes de realizar nuevas
rutas y antes de aceptar avisos de enlace-estado
 Una red OSPF se puede descomponer en redes más pequeñas. Hay un área especial
llamada área backbone que forma la parte central de la red y donde hay otras áreas
conectadas a ella. Las rutas entre diferentes áreas circulan siempre por el backbone, por
lo tanto todas las áreas deben conectar con el backbone
 Los encaminadores en el mismo dominio de multidifusión o en el extremo de un enlace
punto-a-punto forman enlaces cuando se descubren los unos a los otros. Los
encaminadores eligen a un encaminador designado' (DR) y un encaminador designado
secundario (BDR) que actúan como hubs para reducir el tráfico entre los diferentes
encaminadores. OSPF puede usar tanto multidifusiones como unidifusiones para enviar
paquetes de bienvenida y actualizaciones de enlace-estado. Las direcciones de
multidifusiones usadas son 224.0.0.5 y 224.0.0.6. Al contrario que RIP o BGP, OSPF no
usa ni TCP ni UDP, sino que usa IP directamente, mediante el IP protocolo 89

 Ruteo OSPF
 Tipos de área
 Una red OSPF está dividida en áreas. Estas áreas son grupos lógicos de
Routers cuya información se puede resumir para el resto de la red. Se pueden
definir diferentes tipos de áreas "especiales":
 Área Backbone: El área backbone (o área cero) forma el núcleo de una red
OSPF. Todas las demás áreas y las rutas interiores de las áreas están
conectadas a un encaminador conectado a una área backbone.
 Área stub: Un área stub es aquella que no recibe rutas externas. Las rutas
externas se definen como rutas que fueron inyectadas en OSPF desde otro
protocolo de enrutamiento. Por lo tanto, las rutas de segmento necesitan
normalmente apoyarse en las rutas predeterminadas para poder enviar tráfico
a rutas fuera del segmento.
 Área not-so-stubby: También conocidas como NSSA se trata de un tipo de
área stub que puede importar rutas externas de sistemas autónomos y
enviarlas al backbone, pero no puede recibir rutas externas de sistemas
autónomos desde el backbone u otras áreas

 Ruteo OSPF
 Tipos de área
 Una red OSPF está dividida en áreas. Estas áreas son grupos lógicos de
Routers cuya información se puede resumir para el resto de la red. Se pueden
definir diferentes tipos de áreas "especiales":
 Área Backbone: El área backbone (o área cero) forma el núcleo de una red
OSPF. Todas las demás áreas y las rutas interiores de las áreas están
conectadas a un encaminador conectado a una área backbone.
 Área stub: Un área stub es aquella que no recibe rutas externas. Las rutas
externas se definen como rutas que fueron inyectadas en OSPF desde otro
protocolo de enrutamiento. Por lo tanto, las rutas de segmento necesitan
normalmente apoyarse en las rutas predeterminadas para poder enviar tráfico
a rutas fuera del segmento.
 Área not-so-stubby: También conocidas como NSSA se trata de un tipo de
área stub que puede importar rutas externas de sistemas autónomos y
enviarlas al backbone, pero no puede recibir rutas externas de sistemas
autónomos desde el backbone u otras áreas

 Ruteo OSPF
 Tipos de área

 Ruteo OSPF
 Se debe configurar la red con áreas diferenciadas
 Se debe contar con un ABR (Area Border Router)
 El área 0 0.0.0.0 es el backbone
 En el área 0 se tiene que tener un ASBR (Autonomous Boundary
Router)
 Tipos de Routers (OSPF)
 Internos: Dentro de una área
 Backbone: Dentro de una área
 ABR: entre 2 o mas áreas y son anexos al área 0
 ASBR: redistribuye la información de ruteo entre OSPF y otros
protocolos de ruteo

 Ruteo OSPF configuración
 Mikrotik implementa OSPF v2
 Se encuentra dentro del paquete routing

 Añadir redes donde quieres que OSPF corra
 /routing ospf networks

 Añadir las interfaces donde necesitas que OSPF se ejecute y su
área
 La dirección de red debe estar incluida en la dirección de la
interface
 /routing ospf network add network=10.1.0.0/24 area=backbone

 Configuración área

 Imprima los asociados para verificar su red
 /routing ospf neighbor print

 El “Neighbor state” muestra el status de los asociados
 Full: Se encuentra completamente sincronizado
 2-Way: comunicación bidireccional establecida
 Down, Attemp, Init, Loading, EXStart, ExChange: no se
encuentra completamente corriendo

 El “Neighbor state” muestra el status de los vecinos
 Full: Se encuentra completamente sincronizado
 2-Way: comunicación bidireccional establecida
 Down: Sin conexión
 Attempt: El router envió paquete hello
 Init: El paquete hello fue intercambiado entre routers,
creando una relación entre vecinos
 Loading: Recibiendo información de vecino
 Exchange: intercambiando base de datos de rutas

 /ip router print
 DO: Ruta activa
 DIO: Ruta inválida añadida por OSPF
 Rutas multiples con el mismo costo a una direccion destino,
tiene gateways separados por “,”

 Laboraotio OSPF
 Asocie 3 routers mediante OSPF interconectados entre si
 Router 1
 ether2 172.16.1.1 conectado a ether2 router2
 Router 2
 Router 3
 Haga ping entre equipos activos
 Haga un trazado entre equipos activos
 Desconecte el cable que va del router2 a router3 y ejecute los dos
pasos anteriores
 Reconecte y repita el paso anterior desconectando ahora del
router2 al router1

 Ruteo BGP
 El BGP o Border Gateway Protocol es un protocolo mediante el cual
intercambia información de encaminamiento entre Sistemas
Autónomos. Este intercambio de información de encaminamiento
se hace entre los routers externos de cada sistema autónomo.
Estos routers deben soportar BGP. Se trata del protocolo más
utilizado para redes con intención de configurar un EGP (external
gateway protocol)
 A diferencia de los protocolos de Gateway internos (IGP), como RIP,
OSPF y EIGRP, BGP no usa métricas como número de saltos,
ancho de banda, o retardo. En cambio, BGP toma decisiones de
enrutamiento basándose en políticas de la red, o reglas que utilizan
varios atributos de ruta BGP.

 Ruteo BGP
 Permite aplicar políticas complejas de ruteo
 Utiliza el protocolo TCP 179 para su transporte
AS 200
AS 100
AS 300

 Ruteo BGP
 Un sistema autónomo es un conjunto de redes administradas por una
misma organización que tiene definida una única política de
encaminamiento. Esta política de encaminamiento decide las rutas
admitidas desde los sistemas autónomos vecinos y las rutas que se
envían hacia estos sistemas autónomos
 En su interior, el AS utiliza un protocolo interno de encaminamiento
como, por ejemplo, OSPF. El protocolo BGP es un protocolo de
encaminamiento entre sistemas autónomos
 Cada sistema autónomo en Internet tiene un identificador (ASN)
formado por 16 bits, lo que permitiría hasta 65536 sistemas autónomos
teóricos diferentes, si bien el rango de 64512 a 65535 se encuentra
reservado para uso privado

 Ruteo BGP

 Ruteo BGP
 BGP puede trabajar con IBGP (routers con mismo AS) y EBGP
(routers con AS diferentes)

 Ruteo BGP configuración
 /routing bgp
 Especifique el número de AS
 Opcionalmete especifique el ID
(una dirección alta podrá ser
seleccionado de manera
automática)
 Seleccione los métodos de
redistribución
 Los filtros a utilizar

 Ruteo BGP configuración
 /route bgp peers
 Se define los routers con los
cuales se quiere
intercambiar rutas
 Hay que dar el AS del otro
router

 Laboratorio OSPF, BGP y RIP
 Organizar Tres (03) Grupos distribuidos equitativamente con
respecto al total de participantes en el auditorio.
 Enumerar cada grupo como 1, 2 y 3.
 El grupo 1 utilizará ruteo dinámico por OSPF.
 El grupo 2 utilizará ruteo dinámico por BGP.
 El grupo 3 utilizará ruteo dinámico por RIP.
 Verifique que las rutas actualmente se distribuyan entre ellos
 Verifique sus tablas de ruteo
 Compruebe conexión entre todos los usuarios y dispositivos
de cada grupo
 Comunicar los 3 grupos a través de BGP
 Verificar conexión entre todos los usuarios y dispositivos de los
3 grupos.

Firewall

 Firewall
 Son reglas cuya finalidad es prevenir o minimizar los riesgos de
seguridad al interconectar redes, manejan el flujo de tráfico a, de
y atravez del router
 En Mikrotik son reglas organizadas en cadenas
 Existen 3 cadenas por default
 input – Procesa los paquetes que se envían hacia el
router
 output – Procesa los paquetes que envía el routeror
 forward – Procesa los paquetes que pasan por el router
 Se pueden definir cadenas (chains) por el usuario, pero se
encuentran siempre subordinados a las cadenas por default
 Operan por medio de la inspección de paquetes que pasan por
cada intefaz haciendo válida o no la conexión

 Firewall
 Connection Tracking (CONNTRACK) es un sistema que recoge y
almacena la información sobre las conexiones activas
 Una relación se define como un intercambio de datos
bidireccional
 CONNTRACK no se limita a las conexiones TCP
 Firewall usa la información de CONNTRACK para clasificar los
paquetes
 CONNTRACK es necesario para la traducción de direcciones de
red (NAT) y marcado de paquetes (Mangle)

 Firewall
 Una condición es asignada a cada paquete:
 invalid – El paquete no pertenece a ninguna conexión
conocida
 new – El paquete abre una nueva conexión
 Established – El paquete pertenece a una conexión conocida
 Related – crea una nueva conexión que es de alguna manera
relacionadas alguna ya conocida
 Connection state ≠ TCP state
 Acciones
 Cada regla debe tener una acción las mas comunes
 accept – Acepta el paquete
 drop – descarta el paquete
 reject – rechaza el paquete enviando mensaje ICMP
 jump – Salta a la cadena (chain) especificada en
jump-target
 return – regresa el paquete a la cadena (chain) previa
donde el jump tomo lugar

 Firewall
 El firewall sigue una secuencia en estructura IF-THEN
 IF (regla) THEN (acción)
 Procesa las reglas en forma descendente hasta que una de ellas opera

 Firewall configuración
 /ip firewall filter

 Firewall configuración
 /ip firewall filter action=drop chain=nput protocol=icmp

 Firewall
 Existen dos políticas básicas de filtrado
 Permisivas – bloquea lo que no se quiere y se acepta todo lo
demás
 Restrictivas – Solo se acepta lo necesario y se bloquea el
resto

 Address Lists
 Agrupa direcciones de manera conveniente (se
puede agregar a las reglas en la pestaña “Advanced”
del firewall filter
 puede ser dinámico o estático
 Más actiones de firewall
 tarpit – dropea el paquete y responde con un
SYN/ACK a la petición de un paquete SYN
 add-dst-to-address-list – añade la dirección de
destino a la lista de direcciones especificada
 add-src-to-address-list – añade la dirección de origen
a la lista de direcciones especificada

 Notar que el firewall IP no filtra las comunicaciones en
capa 2
 ejemplos
 Mac-Telnet
 Mac-firewall

 Laboratorio Firewall
 Hacer una regla para impedir que pasen ICMP y HTTP por el
router
 Añadir un log mostrando la falta a la regla
 Hacer ping a google.com
 Ver el log de eventos
 Discutir los resultados

 Firewall NAT
 NAT (Network Address Translation) es una técnica de
creación de redes para la sustitución de las
direcciones IP y puertos de los paquetes a medida
que pasan a través del router
 Hay dos tipos de NAT:
 Source NAT para la sustitución de la dirección IP
origen y / o puerto
 Destination NAT para la sustitución de la dirección IP
de destino y / o el puerto

 Firewall NAT
 NAT tiene una estructura IF-THEN
 IF (condicion) THEN (acción)
 Las reglas son procesadas en orden de arriba a
abajo
 Si un paquete cumple con las condiciones de la regla
entonces la acción especificada es ejecuta. De otra
manera procesa la siguiente regla
 Las reglas de NAT son organizadas en cadenas
(chains))
 dstnat – cadena usada para puertos y direcciones de
destino (acciones src-nat y masquerade no operan)
 srcnat – cadena usada para puertos y direcciones
fuentes (acciones dst-nat y redirect no operan)
 Se pueden definir cadenas por el usuario

 Firewall NAT
 Acciones NAT
 accept – los paquetes son aceptados
 jump – brinca a la cadena especificada
 return – regresa a la cadena previa desde el jump
 log – añade un log de eventos
 passthrough – ignora esta regla y va a la próxima
 add-dst-to-address-list – añade la dirección destino al
address-list
 add-src-to-address-list – añade la dirección fuente al
address-list
 src-nat y masquarade – cambia la dirección y/o puerto
fuente del paquete IP
 dst-nat y redirect – cambia la dirección y/o puerto
destino del paquete IP
 netmap – crea un mapeo estatico 1:1 de un set de
direcciones a otro

 Firewall NAT
 /ip firewall nat

 Firewall NAT
 /ip firewall nat add action=masquerade chain=srcnat out-
interface=l2tp-Garbo

 Firewall NAT
 /ip firewall nat add action=dst-nat chain=dstnat comment="" disabled=no dst-
address=192.168.253.1 dst-port=80 in-interface=Internet protocol=tcp to-
addresses=192.168.0.10 to-ports=80

 Firewall NAT
 Laboratorio NAT
 Haga una regla de nat de tal forma que todo el
tráfico saliente de el segmento de red interno
sea ocultado hacia las redes externas
 Utilice las herramientas para observar el
tráfico
 Que puede concluir?
 Haga una regla de nat para que el tráfico que
externo de su red para que su router sea
accesible por HTTP en el puerto 81

 Firewall MANGLE
 El Marcado de paquetes (MANGLE) facilita el cambio de
parámetros iniciales de los paquetes “marcado” para ser
identificados posteriormente por otras aplicaciones del
router
 Queue
 Policy routing
 Firewall filter
 Adicionalmente también se puede utilizar para
cambiar algunos campos en el encabezado IP,
como TOS y TTL

 Firewall MANGLE
 Estructura MANGLE
 MANGLE tiene una estructura IF-THEN
 IF (condicion) THEN (acción)
 Las reglas son procesadas en orden de arriba a abajo
 Si un paquete cumple con las condiciones de la regla
entonces la acción especificada es ejecuta. De otra manera
procesa la siguiente regla
 Las reglas de NAT son organizadas en cadenas (chains))
 prerouting – les procesado antes de Global-in queue
 postrouting = es procesado antes Global-out queue
 input – es procesado antes de filtro input
 output – es procesado antes de output filter
 forward – es procesado antes de forward filter
 El usuario puede agregar cadenas dependientes a estas

 Firewall MANGLE
 Acciones principales
 accept
 jump
 return
 log
 passthrough
 add-dst-to-address-list
 add-src-to-address-list
 mark-connection
 mark-packet
 mark-routing
 change-MSS – cambia Maximum segment size
 change TOS
 change TTL

 Firewall MANGLE

 Firewall MANGLE
 Laboratorio
 Marque conexiones HTTP
 Impida las conexiones HTTP en base a su
marcado
 Que pasa cuando llamo a cualquier página web

 Bridge Firewall
 El bridge firewall implementa el filtrado de paquetes a,
desde y atravez de un bridge
 Elementos de un bridge firewall
 bridge filter
 bridge NAT
 bridge route
 Bridge filter tiene 3 cadenas predefinidas
 input
 forward
 output
 Bridge filter siempre es aplicado antes de los
filtros IP?NAT para la misma cadena excepto en
output que es aplicado después

 Bridge Firewall
 Bridge NAT – provee caminos para cambiar
source/destination MAC de los paquetes que atraviezan un
bridge
 tiene dos cadenas
 src-nat
 dst-nat
 Bridge NAT puede ser usado por ARP
 Bridge Route
 hace que un router ejecute ruteo de algunos paquetes y
bridge en otros
 tiene predefinido una cadena “brouting” que es
aplicada antes de el bridge sea aplicado
 por ejemplo IP sera ruteado y todo lo demas se hará
función bridge

 Punto a Punto
 Punto Multipunto
 Modo Bridge
 Modo Routing
 WDS (Mesh)
 Nstreme Dual

Señal a Ruido (Signal to Noise): La proporción de señal a ruido es la
diferencia mínima a alcanzar entre la señal recibida deseada y el ruido
a piso (Noise to Floor). Si la señal es más poderosa que el ruido, la
proporción señal/ruido será positiva; si la señal está oculta en el ruido,
es decir, que el ruido es más potente, la proporción será negativa.
Zona de fresnel: Es el área alrededor de la línea de vista en donde se

esparcen las ondas de radio. Esta área debe permanecer libre de
obstáculos, de lo contrario la fuerza y la calidad de la señal se verá
desmejorada.

Difracción: Este evento se presenta cuando un obstáculo se encuentra
ubicado entre el transmisor y el receptor, y
a través del perimetro del mismo sigue
pasando un poco de energía por lo que
logra conseguir cierta capacidad de
conexión; a mayor frecuencia más pérdida.
Polaridad: Es la forma en que una onda de radio es transmitida en el

momento en que la misma abandona la antena; esta puede ser vertical
y horizontal en la mayoría de los casos, y circular. La polaridad de onda
está dada por el tipo de antena y su posición contra el suelo. En un
sistema de transmisión y recepción las antenas deben tener la misma
polarización para mantener un buen desempeño.

Reflexión: Es el fenómeno que se presenta cuando las ondas de radio se
reflejan en los obstáculos que encuentran. En el lado del receptor
recibimos al mismo tiempo la onda directa si está en la línea de vista y
también recibimos ondas reflejadas, las cuales pueden ser desechos de
energía que afectan los enlaces inalámbricos.

Refracción: La refracción es el cambio de dirección que experimenta una
onda al pasar de un medio material a otro; este sólo se produce si la
onda incide oblicuamente sobre la superficie de separación de los dos
medios y si éstos tienen índices de refracción distintos.

Menú Wireless
Modo Inalámbrico (Modos más usados)
alignment-only – este modo es usado para alineación de antenas
ap-bridge – la interfaz opera como un Access Point
bridge – la interfaz opera como un bridge. Actua como ap-bridge pero solo permite
un cliente
nstreme-dual-slave – la interface es usada para el modo nstreme-dual
station – la interfaz opera como una estación inalámbrica (Radio cliente)
station-wds – la interfaz trabaja como una estación, pero puede comunicarse a través
de WDS
wds-slave – la interfaz trabaja como se quiere en el modo ap-bridge, pero esta se
adapta como WDS a las frecuencias del ap-bridge de manera automatica si son
cambiadas

Band: En esta opción se define la banda y protocolo a usar en el radio. Dependiendo del
chipset de la tarjeta inalámbrica el RouterOS muestra las diferentes bandas a usar.
Frecuency: Se selecciona la frecuencia especifica relacionada a la banda escogida.
SSID: Service Set Identifier. Sirve para identificar cada red inalámbrica y así separarla del
resto de redes existentes en el espectro.
Radio Name: Nombre que identifica al radio.
Scan List: Es la lista de canales a escanear. Se usa para definir las frecuencias a usar con el
modo de regulación de frecuencias en Super-Channel y DFS Mode.
Security Profile: Perfil de seguridad a escoger, según configuración previa del tipo de
encriptación a usar.
Frecuency Mode: Manual Tx-Power para usar los canales especificados en cada país,
pero se puede modificar la potencia manualmente en el Tx-Power; Regulatory Domain
para usar los canales especificados en cada país y la potencia según la respectiva
regulación de los mismos; Super-Channel solo puede ser usado con licenciamiento de
Mikrotik Super-Channel. Permite usar cualquier canal soportado por la tarjeta inalámbrica
independientemente de que estos canales sean públicos o privados.

Country: limitantes de configuración de parametros wireless según el país a escoger, esto
con respecto a la potencia y uso de canales según las leyes de los mismos.
Antenna Mode: especificamos la antenna a usar para (Tx) y (Rx) de datos.
Antenna Gain: Ganancia de la antena en dBi; este parametro es usado para calcular la
potencia de transmisión de señal según leyes de regulación de cada país.
DFS Mode: usado por AP´s para que seleccionen frecuencias dinamicamente para operar.
None: no usa DFS. No Radar Detect: el AP escanea los canales de la ¨lista de
canales¨ y escoge la frecuencia que tiene el menor valor de señalización de otras redes
detectadas. Radar Detect: el AP escanea los canales de la ¨lista de canales¨ y escoge
la frecuencia que tiene el menor valor de señalización de otras redes detectadas, si
durante 60 segundos no es detectado un radar en la frecuencia, el AP empieza a operar
en este canal, si es detectado un radar en la frecuencia, el AP sigue buscando la
siguiente frecuencia con menor valor de señalización.
Propietary Extensions: de esta forma se inserta información adicional dentro de las framas
wireless.
WMM Support: (WiFi Multimedia) requiere o permite el uso de extensiones WMM para QoS
de forma básica

Default AP Tx Rate: limita velocidad de datos para cada radio cliente
Default Cliente Tx Rate: limita la transmisión de cada cliente (en bps), trabaja solo si los
radios cliente son Mikrotik
Default Authenticate: permite o deniega acceso de los radios cliente a conectarse al AP.
Opera directamente con el Access List.
Default Forwarding: permite o deniega la comunicación entre los radios cliente
Hide SSID: si es habilitado, el AP esconde su SSID. Si se mantiene deshabilitado, el AP
muestra su SSID en el espectro.
Compression: permite compresión de datos entre equipos Mikrotik, debe ser habilitado en
el AP y en el Cliente; no afecta la comunicación para radios que no sean Mikrotik.

Data Rates
Default: el radio obtiene la mayor cantidad de velocidad de datos posible según las
condiciones que se le presente.
Configured: se puede configurar manualmente una taza de velocidad de transmisión de
datos fija según el protocolo que soporta la tarjeta inalámbrica.
Advanced
Area: Este valor permite la comunicación desde los clientes hacia el AP, según el area-
prefix configurado en el connect-list.
Max Station Count: Máxima cantidad de clientes que se pueden conectar fisicamente
al AP.
ACK Timeout: tiempo de espera de reconocimiento medido en microsegundos.
Noise Floor Threshold: intensidad de ruido en dBm por debajo del cual el radio
transmitirá
Periodic Calibration: asegura el desempeño del chipset de la tarjeta wireless por
cambios de temperatura o medio ambiente.

Calibration Interval: Intervalo de tiempo para recalibración, en segundos.
Burst Time: Tiempo en microsegundos el cual será usado para enviar tráfico de datos
sin parar. Esto funciona solo con algúnos chipsets de tarjetas wireless, no con todas
las tarjetas wireless.
Hardware Retries: número de framas que son reenviadas antes de considerar una
transmisión fallida.
Frame Lifetime: tiempo de vida de la frama en centesima de segundo desde el primer
intento de envío para enviar la frama. En wireless normalmente no se niega el tráfico
de paquetes del todo hasta que el cliente es desconectado. Si no se necesita
acumular paquetes, uno puede definir el tiempo después del cual el paquete será
descartado.
Adaptive Noise inmunity: ajusta varios paramétros de recepción dinamicamente para
minimizar interferencia y ruido en la calidad de la señal. Esta característica no es
soportada en todas los chipset de tarjetas inalámbricas.
Preamble Mode: campo de sincronización en paquetes inalámbricos.
Allow Shared Key: llave para aceptar o denegar comunicación con clientes. Esto
depende de la configuración de la misma en el Access List.
 Sistema de Distribución Inalámbrico (WDS por sus siglas en inglés). Es un sistema que
permite la interconexión inalámbrica de puntos de acceso en una red IEEE 802.11.
Permite que una red inalámbrica pueda ser ampliada mediante múltiples puntos de
acceso sin la necesidad de un cable troncal que los conecte. La ventaja de WDS sobre
otras soluciones es que conserva las direcciones MAC de los paquetes de los clientes a
través de los distintos puntos de acceso.
 Todos los puntos de acceso en un sistema de distribución inalámbrico deben estar
configurados para utilizar el mismo canal de radio, y compartir las claves WEP o WPA si
se utilizan. WDS también requiere que cada punto de acceso sea configurado de forma
que pueda conectarse con los demás.
 WDS puede ser también denominado modo repetidor porque parece hacer de puente
entre distintos puntos de acceso, pero a diferencia de un simple repetidor, con WDS se
consigue más del doble de velocidad.

 Nstreme es un protocolo propietario de MikroTik (incompatible con otros fabricantes)
que mejora el desempeño de los enlaces inalámbricos, pues reduce el tiempo de acceso
al medio y reduce el overhead de las tramas aumentando así la velocidad de transmisión.
 Nstreme fue creado para mejorar la calidad de los enlaces inalámbricos tipo Punto a
Punto y Punto Multipunto.
 Con el protocolo nstreme, las cabeceras de los frames que son recibidos en uno de los
extremos entre radios Mikrotik, son modificados de su tamaño original para ser
agrupados en una frame o paquete de tamaño superior (superpaquete), para ser
enviado por el enlace inalámbrico hacia el otro extremo, donde el siguiente radio recibe
los frames y los retorna a su tamaño original.
 Beneficios del protocolo nstreme:
- Polling Cliente: el polling permite controlar el tráfico de paquetes proveniente del
cliente hacía el AP, de tal forma que evita saturación o colisión de paquetes en el
enlace inalámbrico al paso de estos de un extremo a otro.
- Muy bajo overhead de las tramas, lo que permite obtener grandes velocidades.
- Disminución de limitantes para conexiones de larga distancia.
- Control dinámico de ajuste según el tipo tráfico y uso de recursos

Framer Policy
Best Fit: Mejor tamaño del frame. Este valor se configura de manera fija.
Dynamic Size: Tamaño dinámico del frame. De esta forma el nstreme ajusta el tamaño
de los paquetes de acuerdo al tipo de tráfico y a los recursos que actualmente consume
el radio.
Exact Size: Tamaño exacto del frame. Valor fijo a configurar.
Framer Limit
Este valor define la cantidad de paquetes que serán modificados y enviados por el enlace
inalámbrico en un superpaquete de un tamaño determinado según lo configurado en el
Framer Policy.
CSMA: Carrier Sence Multiple Access (Acceso Múltiple por Detección de Portadora con
Detección de Colisiones). En el método de acceso CSMA, los dispositivos de red que
tienen datos para transmitir funcionan en el modo "escuchar antes de transmitir". Esto
significa que cuando un nodo desea enviar datos, primero debe determinar si los medios
de red están ocupados o no.

 Este protocolo está diseñado únicamente para ser configurado en enlaces Punto a Punto.
Utiliza dos tarjetas inalámbricas físicas independientes y dos antenas en cada extremo
del enlace de manera simultánea, una para transmitir y otra para recibir, permitiendo
maximizar el uso de los recursos de cada tarjeta wireless para obtener enlaces de larga
distancia con grandes velocidades.
 Características de configuración:
 Utiliza el modo nstreme-dual-slave
 Modo de frecuencia
 País
 Ganancia de la antenna
 Tx-Power Mode y Tx-Power
 Modo de la Antena
 No debe usarse WDS
 Se recomienda una diferencia de 200MHz para configurar la frecuencia de cada radio
 Se pueden usar diferentes frecuencias y diferentes bandas. Por ejemplo, 2.4GHz-B
para Tx y 5GHz-Turbo para Rx.

Menú ¨Signal¨ del registration
Signal Strenght: Intensidad de señal recibida
Tx Signal Strenght: Intensidad de señal de transmisión
Signal to Noise: Proporción de señal a ruido
CCQ: Client Connection Quality. Es un valor en porcentaje que muestra que tan efectiva
es la transimisión por el enlace inalámbrico en uso de su capacidad en banda y
throughput. Si todas las frames que son enviadas por el radio transmisor son recibidas
por el radio receptor, entonces, el valor del CCQ será del 100%; por ejemplo, si son
enviados 50 paquetes y así mismo son recibidos esos 50 paquetes, entonces, la calidad
de conexión es del 100%.
P-Throughput: Posible Throughput. Es un estimado aproximado de la capacidad de
transimisión y recepción de datos del enlace inalámbrico.

 Network management and monitoring application

 Auto-descubre la estructura de red
 Diseño personalizable
 Visualización de mapa, variables y estadísticas
 Herramienta configurable para cualquier dispositivo
 Ping / traceroute de otros dispositivos
 Actualización centralizada de grupos de routers

 Estatus de los servicios
 Tráfico en los enlaces
 SNMP estadistcas y valores de:
 CPU, memorua y uso de disco
 Direcciones ip y rutas
 Tabla der resgistro de wireless
 Historia de eventos y reportes
 Alertas (sonido, popup, log, mail, etc)

EoIP
PPTP,L2TP
PPPoE

 Habilita las comunicaciones entre redes corporativas sobre
 Public networks
 Leased lines
 Wireless links
 Los recursos como (e-mail, servers, printers) pueden ser
accesados de forma seguramente por usuarios remotos

PPPoE, PPTP, L2TP

 Cuentan con capacidad de autentificación y
encripción de datos
 Los túneles que se manejan son:
 PPPoE (Point-to-Point Protocol over Ethernet)
 PPTP (Point-to-Point Tunnelling Protocol)
 L2TP (Layer 2 Tunnelling Protocol)
 Debes crear usuarios antes de crear los túneles

 Los perfiles PPP definen valores por defecto para
registros de acceso de usuario almacenados bajo el
submenú ppp/secret
 Los perfiles PPP son usados para más de 1 usuario así
que debe haber más de 1 dirección IP para dar a
conocer - nosotros deberíamos usar IP pool como valor
de “dirección Remota"
 Valor “default” significa – si la opción está viniendo
desde un servidor RADIUS no será anulado

 Paquetes grandes de 1500 bytes tienen
problemas iendo a traves de tuneles porque:
 El estandard Ethernet MTU es 1500 bytes
 Para tuneles PPTP y L2TP el MTU es 1460 bytes
 El MTU para tuneles PPPOE es 1488 bytes
 Habilitando la opción “change TCP MSS”, una
regla dinámica en “mangle” será creada para
cada usuario activo para asegurar el tamano
correcto de paquetes TCP, entonces ellos
estarán aptos para atravezar el tunel

Protocolo de Tunel Punto-a-Punto
Protocolo de Tunel Layer 2

 PPTP usa el puerto TCP 1723 y el Protocolo IP
47/GRE
 Existen PPTP-server y PPTP-clients
 Clientes PPTP estan disponibles y/o incluidos
en casi todos los OS
 Debes usar PPTP y GRE “NAT helpers” para
conectar a cualquier servidor publico PPTP
desde tú red privada enmascarada

 PPTP y L2TP tienen comunmente la misma
funcionabilidad
 El tráfico L2TP usa el puerto UDP 1701 solo para
conecciones establecidas
 El protocolo L2TP no posee problemas con clientes
“nateados”
 La configuración de los dos tuneles son identicos en
RouterOS

 Crear un Cliente PPTP
 Server Address:10.1.2.1
 User: admin
 Password: admin
 Add default route = yes
 Realizar los ajustes necesarios para acceso a
internet

Ethernet over IP

 Es un protocolo propietario de Mikrotik
 Simple de configurar
 No posee ni autentificación ni encripción
 Encapsula los fragmentso ethernet dentro del protocolo
IP 47/gre
 EOIP es solo un tunel con capacidades de bridge

 Verifica que tengas abilitado ICMP a la dirección remota
antes de crear un tunel hacia el
 Asegurar que la direccion MAC de tu EOIP sea única
 El ID del tunel en ambas puntas debe ser el mismo
 Asignar una direccion IP al tunel EOIP (se sugiere 32
bits o 30 bits de mascara)
 10.1.6.1/30 y 10.1.6.2/30 network 10.1.6.0/30
 10.1.6.1/32, network 10.1.7.1 y 10.1.7.1/32 network
10.1.6.1

 Se puede crear un bridge EoIP con cualquier interface
tipo ethernet
 Protocolo EoIP no provee encripción de datos, por tanto
es recomendable ejecutarlo sobre algún tipo de tunel
encriptado donde la seguridad sea requerida

 Conformar equipos por parejas.
 Uno debe configurar PPTP/L2TP Server.
 Uno debe configurar PPTP/L2TP Cliente.
 En el router configurado como Servidor, asignar IP´s.
 Asignar Rutas Estaticas.
 Cree un Tunel EoIP que permita tráfico de broadcast

Acceso Plug-and-Play

 HotSpot es usado para autenticación en redes locales
 La autenticación está basada en Protocolo
HTTP/HTTPS, esto significa que puede trabajar con
cualquier navegador de internet
 HotSpot es un sistema que combina varias
características independientes de RouterOS para
suministrar acceso “Plug-and-Play”

 El usuario trata de
abrir una website
 El Router verifica si el
usuario está
autenticado en el
sistema HotSpot
 Si no, el usuario es
redireccionado a la
página de acceso
 El usuario debe
especificar su
nombre de usuario y
password

 Si la información
ingresada es correcta,
entonces el router:
 Autentica al cliente en el
sistema HotSpot;
 Abre la página web
solicitada;
 Abre una ventana pop-up
de estatus
 El usuario puede
acceder a la red a
traves del gateway del
HotSpot

 Autenticación de Usuarios
 Cuentas de Usuarios por tiempo, datos
transmitidos/recividos
 Limitación de datos
 Por tasa de datos
 Por tamano
 Restricciones de uso por tiempo
 Soporte por RADIUS
 Walled garden

 Inicie HotSpot “setup wizard” y seleccione la interfaz
donde funcionará el HotSpot
 Configure la Dirección IP en la interfaz del HotSpot
 Escoger si hacemos masquerade a la red HotSpot
 Seleccionar pool de direcciones para la red HotSpot
 Seleccionar Certificado SSL para el HotSpot si es
requerido HTTPS

 Seleccionar el servidor SMTP para redireccionar
automaticamente la salida de mails al servidor local
SMTP, de esta forma el usuario no necesita cambiar su
configuración de salida de emails
 Especificar los servidores DNS que serán usados por el
router and usuarios HotSpot
 Configurar nombre de DNS del servidor local HotSpot
 Finalmente crear un usuario HotSpot

 Crear un servidor Hotspot simple usando HotSpot Setup
Wizard
 Hacer el respectivo Login y checkear la instalación!
 Logout
 Configurar cualquier dirección IP, netmask, gateway,
valores DNS en su Laptop
 Hacer el respectivo Login y checkear la instalación!

 HTTP PAP – metodo simple, el cual muestra la página
de login del HotSpot y espera conseguir las credenciales
del usuario in text plano
 HTTP CHAP – metodo estandard, el cual incluye cálculo
CHAP para el extremo en el cual será enviado hacia el
gateway HotSpot
 HTTPS – autenticación de texto plano usando protocolo
SSL para proteger la sesión

 HTTP cookie – después de cada inicio de sesion, una
cookie es enviada al navegador web y la misma cookie
es adicionada a la lista de cookie de activos HTTP. Este
metodo puede ser usado solamente junto con los
metodos HTTP PAP, HTTP CHAP or HTTPS
 MAC address – autentica usuarios tan pronto como ellos
aparecen en la lista de hosts, usando la dirección MAC
como nombre de usuario
 Demo – no requiere autenticación por cierta cantidad de
tiempo

 Relaciona username, password y perfil para cada cliente
o usuario en particular
 Limita usuarios por tiempo de funcionamineto (uptime),
bytes-in y bytes-out
 Asigna una dirección IP al usuario
 Permite al usuario conecciones desde una dirección
MAC en particular

 Guarda parametros comunes para grupos de usuarios
 Permite elegir cadenas de filtrado de firewall para
checkear trafico de entrada y salida
 Permite configurar marcado de paquete en el tráfico de
cada usuario del perfil
 Permite limitar el ancho de banda de los usuarios del
perfil

 Se implementa una regla de NAT estatica
basada en cualquiera de estas opciones:
 La dirección IP original (o el segmento de red).
 La dirección MAC original.
 Permite algunas direcciones ¨dejarlas pasar¨ por
el portal de autenticación. Normalmente se usa
para proveer servicio de internet en el HotSpot a
Telefonos IP, Servidores y otros dispositivos que
no pueden autenticar por HTTP.
 Bloquea completamente algunas IP´s

 Permite hacer ¨bypass¨ a algunos recursos
 HTTP-level Walled Garden maneja los protocolos HTTP
y HTTPS
 HTTP-level Walled Garden trabaja como un filtro de
Webproxy, Usted puede usar el mismo metodo HTTP y
las mismas expresiones regulares para hacer una fila
URL

 IP-level Walled Garden trabaja en el nivel IP, es usado
como el filtrado de reglas de IP Firewall

 Existen paginas HTML en el Router accediendo por FTP
se puede conseguir
 Estas paginas HTML contienen variables las cuales
pueden ser reemplazadas con la información actual del
propietario y/o administrador del HotSpot
 Es posible modificar esas paginas HTML, pero deben
ser descargadas del Router para luego ser editadas y
modificadas según los parámetros del adminstrador del
HotSpot, luego deben ser subidas al Router

Mikrotik Training Colombia - 2009

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Mikrotik Training Colombia - 2009

Încărcat de

Drepturi de autor:

Formate disponibile

Intelioffice S.A.

 08:00 – 10:00 Modulo I

Intelioffice S.A. - 2009 2

 08:00 – 10:00 Modulo I

Intelioffice S.A. - 2009 3

 08:00 – 10:00 Modulo I

Intelioffice S.A. - 2009 4

Intelioffice S.A. - 2009 5

Intelioffice S.A. - 2009 6

Intelioffice S.A. - 2009 7

Intelioffice S.A. - 2009 8

 Re-instalación en caso de olvido de passwords

 Re-instalación en caso de instalaciones corruptas

 Re-instalación para hacer un upgrade o downgrade

(Falta de espacio de almacenamiento)

Intelioffice S.A. - 2009 10

 PXE boot, opción que tienen algunas trajetas de red

 Usando un disco de arranque creado para unidad

Intelioffice S.A. - 2009 12

Intelioffice S.A. - 2009 13

Intelioffice S.A. - 2009 14

Intelioffice S.A. - 2009 15

Intelioffice S.A. - 2009 16

Intelioffice S.A. - 2009 17

 Webbox – simple system

 Winbox tool – system

 Telnet – system configuration

Intelioffice S.A. - 2009 18

Intelioffice S.A. - 2009 19

Intelioffice S.A. - 2009 20

Intelioffice S.A. - 2009 21

Intelioffice S.A. - 2009 22

Intelioffice S.A. - 2009 23

Intelioffice S.A. - 2009 24

Intelioffice S.A. - 2009 25

Intelioffice S.A. - 2009 26

Intelioffice S.A. - 2009 27

Intelioffice S.A. - 2009 28

Intelioffice S.A. - 2009 29

Intelioffice S.A. - 2009 30

Intelioffice S.A. - 2009 31

Intelioffice S.A. - 2009 32

Intelioffice S.A. - 2009 33

Intelioffice S.A. - 2009 34

Intelioffice S.A. - 2009 35

Intelioffice S.A. - 2009 36

Intelioffice S.A. - 2009 37

Intelioffice S.A. - 2009 39

Intelioffice S.A. - 2009 40

Intelioffice S.A. - 2009 41

IP value (binary): 11000000.10101000.00000011.00001110

Network address: 192.168.3.0/24

Intelioffice S.A. - 2009 42

 Network address/mask 192.168.1.0/24

 broadcast address 192.168.1.255

 Sub-Network address/mask 192.168.1.0/25

 broadcast address 192.168.1.127

 Sub-Network address/mask 192.168.1.128/25

 broadcast address 192.168.1.255

Intelioffice S.A. - 2009 43

 Valores por defecto para los diferentes tipos de RED(IP Públicas):

Intelioffice S.A. - 2009 44

Intelioffice S.A. - 2009 45