Lancore Mikrotik - Mtcna

TREINAMENTO MIKROTIK CERTIFICAO MTCNA
Produzido por: MKT Solutions www.mktsolutions.net.br Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs s 17:00hs Coffe break as 10:30hs e as 15:00hs Almoo as 13:00hs 1 hora de durao
ALGUMAS REGRAS IMPORTANTES

Por ser um curso oficial, o mesmo no poder ser filmado ou gravado Procure deixar seu aparelho celular desligado ou em modo silencioso Durante as explanaes evite as conversas paralelas. Elas sero mais apropriadas nos laboratrios Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop
ALGUMAS REGRAS IMPORTANTES

Perguntas so sempre bem vindas. Muitas vezes a sua dvida a dvida de todos. O acesso a internet ser disponibilizado para efeito didtico dos laboratrios. Portanto evite o uso inapropriado. O certificado de participao somente ser concedido a quem obtiver presena igual ou superior a 75%.
4
APRESENTE-SE A TURMA
Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes; O que voc espera do curso; Lembre-se de seu nmero: XY
5
OBJETIVOS DO CURSO
Prover um viso geral sobre o Mikrotik RouterOS e as RouterBoards. Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispe para prover boas solues.
ONDE EST A MIKROTIK ?
ROUTERBOARDS
So hardwares criados pela Mikrotik; Atualmente existe uma grande variedade de RouterBoards.
MIKROTIK ROUTEROS
RouterOS o sistema operacional das RouterBoards e que pode ser configurado como: Um roteador dedicado Controlador de banda Firewall Gerenciador de usurios Dispositivo QoS personalizado Qualquer dispositivo wirless 802.11a/b/g/n
Alm das RouterBoards ele tambm pode ser instalado em PCs.
INSTALAO DO ROUTEROS
O Mikrotik RouterOS pode ser instalado a partir de:

CD ISO bootvel imagem Via rede com utilitrio Netinstall
10
ONDE OBTER O MIKROTIK ROUTEROS

Para obter os ltimos pacotes do Mikrotik RouterOS basta acessar: http://www.mikrotik.com/download.html L voc poder baixar as imagens .iso Os pacotes combinados E os pacotes individuais
11
INSTALANDO PELO CD
Inicie o PC com o modo boot pelo CD
12
PACOTES DO ROUTEROS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente e Servidor DHCP Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios Arlan: Suporte a uma antiga placa Aironet antiga arlan Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA) GPS: Suporte a GPS ( tempo e posio ) HotSpot: Suporte a HotSpot ISDN: Suporte as antigas conexes ISDN LCD: Suporte a display LCD NTP: Servidor de horrio oficial mundial
13
PACOTES DO ROUTEROS
Radiolan: Suporte a placa RadioLan RouterBoard: Utilitrio para RouterBoards Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP RSTP-BRIGE-TEST: Protocolo RSTP Security: Suporte a ssh, IPSec e conexo segura do winbox Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc... Telephony: Pacote de suporte a telefnia protocolo h.323 UPS: Suporte as no-breaks APC User-Manager: Servio de autenticao User-Manager Web-Proxy: Servio Web-Proxy Wireless: Suporte a placas Atheros e PrismII Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet
14
INSTALANDO PELO CD
Pode-se selecionar os pacotes desejados usando a barra de espaos ou a para todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja configuraes pode-se mant-las pressionando y.
15
INSTALAO COM NETINSTALL

Pode ser instalado em PC que boota via rede(configurar na BIOS) Pode ser baixado tambm em: http://www.mikrotik.com/download.html O netinstall um excelente recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento.
16

Para se instalar em uma RouterBoard, inicialmente temos que entrar via serial, com cabo null modem e os seguintes parametros:
Velocidade: 115.200 bps Bits de dados: 8 Bits de parada: 1 Controle de fluxo: hardware
17

Atribuir um IP para o Net Booting na mesma faixa da placa de rede da mquina Coloque na mquina os pacotes a serem instalados Bootar e selecionar os pacotes a serem instalados
18
PRIMEIRO ACESSO
O processo de instalao no configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras:
Direto no console (em pcs) Via terminal Via telnet de MAC, atravs de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento fsico de rede Via Winbox
19
CONECTANDO....
Cabo Ethernet
Winbox
20
CONSOLE NO MIKROTIK
Atravs do console do Mikrotik possvel acessar todas configuraes do sistema de forma hierrquica conforme os exemplos abaixo:
Acessando o menu interface [admin@MikroTik] > interface [admin@MikroTik] interface > ethernet Para retornar ao nvel anterior basta digitar .. [admin@MikroTik] interface ethernet> .. [admin@MikroTik] interface > Para voltar ao raiz digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik] >
21
CONSOLE NO MIKROTIK
? Mostra um help para o diretrio em que se esteja ? Aps um comando incompleto mostra as opes disponveis para o comando Comandos podem ser completados com a tecla TAB Havendo mais de uma opo para o j digitado, pressione TAB 2 vezes para mostrar as opes disponveis
22
CONSOLE NO MIKROTIK
Comando PRINT mostra informaes de configurao:
23
CONSOLE NO MIKROTIK
possvel monitorar o status das interfaces com o seguinte comando: [guilherme@MKT] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers: 6Mbps:21(21/21),9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
24
CONSOLE NO MIKROTIK
Comandos para manipular regras
add, set, remove: adiciona, muda e remove regras; disabled: desabilita regra sem deletar; move: move a regra cuja a ordem influncia.
Comando Export
Exporta todas as configuraes do diretoria acima; Pode ser copiado e colado em um editor de textos; Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
25
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico. Funciona em Windows. Para funcionar no Linux necessrio a instalao do emulador Wine. A comunicao feita pela porta TCP 8291 e caso voc habilite a opo Secure Mode a comunicao ser criptografada. Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html
26
ACESSANDO PELO WINBOX

possvel acessar o Mikrotik inicialmente sem endereo IP, atravs do MAC da interface do dispositivo que est no mesmo barramento fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecer.
27
CONFIGURAO EM MODO SEGURO

O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este modo permite desfazer as configuraes modificadas caso a sesso seja perdida de forma automtica. Para habilitar o modo seguro pressione CTRL+X.
28

Se um usurio entra em modo seguro, quando j h um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas em modo seguro e pe a presente sesso em modo seguro d deixa tudo como est r mantm as configuraes no modo seguro e pe a sesso em modo seguro. O outro usurio receber a seguinte mensagem:
Safe Mode Released by another user
29

Todas configuraes so desfeitas caso voc perca comunicao com o roteador, o terminal seja fechado clicando no x ou pressionando CTRL+D. Configuraes realizadas em modo seguro so marcadas com uma Flag F, at que sejam aplicadas possvel visualizar o histrico de modificaes atravs do menu: /system history print Obs.: O nmero mximo de registros em modo seguro de 100.
30
MANUTENO DO MIKROTIK
Atualizao Gerenciando pacotes Backup Informaes sobre licenciamento
31
ATUALIZAES
As atualizaes podem ser feitas a partir de um conjunto de pacotes combinados ou individuais. Os arquivo tem extenso .npk e para atualizar a verso basta fazer o upload para o diretrio raiz e efetuar um reboot. O upload pode ser feito por FTP ou copiando e colando pelo Winbox.
32
PACOTES
Adicionar novas funcionalidades podem ser feitas atravs de alguns pacotes que no fazem parte do conjunto padro de pacotes combinado. Esses arquivos tambm possuem extenso .npk e para instal-los basta fazer o upload para o Mikrotik e efetuar um reboot do sistema. Alguns pacotes como User Manager e Multicast so exemplos de pacotes adicionais que no fazem parte do pacote padro.
33
PACOTES
Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade.
Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser habilitado
34
BACKUP
Para efetuar o backup basta ir em Files e clicar no boto Backup. Para restaurar o backup basta selecionar o arquivo e clicar em Restore. Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando export.
35
LICENCIAMENTO
A chave gerada sobre um software-id fornecido pelo sistema. A licena fica vinculada ao HD ou Flash e/ou placa me. A formatao com outras ferramentas muda o software-id causa a perda da licena.
36
DVIDAS ???
37
NIVELAMENTO DE CONHECIMENTOS TCP/IP
38
MODELO OSI OPEN SYSTEM INTERCONNECTION

CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET. CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia CAMADA 5 Sesso: Estabelecimento das sesses TCP. CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros CAMADA 3 Rede: Associa endereo fsico ao endereo lgico CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1 CAMADA 1 Fsica: Bits de dados
39
CAMADA I CAMADA FSICA

A camada fsica define as caractersticas tcnicas dos dispositivos eltricos. nesse nvel que so definidas as especificaes de cabeamento estruturado, fibras pticas, etc... No caso da wireless a camada I que define as modulaes, frequncias e largura de banda das portadores.
40
CAMADA II - ENLACE
Camada responsvel pelo endereamento fsico, controle de acesso ao meio e correes de erros da camada I. Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao Meio) que so nicos no mundo e que so atribudos aos dispositivos de rede. Ethernets e PPP so exemplos de dispositivos que trabalham em camada II.
41
ENDEREO MAC
o nico endereo fsico de um dispositivo de rede usado para comunicao com a rede local Exemplo de endereo MAC: 00:0C:42:00:00:00
42
CAMADA III - REDE

Responsvel pelo endereamento lgico dos pacotes. Transforma endereos lgicos(endereos IPs) em endereos fsicos de rede. Determina que rota os pacotes iro seguir para atingir o destino baseado em fatores tais como condies de trfego de rede e prioridade.
43
ENDEREO IP
o endereo lgico de um dispositivo de rede usado para comunicao entre redes Exemplo de endereo ip: 200.200.0.1
44
SUB REDE
uma faixa de endereos IP que divide as redes em segmentos Exemplo de sub rede: 255.255.255.0 ou /24 O endereo de REDE o primeiro IP da sub rede O endereo de BROADCAST o ltimo IP da sub rede Esses endereos so reservados e no podem ser usados
End. IP/Mscara 192.168.0.1/24 192.168.0.1/25 192.168.0.1/26 192.168.0.200/26 End. de Rede 192.168.0.0 192.168.0.0 192.168.0.0 192.168.0.192 End. Broadcast 192.168.0.255 192.168.0.127 192.168.0.63 192.168.0.255
45
ENDEREAMENTO CIDR
46
PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL)

Utilizado para associar IPs com endereos fsicos. Faz a intermediao entre a camada II e a camada III da seguinte forma:
1.
O solicitante de ARP manda um pacote de broadcast com informao do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino. O host que tem o IP de destino responde fornecendo seu MAC.
2.
3.
Para minimizar o broadcast, o S.O mantm um tabela ARP constando o par (IP MAC).
47
CAMADA IV - TRANSPORTE
Quando no lado do remetente responsvel por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede. No lado do destinatrio pega pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para camada superior. Esto na camada IV: TCP, UDP, RTP
48
CAMADA IV - TRANSPORTE
Protocolo TCP:
O TCP um protocolo de transporte que executa importantes funes para garantir que os dados sejam entregues de forma confivel, ou seja, sem que os dados sejam corrompidos ou alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e portanto mais rpido que o TCP. Entretanto no garante a entrega dos dados.
49
CARACTERSTICAS DO PROTOCOLO TCP

Garante a entrega de data gramas IP. Executa a segmentao e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqenciamento adequado e a entrega ordenada de dados segmentados. Verifica a integridade dos dados transmitidos usando clculos de soma de verificao. Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas para os dados que no foram recebidos. Oferece um mtodo preferencial de transporte de programas que devem usar transmisso confivel de dados baseados em sesses, como banco de 50 dados cliente/servidor por exemplo.
PORTAS TCP
Protocolo TCP
FTP Porta 21
SSH Porta 22
Telnet Porta 23
WEB Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao mesmo tempo, no mesmo computador, trocando informaes com um ou mais servios/servidores.
51
Portas abaixo de 1024 so registradas para servios especiais.
DIFERENAS BSICAS ENTRE TCP E UDP

TCP Servio orientado por conexo. Garante a entrega atravs do uso de confirmao e entrega seqenciada dos dados. Programas que usam TCP tem garantia de transporte confivel de dados. Mais lento, usa mais recursos e somente d suporte a ponto a ponto. UDP Servio sem conexo. No estabelecida conexo entre os hosts. No garante ou no confirma entrega dos dados. Programas que usam UDP so responsveis pela confiabilidade dos dados. Rpido, exige poucos recursos e oferece comunicao ponto a ponto e multiponto.
52
ESTADO DAS CONEXES

possvel observar o estado das conexes no MikroTik no menu Connections.
53
DVIDAS ????
54
DIAGRAMA INICIAL
55
CONFIGURAO DO ROUTER
Adicione os ips as interfaces
56
Adicione a rota padro
3 1 4
2
57
Adicione o servidor DNS
1 3 2 4
58
Configurao da interface wireless
59
TESTE DE CONECTIVIDADE
Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254 Pingar a partir da RouterBoard o seguinte endereo: www.mikrotik.com; Pingar a partir do notebook o seguinte ip: 192.168.X.254 Pingar a partir do notebook o seguinte endereo: www.mikrotik.com; Analisar os resultados
60
CORRIGIR O PROBLEMA DE CONECTIVIDADE

Diante do cenrio apresentado quais solues podemos apresentar?
Adicionar rotas estticas; Utilizar protocolos de roteamento dinmico; Utilizar NAT(Network Address Translation).
61
UTILIZAO DO NAT
O mascaramento a tcnica que permite que vrios hosts de uma rede compartilhem um mesmo endereo IP de saida do roteador. No Mikrotik o mascaramento feito atravs do Firewall na funcionalidade do NAT. Todo e qualquer pacote de dados de uma rede possui um endereo IP de origem e destino. Para mascarar o endereo, o NAT faz a troca do endereo IP de origem. Quando este pacote retorna ele encaminhando ao host que o originou.
62
Adicionar uma regra de NAT, mascarando as requisies que saem pela interface wlan1.
3 1
4
63
TESTE DE CONECTIVIDADE
Efetuar os testes de ping a partir do notebook; Analisar os resultados; Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa o backup da routerboard e armazene-o no notebook. Ele ser usado ao longo do curso.
64
GERENCIANDO USURIOS
O acesso ao roteador pode ser controlado; Pode-se criar usurios e/ou grupos diferentes;
1
65
GERENCIAMENTO DE USURIOS
Adicione um novo usurio com seu nome e d a ele acesso Full Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
66
ATUALIZANDO A ROUTERBOARD
Faa o download dos pacotes no seguinte endereo: ftp://172.31.255.2 Faa o upload dos pacotes para sua RouterBoard Reinicie a RouterBoard para que os pacotes novos sejam instalados Confira se os novos pacotes foram instalados com sucesso.
67
WIRELESS NO MIKROTIK
68
CONFIGURAES FSICAS
Padro IEEE 802.11b 802.11g 802.11a 802.11n Frequncia 2.4 Ghz 2.4 Ghz 5 Ghz Tecnologia DSSS OFDM OFDM Velocidades 1, 2, 5.5 e 11 Mbps 6, 9, 12, 18, 24, 36, 48 e 54
Mbps
6, 9, 12, 18, 24, 36, 48 e 54

Mbps
2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM
De 6.5Mbps at 600 Mbps
69
802.11B - DSSS
70
CANAIS NO INTERFERENTES EM 2.4 GHZ - DSSS
Canal 1
Canal 6
Canal 11
2.412 GHz
2.437 GHz
2.462 GHz
71
CONFIGURAES FSICAS 2.4GHZ

2.4Ghz-B: Modo 802.11b, que permite velocidades de 1 11 Mbps e utiliza espalhamento espectral. 2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 54 Mbps e utiliza OFDM. 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migrao.
72
CANAIS DO ESPECTRO DE 5GHZ
Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:

Faixa baixa: 5150 a 5350 Mhz Faixa mdia: 5470 a 5725 Mhz Faixa alta: 5725 a 5850 Mhz
73
ASPECTOS LEGAIS DO ESPECTRO DE 5GHZ

Faixa Baixa Freqncias Largura Canais 5150-5250 100 Mhz 4 canais 5250-5350 100 Mhz 4 canais Deteco de radar obrigatria Faixa Mdia 5470-5725 255 Mhz 11 canais Deteco de radar obrigatria Faixa Alta 5725-5850 125 Mhz 5 canais
74
CONFIGURAES FSICAS 5 GHZ

5Ghz: Modo 802.11a opera nas trs faixas permitidas com velocidades que vo de 6Mbps a 54 Mbps.
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e 5Mhz de largura de banda que permite selecionar freqncias mais especificas, porm reduzindo a velocidade nominal. Permite ainda a seleo do modo turbo ou a/n dependendo do modelo do carto.
75
CANALIZAO EM 802.11A MODOS 5MHZ E 10MHZ
Menor troughput Maior nmero de canais Menor vulnerabilidade a interferncias Requer menor sensibilidade Aumenta o nvel de potncia de tx
76
CANALIZAO EM 802.11A MODO TURBO
Maior troughput Menor nmero de canais Maior vulnerabilidade a interferncias Requer maior sensibilidade Diminui o nvel de potncia de tx
77
PADRO 802.11N
INDICE:
MIMO Velocidades do 802.11n Bonding do canal Agregao dos frames Configurao dos cartes Potncia de TX em cartes N Bridge transparente para links N utilizando MPLS/VPLS
78
MIMO
MIMO: Multiple Input and Multiple Output SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e transmitir:

1x1, 1x2, 1x3; 2x2, 2x3; 3x3
79
802.11N - VELOCIDADES NOMINAIS
80
802.11N - BONDING DOS CANAIS 2 X 20MHZ

Adiciona mais 20Mhz ao canal existente O canal colocado abaixo ou acima da frequncia principal
compatvel com os clientes legados de 20Mhz

Conexo feito no canal principal
Permite utilizar taxas maiores
81
802.11N AGREGAO DOS FRAMES

Combinando mltiplos frames de dados em um simples frame diminui o overhead Agregao de unidades de servio de dados MAC MAC Protocol Data Units (AMPDU)
Usa Aknowledgement em bloco Pode aumentar a latncia, por padro habilitado somente para trfego de melhor esforo
Enviando e recebendo AMSDUs pode causar aumento de processamento
82
CONFIGURANDO NO MIKROTIK
HT Tx Chains / HT Rx Chains: No caso dos cartes n a configurao da antena ignorada.
HT AMSDU Limit: Mximo AMSDU que o dispositivo pode preparar.
HT AMSDU Threshold: Mximo tamanho de frame que permitido incluir em AMSDU.
83
HT Guard Interval: Intervalo de guarda. Any: Longo ou curto, dependendo da velocidade de transmisso. Longo: Intervalo longo. HT Extension Channel: Define se ser usado a extenso adicional de 20Mhz. Below: Abaixo do canal principal Above: Acima do canal principal HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado.
84
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso dobrada.
85
BRIDGE TRANSPARENTE EM ENLACES N

WDS no suporta agregao de frames e portanto no prov a velocidade total da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com velocidades maiores com menos overhead em enlaces n devemos utilizar MPLS/VPLS.
86

Para se configurar a bridge transparente em enlaces n, devemos estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30.
Ex.: 172.16.0.1/30(AP) e 172.16.0.2/30(Station) Habilitar o LDP (Label Distribution Protocol) em ambos lados. Adicionar a wlan1 a interface MPLS
87

Configurar o tnel VPLS em ambos os lados Crie uma bridge entre a interface VPLS e a ethernet conectada Confira o status do LDP e do tnel VPLS
88
BRIDGES VPLS - CONSIDERAES

O tnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este ser fragmentado. Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentao pode ser evitada alterando o MTU da interface MPLS. Uma lista completa sobre as MTU das RouterBoards pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router Boards
89
SETUP OUTDOOR PARA ENLACES N

Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us-los ao mesmo tempo. Para operao em 2 canais, usar polarizaes diferentes Quando utilizar antenas de polarizao dupla, a isolao mnima recomendada da antena de 25dB.
90
ENLACES N
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS

91
CONFIGURAES DE CAMADA FSICA - POTNCIAS
default: No altera a potncia original do carto cards rates: Fixa mas respeita as variaes das taxas para cada velocidade all rates fixed: Fixa um valor para todas velocidades manual: permite ajustar potncias diferentes para cada velocidade
92
CONFIGURAES DE CAMADA FSICA - POTNCIAS
Quando a opo regulatory domain est habilitada, somente as frequncias permitidas para o pas selecionado em Country estaro disponveis. Alm disso o Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas, levando em conta o valor em dBi informado em Antenna Gain. Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
93
CONFIGURAES DA CAMADA FSICA SELEO DE

ANTENAS
Em cartes que tem duas saidas para antenas, possvel escolher:

antena a: utiliza antena a(main) para tx e rx antena b: utiliza antena b(aux) para tx e rx rx-a/tx-b: recepo em a e transmisso em b tx-a/rx-b: transmisso em b e recepo em a
94
CONFIGURAES DA CAMADA FSICA DFS

no radar detect: escaneia o meio e escolhe o canal em que for encontrado o menor nmero de redes radar detect: escaneia o meio e espera 1 minuto para entrar em operao no canal escolhido se no for detectada a ocupao do canal Obs.: O modo DFS obrigatrio no Brasil para as faixas de 5250-5250 e 5350-5725
95
CONFIGURAES DA CAMADA FSICA PROP. EXTENSIONS E WMM

Proprietary Extensions: Opo com a nica finalidade de dar compatibilidade com chipsets Centrino. WMM Support: QoS no meio fsico(802.11e)
enabled: permite que o outro dispositivo use wmm required: requer que o outro dispositivo use wmm disabled: desabilita a funo wmm
96
CONFIGURAES DA CAMADA FSICA AP E CLIENT TX RATE / COMPRESSION Defaul AP TX Rate: Taxa mxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente. Default Client TX Rate: Taxa mxima que o cliente pode transmitir para o AP. S funciona para clientes Mikrotik.
Compression: Recurso de compresso em Hardware disponvel em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e no afeta clientes que no possuam o recurso. Porm este recurso incompatvel com criptografia.
97
CONFIGURAES DA CAMADA FSICA DATA RATES

A velocidade em uma rede wireless definida pela modulao que os dispositivos conseguem trabalhar. Supported Rates: So as velocidades de dados entre o AP e os clientes. Basic Rates: So as velocidades que os dispositivos se comunicam independentemente do trfego de dados (beacons, sincronismos, etc...)
98
CONFIGURAES DA CAMADA FSICA ACK

Dispositiv o A Dados ACK Dispositiv o B
O ACK timeout o tempo que um dispositivo wireless espera pelo pacote ack que deve ser transmitido para confirmar toda transmisso wireless.
Dynamic: O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timouts diferentes e analisando as respostas. indoors: Valor constante para redes indoors. Pode-se tambm fixar valores manualmente.
99
CONFIGURAES DA CAMADA FSICA ACK

Tabela de valores referenciais para ACK Timeout
100
Obs.: Utilize a tabela somente para referncia inicial.
FERRAMENTAS DE SITE SURVEY - SCAN

A -> Ativa B -> BSS P -> Protegida R -> Mikrotik N -> Nstreme
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das conexes estabelecidas.
101
FERRAMENTAS DE SITE SURVEY USO DE

FREQUNCIAS
Mostra o uso das frequncias em todo o espectro para site survey.
102
INTERFACE WIRELESS - ALINHAMENTO
Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC Address e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido Avg. Rx Quality: Potncia mdia dos pacotes recebidos Last Rx: Tempo em segundos do ltimo pacote recebido Tx Quality: Potncia do ltimo pacote transmitido Last TX: Tempo em segundos do ltimo pacote transmitido Correct: Nmero de pacotes recebidos sem erro
103
INTERFACE WIRELESS - SNIFFER

Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. Muito til para detectar ataques do tipo deauth e monkey jack. Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.
104
INTERFACE WIRELESS - SNOOPER
Com a ferramenta snooper possvel monitorar a carga de trfego em cada canal por estao e por rede. Scaneia as frequncias definidas em scan-list da interface
105
INTERFACE WIRELESS - GERAL

Comportamento do protocolo ARP
disable: No responde a requisies ARP. Clientes devem acessar atravs de tabelas estticas. proxy-arp: Passa seu prprio MAC quando h uma requisio para algum host interno ao roteador. reply-only: Somente responde as requisies. Endereos vizinhos so resolvidos estaticamente.
106
INTERFACE WIRELESS MODO DE OPERAO
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada. bridge: O mesmo que o o modo ap bridge porm aceitando somente um cliente. station: Modo cliente de um ap. No pode ser colocado em bridge com outras interfaces.
107
station pseudobridge: Estao que pode ser colocada em modo bridge, porm sempre passa ao AP seu prprio MAC. station pseudobridge clone: Modo idntico ao anterior, porm passa ao AP um MAC pr determinado anteriormente. station wds: Modo estao que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. necessrio que o AP esteja em modo wds.
108
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless escuta os pacotes que so mandados a ela por outros dispositivos trabalhando no mesmo canal. wds slave: Ser visto no tpico especifico de wds. nstreme dual slave: Ser visto no tpico especifico de nstreme.
109
INTERFACE WIRELESS AP VIRTUAL
Com as interfaces virtuais podemos montar vrias redes dando perfis de servio diferentes. Name: Nome da rede virtual MTU: Unidade mxima de transferncia(bytes) MAC: Endereo MAC do novo AP ARP: Modo de operao do protocolo ARP Obs.: As demais configuraes so idnticas as de um AP.
110
CAMADA FSICA - WIRELESS

Como trabalha o CSMA?
Redes ethernet tradicionais utilizam o mtodo CSMA/CD (Colision Detection).
Redes wireless 802.11 utilizam o mtodo CSMA/CA (Colision Avoidance).
111
PROTOCOLO NSTREME - CONFIGURAO

Framer Policy Dynamic size: O Mikrotik determina. Best fit: Agrupa at o valor em Frame Limit sem fragmentar. Exact Size: Agrupa at o valor em Frame Limit fragmentando se necessrio. Enable Nstreme: Habilita o nstreme. Enable Polling: Habilita o mecanismo de polling. Recomendado. Disable CSMA: Desabilita o Carrier Sense. Recomendado. Framer Limit: Tamanho mximo do pacote em bytes.
112
PROTOCOLO NSTREME DUAL - CONFIGURAO
1 Colocar a interface em modo nstreme dual slave. 2 Adicionar uma interface Nstreme Dual e definir quem ser TX e quem ser RX.
113
Obs.: Utilize sempre canais distantes.
PROTOCOLO NSTREME DUAL - CONFIGURAO
3 Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto.
4 Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual Prticas de RF recomendadas: Use antenas de qualidade, Polarizaes diferentes, canais distantes e mantenha uma boa distncia entre as antenas.
114
WDS & WDS MESH
115
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma uma grande rea de cobertura utilizando vrios APs e prover mobilidade sem a necessidade de re-conexo dos usurios. Para isso todos os APs devem ter o mesmo SSID e mesmo canal.
116
WDS E O PROTOCOLO STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porm o RSTP mais rpido. O RSTP inicialmente elege uma root bridge e utiliza o algoritmo breadth-first search que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado. Normalmente habilitar o RSTP j suficiente para atingir os resultados. No entanto possvel interferir no comportamento padro, modificando custos, prioridades e etc...
117

Quanto menor a prioridade, maior a chance de ser eleita como bridge root.
Quando os custos so iguais eleita a porta com prioridade mais baixa. O custo da porta permite um caminho ser eleito em lugar do outro.
118
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta. A porta wireless est ativa somente quando existem hosts conectados a ela. Para evitar que os MACs fiquem variando, possvel atribuir um MAC manualmente.
119
WDS / WDS MESH

WDS Default Bridge: A bridge padro para as interfaces wds. WDS Default Cost: Custo da porta bridge do link wds. WDS Cost Range: Margem de custo que pode ser ajustada com base no troughtput do link.
WDS Mode dynamic: As interfaces wds so adicionada dinamicamente quando um dispositivo wds encontra outro compatvel.
dynamic mesh: O mesmo que dynamic, porm com um algoritmo proprietrio para melhoria do link. S possui compatibilidade com outros dispositivos Mikrotik. static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta. static mesh: Mesmo que o anterior, porm usando o algoritmo proprietrio da Mikrotik.
120
WDS / MESH
Crie as interfaces wds e d os seguinte parmetros: Name: Nome da rede wds. Master Interface: Interface que o wds funcionar. Podendo inclusive ser uma interface virtual. WDS Address: Endereo MAC da interface wds que ser conectada.
121
WDS / MESH
Testar a transparncia do link com stations-wds Utilizar Mesh com WDS-RSTP Testar o modo WDS Slave
122
INTERFACE WIRELESS CONTROLE DE ACESSO
A Access List utilizada pelo AP para restringir associaes de clientes. Esta lista contem os endereos MAC de clientes e determina qual ao deve ser tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real, tambm controlada na Access List.
123
INTERFACE WIRELESS CONTROLE DE ACESSO

O processo de associao ocorre da seguinte forma:
1. 2. 3.
Um cliente tenta se associar a uma interface wlan; Seu MAC procurado na access list da interface wlan; Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou no; Fowarding: Define se os clientes podero se comunicar.
124
INTERFACE WIRELESS ACCESS LIST

MAC Address: Endereo MAC a ser liberado ou bloqueado. Interface: Interface real ou virtual onde ser feito o controle de acesso. AP Tx Limit: Limite de trfego enviado para o cliente. Client Tx Limit: Limite de trfego enviado do cliente para o AP. Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de desautenticao. Somente compatvel com outros Mikrotiks.
125
INTERFACE WIRELESS CONNECT LIST

A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.
MAC Address: MAC do AP a se conectar SSID: Nome da rede Area Prefix: String para conexo com AP de mesma rea Security Profile: Definido nos perfis de segurana. Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP falso.
126
SEGURANA DE ACESSO EM REDES SEM FIO
127
FALSA SEGURANA
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem o broadcast de seu SSID nos pacotes chamados beacons. Este comportamento pode ser modificado no Mikrotik habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes Scanners passivos o descobrem facilmente pelos pacotes de probe request dos clientes.
128
FALSA SEGURANA
Controle de MACs:
Descobrir MACs que trafegam no ar muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer. Spoofar um MAC bem simples. Tanto usando windows, linux ou Mikrotik.
129
FALSA SEGURANA
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia inicialmente especificado no padro 802.11 e est baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Vrias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo vrias ferramentas para quebrar a chave, como:
Airodump Airreplay Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
130
EVOLUO DOS PADRES DE SEGURANA
131
FUNDAMENTOS DE SEGURANA
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser. Cliente AP: O cliente tem que se certificar que est conectando no AP correto. Um AP falso possibilita o chamado ataque do homem do meio.
132
PRIVACIDADE E INTEGRIDADE
Tanto a privacidade como a integridade so garantidos por tcnicas de criptografia. O algoritmo de criptografia de dados em WPA o RC4, porm implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES. Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing Michael) e WPA2 usa CCMP(Cipher Chaining Message Authentication Check CBC MAC)
133
CHAVE WPA E WPA2 - PSK

A configurao da chave WPA/WAP2-PSK muito simples no Mikrotik. Configure o modo de chave dinmico e a chave prcombinada para cada tipo de autenticao. Obs.: As chaves so alfanumricas de 8 at 64 caracteres.
134
SEGURANA DE WPA / WPA2

Atualmente a nica maneira conhecida para se quebrar a WPA-PSK somente por ataque de dicionrio. Como a chave mestra PMK combina uma contra-senha com o SSID, escolhendo palavras fortes torna o sucesso de fora bruta praticamente impossvel. A maior fragilidade paras os WISPs que a chave se encontra em texto plano nos computadores dos clientes ou no prprio Mikrotik.
135
CONFIGURANDO EAP-TLS SEM CERTIFICADOS

Crie o perfil EAP-TLS e associe a interface Wireless cliente.
136
SEGURANA DE EAP-TLS SEM CERTIFICADOS

O resultado da negociao annima resulta em uma chave PMK que de conhecimento exclusivo das duas partes. Depois disso toda a comunicao criptografada por AES(WPA2) e o RC4(WPA). Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configurao e negociar a chave normalmente como se fosse um cliente. Uma idia para utilizar essa configurao de forma segura criando um tnel criptografado PPtP ou L2TP entre os equipamentos depois de fechado o enlace.
137
TRABALHANDO COM CERTIFICADOS

Certificado digital um arquivo que identifica de forma inequvoca o seu proprietrio. Certificados so criados por instituies emissoras chamadas de CA (Certificate Authorities). Os certificados podem ser:
Assinados por uma instituio acreditada (Verisign, Thawte, etc...) Certificados auto-assinados.
138
PASSOS PARA IMPLEMENTAO DE EAP-TLS COM CERTIFICADOS AUTO ASSINADOS

Crie a entidade certificadora(CA) Crie as requisies de Certificados Assinar as requisies na CA Importar os certificados assinados para os Mikrotiks Se necessrio, criar os certificados para mquinas windows
139
1. 2. 3. 4. 5.
EAP-TLS SEM RADIUS EM AMBOS LADOS

O metodo EAP-TLS tambm pode ser usado com certificados.
140
EAP-TLS SEM RADIUS EM AMBOS LADOS

Metodos TLS dont verify certificate: Requer um certificado, porm no verifica. no certificates: Certificados so negociados dinamicamente com o algoritmo de Diffie Hellman. verify certificate: Requer um certificado e verifica se foi assinado por uma CA.
141
WPAX COM RADIUS
142
TIPOS DE EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo para um Servidor Radius. Prover maior nvel de segurana e necessita de certificados em ambos lados(cliente e servidor). O passo a passo completo para configurar um servidor Radius pode ser encontrado em: http://under-linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
143
EAP-TLS COM RADIUS EM AMBOS LADOS

A configurao da parte do cliente bem simples.
Selecione o mtodo EAP-TLS Certifique-se que os certificados esto instalados e assinados pela CA. Associe o novo perfil de segurana a interface wireless correspondente.
144
EAP-TLS COM RADIUS EM AMBOS LADOS

No lado do AP selecione o mtodo EAP passthrough. Selecione o certificado correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso a data do sistema no esteja correta, poder causar falha no uso de certificados devido a data validade dos mesmos.
145
SEGURANA DE EAP-TLS COM RADIUS

Sem dvida este o mtodo mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar como possvel fragilidade:
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius ele pode tentar um ataque de fora bruta para descobrir a PMK. Uma forma de proteger este trecho usando um tnel L2TP.
146
RESUMO DOS METODOS DE IMPLANTAO E SEUS PROBLEMAS.

WPA-PSK
Chaves presentes nos clientes e acessveis aos operadores.
Mtodo sem certificados

Passvel de invaso por equipamento que tambm opere nesse modo. Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de implantao 147 praticamente impossvel em redes existentes.
RESUMO DOS METODOS DE IMPLANTAO E SEUS PROBLEMAS.

Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homem do meio e pouco disponvel em equipamentos atuais.
EPA-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos equipamentos. Em placas PCI possvel implement-lo.
148
MTODO ALTERNATIVO COM MIKROTIK

A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP e vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave.
Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visvel a usurios do Mikrotik.
149

Por outro lado, o Mikrotik permite que essas chaves sejam distribudas por Radius, o que torna esse mtodo muito interessante. Para isso necessrio:
Criar um perfil WPA2 qualquer; Habilitar a autenticao via MAC no AP; Ter a mesma chave configurada tanto no cliente como no Radius.
150

Configurando o perfil:
151
CONFIGURANDO O RADIUS
Arquivo users: (/etc/freeradius) #Sintaxe: # MAC # 000C42000001
Cleartext-Password:=MAC Mikrotik-Wireless-Psk = Chave_Psk Cleartext-Password:=000C42000001 Mikrotik-Wireless-Psk = 12341234 Cleartext-Password:=000C43000002 Mikrotik-Wireless-Psk = 2020202020ABC
000C42000002
152
CORRIGINDO O DICIONRIO DE ATRIBUTOS

(/usr/share/freeradius/dictionary.mikrotik)
VENDOR ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE Mikrotik Mikrotik-Recv-Limit Mikrotik-Xmit-Limit 14988 1 2 integer integer 3 4 5 6 7 string 9 10 11 12 13 integer integer 16 string integer integer integer string string ipaddr string string integer
Mikrotik-Group Mikrotik-Wireless-Forward Mikrotik-Wireless-Skip-Dot1x Mikrotik-Wireless-Enc-Algo Mikrotik-Wireless-Enc-Key Mikrotik-Rate-Limit 8 Mikrotik-Realm Mikrotik-Host-IP Mikrotik-Mark-Id Mikrotik-Advertise-URL Mikrotik-Advertise-Interval Mikrotik-Recv-Limit-Gigawords 14 Mikrotik-Xmit-Limit-Gigawords 15 Mikrotik-Wireless-Psk
string
153
FIREWALL NO MIKROTIK
154
FIREWALL
O firewall normalmente usado como ferramenta de segurana para prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de sada e passante. Alm da segurana no firewall que sero desempenhadas diversas funes importantes como a classificao e marcao de pacotes para desenvolvimento de regras de QoS. A classificao do trfego feita no firewall pode ser baseada em vrios classificadores como endereos MAC, endereos IP, tipos de endereos IP, portas, TOS, tamanho do pacotes, etc...
155
FIREWALL - OPES
Filter Rules: Regras para filtro de pacotes. NAT: Onde feito a traduo de endereos e portas. Mangle: Marcao de pacotes, conexo e roteamento. Service Ports: Onde so localizados os NAT Helpers. Connections: Onde so localizadas as conexes existentes. Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e que podem ser utilizadas em vrias partes do firewall. Layer 7 Protocols: Filtros de camada 7.
156
FIREWALL CANAIS DEFAULT

O Firewall opera por meio de regras. Uma regra uma expresso lgica que diz ao roteador o que fazer com um tipo particular de pacote. Regras so organizadas em canais(chain) e existem 3 canais default.
INPUT: Responsvel pelo trfego que CHEGA no router; OUTPUT: Responsvel pelo trfego que SAI do router; FORWARD: Responsvel pelo trfego que PASSA pelo router.
157
FIREWALL FLUXO DE PACOTES

Interface de Entrada
Processo Local IN Processo Local OUT
Interface de Saida
Deciso de Roteamento
Filtro Input
Filtro Output
Filtro Forward
Para maiores informaes acesse: http://wiki.mikrotik.com/wiki/Manual:Packet_F low
158
FIREWALL PRINCPIOS GERAIS
1.
As regras de firewall so sempre processadas por canal, na ordem que so listadas de cima pra baixo. As regras de firewall funcionam como expresses lgicas condicionais, ou seja: se <condio> ento <ao>. Se um pacote no atende TODAS condies de uma regra, ele passa para a regra seguinte.
2.
3.
159
FIREWALL PRINCPIOS GERAIS

4.
Quando um pacote atende TODAS as condies da regra, uma ao tomada com ele no importando as regras que estejam abaixo nesse canal, pois elas no sero processadas. Algumas excees ao critrio acima devem ser consideradas como as aes de: passthrough, log e add to address list. Um pacote que no se enquadre em qualquer regra do canal, por padro ser aceito.
5.
6.
160
FIREWALL FILTERS RULES
As regras de filtro pode ser organizadas e mostradas da seguinte forma:

all: Mostra todas as regras. dynamic: Regras criadas dinamicamente por servios. forward, input output: Regras referente a cada canal. static: Regras criadas estaticamente pelos usurios.
161

Algumas aes que podem ser tomadas nos filtros de firewall:
passthrough: Contabiliza e passa adiante. drop: Descarta o pacote silenciosamente. reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset. tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no aloca recursos.
162
FILTER RULES CANAIS CRIADOS PELO USURIO
Alm dos canais padro o administrador pode criar canais prprios. Esta prtica ajuda na organizao do firewall. Para utilizar o canal criado devemos desviar o fluxo atravs de uma ao JUMP. No exemplo acima podemos ver 3 novos canais criados. Para criar um novo canal basta adicionar uma nova regra e 163 dar o nome desejado ao canal.

Aes relativas a canais criados pelo usurio:
jump: Salta para um canal definido em jump-target jump target: Nome do canal para onde se deve saltar return: Retorna para o canal que chamou o jump
164
COMO FUNCIONA O CANAL CRIADO PELO USURIO

Canal criado pelo usurio
REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA
REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA
165
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA
REGRA REGRA REGRA RETURN REGRA REGRA REGRA REGRA
Caso exista alguma regra de RETURN, o retorno feito de forma antecipada e as regras abaixo sero ignoradas.
166
FIREWALL ADDRESS LIST

A address list contm uma lista de endereos IP que pode ser utilizada em vrias partes do firewall. Pode-se adicionar entradas de forma dinmica usando o filtro ou mangle conforme abaixo:
Aes:
add dst to address list: Adiciona o IP de destino lista. add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos. Timeout: Porque quanto tempo a entrada permanecer na lista.
167
FIREWALL TCNICA DO KNOCK KNOCK
168
FIREWALL TCNICA DO KNOCK KNOCK

A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu endereo IP em uma determinada address list. Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam na lista libera_winbox /ip firewall filter add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \ address-list-timeout=15s comment="" disabled=no add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list \ address-list=libera_winbox address-list-timeout=15m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
169
FIREWALL CONNECTION TRACK

Refere-se a habilidade do roteador em manter o estado da informao relativa as conexes, tais como endereos IP de origem e destino, as respectivas portas, estado da conexo, tipo de protocolos e timeouts. Firewalls que fazem connection track so chamados de statefull e so mais seguros que os que fazem processamentos stateless.
170

O sistema de connection track o corao do firewall. Ele obtm e mantm informaes sobre todas conexes ativas. Quando se desabilita a funo connection tracking so perdidas as funcionalidades NAT e as marcaes de pacotes que dependam de conexo. No entanto, pacotes podem ser marcados de forma direta. Connection track exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge aconselhvel desabilit-la.
171
LOCALIZAO DA CONNECTION TRACKING
Processo Local IN
Processo Local OUT
Interface de Saida
Conntrack
Conntrack
Filtro Input
Filtro Output
Filtro Forward
172
Estado das conexes:

established: Significa que o pacote faz parte de uma conexo j estabelecida anteriormente. new: Significa que o pacote est iniciando uma nova conexo ou faz parte de uma conexo que ainda no trafegou pacotes em ambas direes. related: Significa que o pacote inicia uma nova conexo, porm est associada a uma conexo existente. invalid: Significa que o pacote no pertence a nenhuma conexo 173 existente e nem est iniciando outra.
FIREWALL PROTEGENDO O ROTEADOR E OS CLIENTES
174
PRINCPIOS BSICOS DE PROTEO

Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego prejudicial/intil. Permitir somente servios necessrios no prprio roteador. Prevenir e controlar ataques e acessos no autorizado ao roteador.
Proteo da rede interna

Tratamento das conexes e eliminao de trfego prejudicial/intil. Permitir somente os servios necessrios nos clientes. Prevenir e controlar ataques e acesso no autorizado em clientes. 175
FIREWALL TRATAMENTO DE CONEXES
Regras do canal input

Descarta conexes invlidas. Aceitar conexes estabelecidas. Aceitar conexes relacionadas. Aceitar todas conexes da rede interna. Descartar o restante.
176
FIREWALL CONTROLE DE SERVIOS
Regras do canal input

Permitir acesso externo ao winbox. Permitir acesso externo por SSH. Permitir acesso externo ao FTP. Realocar as regras.
177
FIREWALL FILTRANDO TRFEGO PREJUDICIAL/INTIL

Bloquear portas mais comuns utilizadas por vrus. Baixar lista com portas e protocolos utilizados por vrus. ftp://172.31.255.1/arquivos/virus.rsc Importar o arquivo virus.rsc e criar um jump para que as regras funcionem.
178
FIREWALL FILTRANDO TRFEGO INDESEJVEL E POSSVEIS ATAQUES.

Controle de ICMP
Internet Control Message Protocol basicamente uma ferramenta para diagnstico da rede e alguns tipos de ICMP devem ser liberados obrigatoriamente. Um roteador usa tipicamente apenas 5 tipos de ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0) Traceroute Mensagens (11:0) e (3:3) PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
179
FIREWALL FILTRANDO TRFEGO INDESEJVEL

IPs Bogons:
Existem mais de 4 milhes de endereos IPV4. Existem muitas ranges de IP restritos em rede pblicas. Existem vrias ranges reservadas para propsitos especficos. Uma lista atualizada de IPs bogons pode ser encontrada em: http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e uma boa prtica filtr-los.
180
FIREWAL PROTEO BSICA

Ping Flood:
Ping Flood consiste no envio de grandes volumes de mensagens ICMP aleatrias. possvel detectar essa condio no Mikrotik criando uma regra em firewall filter e podemos associ-la a uma regra de log para monitorar a origem do ataque.
181

Port Scan:
Consiste no escaneamento de portas TCP e UDP. A deteco de ataques somente possvel para o protocolo TCP. Portas baixas (0 1023) Portas altas (1024 65535)
182

Ataques DoS:
O principal objetivo do ataque de DoS o consumo de recursos de CPU ou banda. Usualmente o roteador inundado com requisies de conexes TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK. Normalmente no intencional ou causada por vrus em clientes. Todos os IPs com mais de 15 conexes com o roteador podem ser considerados atacantes.
183

Ataques DoS:
Se simplesmente descartamos as conexes, permitiremos que o atacante crie uma nova conexo. Para que isso no ocorra, podemos implementar a proteo em dois estgios:
Deteco Criar uma lista de atacantes DoS com base em connection limit. Supresso Aplicando restries aos que forem detectados.
184
FIREWAL PROTEO PARA ATAQUES DOS

Criar a lista de atacantes para posteriormente aplicarmos a supresso adequada.
185
FIREWAL PROTEO PARA ATAQUES DOS

Com a ao tarpit aceitamos a conexo e a fechamos, no deixando no entanto o atacante trafegar. Essa regra deve ser colocada antes da regra de deteco ou ento a address list ir reescrevla todo tempo.
186

Ataque dDoS:
Ataque de dDoS so bastante parecidos com os de DoS, porm partem de um grande nmero de hosts infectados. A nica medida que podemos tomar habilitar a opo TCP SynCookie no Connection Track do firewall.
187
FIREWALL - NAT
NAT Network Address Translation uma tcnica que permite que vrios hosts em uma LAN usem um conjunto de endereos IPs para comunicao interna e outro para comunicao externa. Existem dois tipos de NAT. Src NAT: Quando o roteador reescreve o IP ou porta de origem.
SRC DST SRC NAT Novo SRC DST
Dst NAT: Quando o roteador reescreve o IP ou porta de destino.

SRC DST DST NAT SRC Novo DST
188
FIREWALL - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o roteador e ATRAVS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD. srcnat: Processa o trfego enviado A PARTIR do roteador e ATRAVS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.
189
FIREWALL NAT FLUXO DE PACOTES

Interface de Saida
Conntrack
dstnat
Conntrack
srcnat
Filtro Input
Filtro Output
Deciso de Roteamento 190
Filtro Forward
FIREWALL - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma determinada rede pelo endereo IP da interface de sada. Portanto se temos, por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local vo obter acesso a internet utilizando o endereo IP 185.185.185.185
191
FIREWALL - NAT
NAT (1:1): Serve para dar acesso bi-direcional a um determinado endereo IP. Dessa forma, um endereo IP de rede local pode ser acessado atravs de um IP pblico e vice-versa.
192
FIREWALL - NAT
Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a servios que rodem na rede interna. Dessa forma podemos dar acesso a servios de clientes sem utilizao de endereo IP pblico.
Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.10 pela porta 6380.
Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.20 pela porta 6480.
193
FIREWALL - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso bi-direcional de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
194
FIREWALL NAT HELPERS
Hosts atrs de uma rede nateada no possuem conectividade fima-fim verdadeira. Por isso alguns protocolos podem no funcionar corretamente neste cenrio. Servios que requerem iniciao de conexes TCP fora da rede, bem como protocolos stateless como UDP, podem no funcionar. Para resolver este problema, a implementao de NAT no Mikrotik prev alguns NAT Helpers que tm a funo de auxiliar nesses servios. 195
FIREWALL MANGLE
O mangle no Mikrotik uma facilidade que permite a introduo de marcas em pacotes IP ou em conexes, com base em um determinado comportamento especifico. As marcas introduzidas pelo mangle so utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas existem somente no roteador e portanto no so passadas para fora. Com o mangle tambm possvel manipular o determinados campos do cabealho IP como o ToS, TTL, etc...
196
FIREWALL MANGLE
As regras de mangle so organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe. Tambm possvel criar canais pelo prprio usurio. Existem 5 canais padro:
prerouting: Marca antes da fila Global-in; postrouting: Marca antes da fila Global-out; input: Marca antes do filtro input; output: Marca antes do filtro output; forward: Marca antes do filtro forward;
197
FIREWALL DIAGRAMA DO MANGLE

Interface de Saida
Mangle Input
Mangle Output
Mangle Prerouting
Mangle Postrouting
Mangle Forward
198
FIREWALL MANGLE
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro pacote. mark-packet: Marca todos os pacotes. mark-routing: Marca pacotes para poltica de roteamento.
199
FIREWALL MANGLE
Marcando conexes:
Use mark-connection para identificar uma ou um grupo de conexes com uma marca especifica de conexo. Marcas de conexo so armazenadas na contrack. S pode haver uma marca de conexo para cada conexo. O uso da contrack facilita na associao de cada pacote a uma conexo especfica.
200
FIREWALL MANGLE
Marcando pacotes:
Indiretamente: Usando a facilidade da connection tracking, com base em marcas de conexo previamente criadas. Esta a forma mais rpida e eficiente. Diretamente: Sem o uso da connection tracking no necessrio marcas de conexes anteriores e o roteador ir comparar cada pacote com determinadas condies.
201
FIREWALL ESTRUTURA
202
FIREWALL FLUXO DE PACOTES
203
FIREWALL - MANGLE
Um bom exemplo da utilizao do mangle marcando pacotes de conexes P2P.
Aps marcar a conexo, agora precisamos marcar os pacotes provenientes desta conexo.
204
FIREWALL - MANGLE
Com base na conexo j marcada anteriormente, podemos fazer as marcaes dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os programas que usam criptografia.
205
FIREWALL - MANGLE
possvel disponibilizar um modelo simples de QoS utilizando o mangle. Para isso precisamos marcar os seguintes fluxos:
Navegao http e https; FTP Email MSN ICMP P2P Demais servios
206
DVIDAS ???
207
QOS E CONTROLE DE BANDA
208
CONCEITOS BSICOS DE LARGURA E LIMITE DE

BANDA
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56 kbps), na chamada conexo discada. Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56 kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de 1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps, voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa banda de 256kbps, voc conseguir uma Taxa de 209 Transferncia de aproximadamente entre 25kbps a 30,7kbps
TRAFFIC SHAPING
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o uso da largura de banda disponvel. O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da internet. O uso desta tecnologia permite que a comunicao entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns. No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas de gesto de dados que acompanham e analisam a utilizao e priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente adotada para outros tipos de servios, conhecidos por demandar grande utilizao da largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP. Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores, capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador, bloqueando redes peer-to-peer (P2P) ou FTP.
210
QUALIDADE DE SERVIO
No campo das telecomunicaes e redes de computadores, o termo Qualidade de Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas. Em redes de comutao de circuitos, refere-se probabilidade de sucesso em estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se garantia de largura de banda ou, como em muitos casos, utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede. Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurana substancial. simples e eficaz, mas na prtica assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetrio associado!
211
QUALIDADE DE SERVIO
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs, subredes, protocolos, servios e outros parmetros. Limitar trfego P2P. Priorizar certos fluxos de dados em relao a outros. Utilizar bursts para melhorar o desempenho web. Compartilhar banda disponvel entre usurios de forma ponderada dependendo da carga do canal. Utilizao de WMM Wireless Multimdia. MPLS Multi Protocol Layer Switch
212
QUALIDADE DE SERVIO
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo que mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reorden-los, e determina quais pacotes sero descartados. Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a garantia de banda fornecida a um circuito ou link. Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados. Priority: a ordem de importncia que o trfego processado. Pode-se determinar qual tipo de trfego ser processado primeiro.
213
FILAS - QUEUES
Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento aos pacotes que estejam deixando o roteador. Ou seja: As filas so aplicadas na interface onde o fluxo est saindo. A limitao de banda feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados sero reenviados, de forma que no h com que se preocupar com relao a perda de dados. O mesmo no vale para o UDP.
214
TIPOS DE FILAS
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina de filas(queue types). Por padro as disciplinas de filas so colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da interface, definida em queue interface, no ser mantida. Isso significa que quando um pacote no encontra qualquer filtro, ele enviado atravs da interface com prioridade mxima.
215
TIPOS DE FILAS
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas so classificadas pela sua influncia no fluxo de pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram na disciplina. As disciplinas schedulers so: PFIFO, BFIFO, SFQ, PCQ e RED. Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
216
CONTROLE DE TRFEGO
217
CONTROLE DE TRFEGO
O controle de trfego implementado atravs de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:

Pacotes podem ser atrasados, descartados ou priorizados.
218
CONTROLE DE TRFEGO
O controle de trfego implementado internamente por 4 tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes. Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes. Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro ultrapasse limites pr-definidos.
219
CONTROLE DE TRFEGO TIPOS DE FILA

PFIFO e BFIFO: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in First-out), ou seja, o primeiro que entra o primeiro que sai. A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas um parmetro chamado Queue Size que determina a quantidade de dados em uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se fila estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia. Em compensao prov melhor utilizao do canal.
220

RED: Random Early Detection Deteco Aleatria Antecipada um mecanismo de enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min threshould, o RED escolhe um pacote para descartar. A probabilidade do nmero de pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so descartados com a probabilidade mxima. Entretanto existem casos que o tamanho real da fila muito maior que o max threshould ento todos os pacotes que excederem o min threshould sero descartados. RED indicado em links congestionados com altas taxas de dados. Como muito rpido funciona bem com TCP.
221

SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia uma disciplina que tem justia assegurada por algoritmos de hashing e round roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
src-address dst-address src-port dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo round roubin distribui a banda disponvel para estas sub-filas, a cada rodada configurada no parmetro allot(bytes). No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e streaming UDP) quando o link(interface) est completamente cheio. Se o link no est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras disciplinas (qdisc). 222

SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas disponveis. recomendado o uso de SFQ em links congestionados para garantir que as conexes no degradem. SFQ especialmente recomendado em conexes wireless.
223

PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria sub-filas considerando o parmetro pcq-classifier. Cada sub-fila tem uma taxa de transmisso estabelecida em rate e o tamanho mximo igual a limit. O tamanho total de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
224

PCQ: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com diferentes endereos sero organizados em sub-filas diferentes. Nesse caso possvel fazer a limitao ou equalizao para cada sub-fila com o parmetro Rate. Neste ponto o mais importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem. O que no interessante. Mas se for empregado na interface pblica todo o trfego dos clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o classificador ser o dst. Address e configurado na interface local.
225
QOS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para limitar download e upload de usurios em uma rede. Desta forma no existe saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik, utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais filhas. As que no tem filhas so colocadas no level 0, onde as filas so mantidas e chamadas de leafs class. Cada classe na hierarquia pode priorizar e dar forma ao trfego.
226
QOS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=4Mbps max-limit=10Mbps Queue03 limit-at=6Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5 Queue03 ir receber 6Mbps Queue04 ir receber 2Mbps Queue05 ir receber 2Mbps Obs.: Neste exemplo o HTB foi configurado de modo que, satisfazendo todas as garantias, a fila pai no possuir nenhuma capacidade para distribuir mais banda caso seja solicitado por uma filha. 227
QOS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=8Mbps max-limit=10Mbps Queue03 limit-at=2Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5 Queue03 ir receber 2Mbps Queue04 ir receber 6Mbps Queue05 ir receber 2Mbps Obs.: Aps satisfazer todas garantias, o HTB disponibilizar mais banda, at o mximo permitido para a fila com maior prioridade. Mas, neste caso, permitir-se uma reserva de 8M para as filas Queue04 e Queue05, as quais, a que possuir maior prioridade receber primeiro o adicional de banda, pois a fila Queue2 possui garantia de banda 228 atribuida.
Exemplo de HTB
QOS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela classificao dos pacotes para que eles sejam colocados nas correspondentes qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma regra HTB aplicada aos pacotes. Level: Posio de uma classe na hierarquia. Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub-classes(inner class) ou apenas uma e um qdisc(leaf classe).
229
QOS - HTB
Termos do HTB:
Inner Class: Uma classe que tenha uma ou mais classes filhas ligada a ela. No armazenam quaisquer pacotes, ento qdiscs no podem ser associadas a elas. S fazem limitao de trfego. Definio de prioridade tambm ignorada. Leaf class: Uma classe que tenha classe pai, mas ainda no tem classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia. Self feed: Uma sada fora da rvore HTB para a interface onde todos os pacotes das classes ativas no seu nvel de hierarquia vo. Existe uma self feed por level, cada uma constituda por 8 self slots, que representam prioridades. 230
QOS - HTB
Termos do HTB:
Auto slot: Um elemento de uma self feed que corresponde a cada prioridade. Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora. Active class: Uma class que est associada a um auto slot em determinado nvel. Inner feed: Semelhante a uma self feed, constitudos de inner self slots, presentes em cada classe interior. Existe um inner feed por inner class. Inner feed slot: Similar a auto slot. Cada inner feed constitudo de inner slots os quais representam uma prioridade. 231
QOS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3 estados, dependendo da banda que est consumindo:
Verde: de 0% a 50% da banda disponvel est em uso. Amarelo: de 51% a 75% da banda disponvel est em uso. Vermelho: de 76% a 100% da banda disponvel est em uso. Neste ponto comeam os descartes de pacotes que se ultrapassam o max-limit.
232
QOS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas Global-in recebem todo trfego entrante no roteador, antes da filtragem de pacotes. Global-out: Representa todas as interfaces de saida em geral(EGRESS queue). As filas atreladas Global-out recebem todo trfego que sai do roteador. Global-total: Representa uma interface virtual atravs do qual se passa todo fluxo de dados. Quando se associa uma politca de filas Global-total, a limitao feita em ambas direes. Por exemplo se configurarmos um totalmax-limit de 300kbps, teremos um total de download+upload de 300kbps, podendo haver assimetria. Interface X: Representa uma interface particular. Somente o trfego que configurado para sair atravs desta interface passar atravs da fila HTB. 233
INTERFACES VIRTUAIS E O MANGLE
Processo Local IN
Processo Local OUT
Interface de Saida
Mangle Prerouting
Mangle Input
Mangle Output
Global-out
Global-in
Mangle Prerouting
234
Mangle Forward
FILAS SIMPLES
As principais propriedades configurveis de uma fila simples so:

Limite por direo de IP de origem ou destino Interface do cliente Tipo de fila Limit-at, max-limit, priority e burst para download e upload Horrio.
235
FILAS SIMPLES - BURST

Bursts so usados para permitir altas taxas de transferncia por um perodo curto de tempo.
Os parmetros que controlam o burst so: burst-limit: Limite mximo que o burst alcanar. burst-time: Tempo que durar o burst. burst-threshold: Patamar para comear a limitar. max-limit: MIR
236
COMO FUNCIONA O BURST

max-limite=256kbps burst-time=8s burst-threshold=192kbps burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia de consumo de banda durante o bursttime de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold. Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold. Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o maxlimit.
237
UTILIZAO DO PCQ
PCQ utilizado para equalizar cada usurio ou conexo em particular. Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq. Devem ainda ser escolhidos os seguintes parmetros:
pcq-classifier pcq-rate
238
UTILIZAO DO PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so limitadas, ou seja, elas podero usar a largura mxima de banda disponvel em max-limit. Caso 2: Se configurarmos um rate para a PCQ as subqueues sero limitadas nesse rate, at o total de max-limit.
Caso 1 Caso 2
239
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 128k, no existe limit-at e tem um maxlimit de 512k, os clientes recebero a banda da seguinte forma:
240
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 0, no existe limit-at e tem um max-limit de 512k, os clientes recebero a banda da seguinte forma:
241
ARVORES DE FILA
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relao outros, determinando assim uma poltica de QoS para cada fluxo do roteador. Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no roteador. A rvore de fila tambm a nica maneira para adicionar uma fila em uma interface separada. Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-in e/ou global-out, limitao por cliente na interface de sada. Se configurado filas simples e rvores de filas no mesmo roteador, as filas simples recebero o trfego primeiro e em seguida o classficaro.
242
ARVORES DE FILA
As rvores de fila so configuradas em queue tree. Dentre as propriedades configurveis podemos destacar:
Escolher uma marca de trfego feita no firewall mangle; parente-class ou interface de sada; Tipo de fila; Configuraes de limit-at, max-limit, priority e burst.
243
ARVORES DE FILA
QUEUE Q1 Q2 Q3 Q4 Q5 MARCA C1 C2 C3 C4 C5 LIMIT-AT 10M 1M 1M 1M 1M MAX-LIMIT 30M 30M 30M 30M 30M PRIORITY 8 8 8 8 8
244
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
ARVORES DE FILA
Filas com parent (hierarquia).
245
ARVORES DE FILA
C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda dividida entre as outras leaf-queue.
246
DVIDAS???
247
TNEIS E VPN
248
VPN
Uma Rede Privada Virtual uma rede de comunicaes privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituies, construdas em cima de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos padro, no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
249
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos como a internet por exemplo. Promover acesso seguro sobre linhas dedicadas, wireless, etc... Promover acesso seguro a servios em ambiente corporativo de correio, impressoras, etc... Fazer com que o usurio, na prtica, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurana definidos. A base da formao das VPNs o tunelamento entre dois pontos, porm tunelamento no sinnimo de VPN.
250
TUNELAMENTO
A definio de tunelamento a capacidade de criar tneis entre dois hosts por onde trafegam dados. O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol) PPPoE (Point to Point Protocol over Ethernet) PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) OVPN (Open Virtual Private Network) IPSec (IP Security) Tneis IPIP Tneis EoIP Tneis VPLS Tneis TE
251
PPP DEFINIES COMUNS PARA OS SERVIOS

MTU/MRU: Unidade mximas de transmisso/ recepo em bytes. Normalmente o padro ethernet permite 1500 bytes. Em servios PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentao. Keepalive Timeout: Define o perodo de tempo em segundos aps o qual o roteador comea a mandar pacotes de keepalive por segundo. Se nenhuma reposta recebida pelo perodo de 2 vezes o definido em keepalive timeout o cliente considerado desconectado. Authentication: As formas de autenticao permitidas so: Pap: Usurio e senha em texto plano sem criptografica. Chap: Usurio e senha com criptografia. Mschap1: Verso chap da Microsoft conf. RFC 2433 Mschap2: Verso chap da Microsoft conf. RFC 2759
252
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento ser necessrio que haja algum mecanismo para avisar que esta estao dever diminuir o tamanho dos pacotes para que a comunicao ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediarios e a adequao dos pacotes posteriores chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade est presente em todos roteadores, sistemas Unix e no Mikrotik ROS. MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes menores, permitindo o melhor dimensionamento do tnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa configurao til para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados.
253

Change MSS: Maximun Segment Size, tamanho mximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido deve ser fragmentado antes de envi-lo. Em alguns caso o PMTUD est quebrado ou os roteadores no conseguem trocar informaes de maneira eficiente e causam uma srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde possvel interferir e configurar uma diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.
254
PPPOE CLIENTE E SERVIDOR

PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a mais. Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a internet. O cliente no tem IP configurado, o qual atribuido pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite criao e gerenciamento de usurios e senhas em uma tabela local. PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde que o cliente suporte este mtodo.
255
PPPOE CLIENTE E SERVIDOR

O cliente descobre o servidor atravs do protocolo pppoe discovery que tem o nome do servio a ser utilizado. Precisa estar no mesmo barramento fsico ou os dispositivos passarem pra frente as requisies PPPoE usando pppoe relay. No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os clientes at que os mesmos solicitem ou o servidor for reiniciado.
256
CONFIGURAO DO SERVIDOR PPPOE

1.
Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe ranges=172.16.0.2-172.16.0.254
2.
Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado. Remote Address = Pool do pppoe. /ppp profile local-address=172.16.0.1 name=perfil-pppoe remote-address=pool-pppoe
257

3.
Adicione um usurio e senha
/ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opo no obrigatria, mas um parametro a mais para segurana.
258

4.
Adicione o Servidor PPoE
Service Name = Nome que os clientes vo procurar (pppoe-discovery). Interface = Interface onde o servidor pppoe vai escutar. /interface pppoe-server server add authentication=chap, mschap1, mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 max-mru=1480 max-mtu=1480 maxsessions=50 mrru=512 one-session-perhost=yes service-name="Servidor PPPoE"
259
MAIS SOBRE PERFIS

Bridge: Bridge para associar ao perfil Incoming/Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo. Address List: Lista de endereos IP para associar ao perfil. DNS Server: Configurao dos servidores DNS a atribuir aos clientes. Use Compression/Encryption/Change TCP MSS: caso estejam em default, vo associar ao valor que est configurado no perfil default-profile.
260
MAIS SOBRE PERFIS

Session Timeout: Durao mxima de uma sesso PPPoE. Idle Timeout: Perodo de ociosidade na transmisso de uma sesso. Se no houver trfego IP dentro do perodo configurado, a sesso terminada. Rate Limit: Limitao da velocidade na forma rx-rate/tx-rate. Pode ser usado tambm na forma rx-rate/tx-rate rx-burstrate/tx-burst-rate rx-burst-threshould/txburst-threshould burst-time priority rxrate-min/tx-rate-min. 261 Only One: Permite apenas uma sesso para o mesmo usurio.
MAIS SOBRE O DATABASE

Service: Especifica o servio disponvel para este cliente em particular. Caller ID: MAC Address do cliente. Local/Remote Address: Endereo IP Local (servidor) e remote(cliente) que podero ser atribudos a um cliente em particular. Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sesso PPPoE. Routes: Rotas que so criadas do lado do servidor para esse cliente especifico. Vrias rotas podem ser adicionadas separadas por vrgula.
262
MAIS SOBRE O PPOE SERVER

O concentrador PPPoE do Mikrotik suporta mltiplos servidores para cada interface com diferentes nomes de servio. Alm do nome do servio, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rdio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero 263 mximo de sesses que o concentrador suportar.
SEGURANA NO PPPOE
Para assegurar um servidor PPPoE pode-se utilizar Filtros de Bridge, configurando a entrada ou repasse dos protocolos pppoe-discovery e pppoe-session e descartando os demais. Mesmo que haja somente uma interface, ainda sim possvel utilizar os Filtros de Bridge, bastando para tal, criar uma Bridge e associar em Ports apenas esta interface. Em seguida alterar no 264 PPPoE Server a interface de esculta.
CONFIGURANDO O PPPOE CLIENT
AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do servio designado no servidor PPPoE. Dial On Demand: Disca sempre que gerado trfego de sada. Add Default Route: Adiciona um rota padro(default). User Peer DNS: Usa o DNS do servidor PPPoE.
265
PPTP E L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 um protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos. O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando tambm atravs de NAT.
266
L2TP e PPTP possuem as mesma funcionalidades.
CONFIGURAO DO SERVIDOR PPTP E L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets e habilite o servidor PPTP conforme as figuras.
267
CONFIGURAO DO SERVIDOR PPTP E L2TP

Configure os servidores PPTP e L2TP. Atente para utilizar o perfil correto. Configure nos hosts locais um cliente PPTP e realize conexo com um servidor da outra rede. Ex.: Hosts do Setor1 conectam em Servidores do Setor2 e vice-versa.
268
CONFIGURAO DO CLIENTE PPTP E L2TP
As configuraes para o cliente PPTP e L2TP so bem simples, conforme observamos nas imagens.
269
TNEIS IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP baseado na RFC 2003. um protocolo simples que pode ser usado pra interligar duas intranets atravs da internet usando 2 roteadores. A interface do tnel IPIP aparece na lista de interfaces como se fosse uma interface real. Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo. Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para o host que realiza o monitoramento, sem a necessidade de criar usurio e senha como nas VPNs.
270
TNEIS IPIP
Supondo que temos que unir as redes que esto por trs dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma:
271
TNEIS IPIP
Agora precisamos atribuir os IPs as interfaces criadas.
Aps criado o tnel IPIP as redes fazem parte do mesmo domnio de broadcast.
272
TNEIS EOIP
EoIP(Ethernet over IP) um protocolo proprietrio Mikrotik para encapsula mento de todo tipo de trfego sobre o protocolo IP. Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de um tnel EoIP, todo o trfego passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vrios protocolos. O protocolo EoIP possibilita: Interligao em bridge de LANs remotas atravs da internet. Interligao em bridge de LANs atravs de tneis criptografados. A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereos IP e outros tneis podem ser configurados na 273 interface EoIP. O protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
TNEIS EOIP
Criando um tnel EoIP entre as redes por trs dos roteadores 10.0.0.1 e 22.63.11.6. Os MACs devem ser diferentes e estar entre o rage: 00-00-5E-80-0000 e 00-00-5E-FF-FF-FF, pois so endereos reservados para essa aplicao. O MTU deve ser deixado em 1500 para evitar fragmentao. 274 O tnel ID deve ser igual para ambos.
TNEIS EOIP
Adicione a interface EoIP a bridge, juntamente com a interface que far parte do mesmo dominio de broadcast.
275
DVIDAS ????
276
HOTSPOT NO MIKROTIK
277
HOTSPOT
HotSpot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio de acesso a internet, normalmente atravs de uma rede sem fio wi-fi. Aplicaes tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc... O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha. Quando em uma rea de cobertura de um HotSpot, um usurio que tente navegao pela WEB arremetido para uma pgina do HotSpot que pede suas credencias, normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo HotSpot o usurio ganha acesso 278 internet podendo sua atividade ser controlada e bilhetada.
HOTSPOT
Setup do HotSpot:
1.
Escolha a interface que vai ouvir o hotspot. Escolha o IP em que vai rodar o hotspot e indique se a rede ser mascarada. D um pool de endereos que sero distribudos para os usurios do hotspot. Selecione um certificado, caso queira usar.
2.
3.
4.
279
HOTSPOT
Setup do HotSpot(cont.):
5.
6.
7.
8.
Indique o endereo IP do seu servidor smtp, caso queira. D o endereo IP dos servidores DNS que iro resolver os nomes para os usurios do hotspot. D o nome do DNS que ir responder aos clientes ao invs do IP. Adicione um usurio padro.
280
Feito. O HotSpot j est pronto para ser usado.
HOTSPOT
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila especifica para o HotSpot.
281
HOTSPOT DETALHES DO SERVIDOR

Address Per MAC: Nmero de IPs permitidos para um determinado MAC. Idle Timeout: Mximo perodo de tempo de inatividade para clientes autorizados. utilizado para detectar os clientes que esto conectados mas no esto trafegando dados. Atingindo o tempo configurado, o cliente retirado da lista dos hosts autorizados. O tempo contabilizado levando em considerao o momento da desconexo menos o tempo configurado. Keepalive Timeout: Utilizado para detectar se o computador do cliente est ativo e respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando em considerao o momento da desconexo menos o tempo configurado.
282
HOTSPOT PERFIL DO SERVIDOR

HTML Directory: Diretrio onde so colocadas as pginas desse hotspot. HTTP Proxy/Port: Endereo e porta do servidor de web proxy. SMTP Server: Endereo do servidor SMTP. Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai aps as filas dinmicas dos usurios.
283

Login by:
MAC: Usa o MAC dos clientes primeiro como nome do usurio. Se existir na tabela de usurios local ou em um Radius, o cliente liberado sem usurio/senha. HTTP CHAP: Usa o mtodo criptografado. HTTP PAP: Usa autenticao em texto plano. Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente no tiver mais o cookie ou se tiver expirado ele de usar outro mtodo. HTTPS: Usa tnel SSL criptografado. Para que este mtodo funcione, um certificado vlido deve ser importado para o roteador. Trial: No requer autenticao por um determinado tempo.
Split User Domain: Corta o domnio do usurio no caso de [email protected] HTTP Cookie Lifetime: Tempo de vida dos cookies.
284

Use Radius: Utiliza servidor Radius para autenticao dos usurios do hotspot. Location ID e Location Name: Podem ser atribudos aqui ou no Radius. Normalmente deixado em branco. Accounting: Usado para registrar o histrico de logins, trfego, desconexes, etc... Interim Update: Freqncia do envio de informaes de accounting. 0 significa assim que ocorre o evento. Nas Port Type: Wireless, ethernet ou cabo. Informao meramente para referncia.
285
HOTSPOT PERFIL DE USURIOS

O Use Profile serve para dar tratamento diferenciado a grupos de usurios, como suporte, comercial, diretoria, etc... Session Timeout: Tempo mximo permitido. Idle Timeout/Keepalive: Mesma explicao anterior, no entanto agora somente para este perfil de usurios. Status Autorefresh: Tempo de refresh da pgina de Status do HotSpot. Shared Users: Nmero mximo de clientes com o mesmo username.
286

Os perfis de usurio podem conter os limites de velocidade de forma completa. Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx-burstlimit] [rx-burst-threshold/tx-burst-threshold] [rx-bursttime/tx-burst-time] [priority] [rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k 128k de upload / 256k de download 256k de upload burst / 512k de download burst 96k threshould de upload / 192k threshloud de download 8 segundos de burst 6 de prioridade 32k de garantia de upload / 64k de garantia de download
287

Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usurio deste perfil. Outgoing Filter: Nome do firewall chain aplicado aos pacotes vo para o usurio deste perfil. Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usurios deste perfil. Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vo para usurios deste perfil. Open Status Page: Mostra a pgina de status
http-login: para usurios que logam pela WEB. always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.
288

Com a opo Advertise possvel enviar de tempos em tempos popups para os usurios do HotSpot. Advertise URL: Lista de pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada, comea-se novamente pela primeira. Advertise Interval: Intervalo de tempo de exibio de popups. Depois da sequncia terminada, usa sempre o intervalo. Advertise Timeout: Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso a rede.
Pode ser configurado um tempo. Nunca bloquear. Bloquear imediatamente.
289

O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situao especifica. No HotSpot possvel criar scripts que executem comandos a medida que um usurio desse perfil conecta ou desconecta do HotSpot. Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot. On Logout: Quando o cliente desconecta do HotSpot.
Os scripts so adicionados no menu: /system script
290
HOTSPOT USURIOS
291
HOTSPOT USURIOS
Server: all para todos hotspots ou para um especfico. Name: Nome do usurio. Se o modo Trial estiver ativado o hotspot colocar automaticamente o nome T-MAC_Address. No caso de autenticao por MAC, o mesmo deve ser adicionado como username sem senha. Address: Endereo IP caso queira vincular esse usurio a um endereo fixo. MAC Address: Caso queira vincular esse usurio a um endereo MAC especifico. Profile: Perfil onde o usurio herda as propriedades. Routes: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe: Endereo destino gateway metrica. Vrias rotas separadas por vrgula podem ser adicionadas.
292
HOTSPOT USURIOS
Limit Uptime: Limite mximo de tempo de conexo para o usurio. Limit Bytes In: Limite mximo de upload para o usurio. Limit Bytes Out: Limite mximo de download para o usurio. Limit Bytes Total: Limite mximo considerando o download + upload. Na aba das estatsticas possvel acompanhar a utilizao desses limites.
293
HOTSPOT ACTIVE
Mostra dados gerais e estatsticas de cada usurio conectado.
294
HOTSPOT IP BINDINGS
O Mikrotik por default tem habilitado o universal client que uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade denominada DAT na AP 2500 e eezee no StarOS. possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede ou MAC do cliente. possvel tambm permitir certos endereos contornarem a autenticao do hotspot. Ou seja, sem ter que logar na rede 295 inicialmente. Tambm possvel fazer bloqueio de endereos.
HOTSPOT IP BINDINGS
MAC Address: mac original do cliente. Address: Endereo IP do cliente. To Address: Endereo IP o qual o original deve ser traduzido. Server: Servidor hotspot o qual a regra ser aplicada. Type: Tipo do Binding
Regular: faz traduo regular 1:1 Bypassed: faz traduo mas dispensa o cliente de logar no hotspot. Blocked: a traduo no ser feita e 296 todos os pacotes sero bloqueados.
HOTSPOT PORTS
A facilidade NAT do hotspot causa problemas com alguns protocolos incompatveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os mdulos helpers. No caso do NAT 1:1 o nico problema com relao ao mdulo de FTP que deve ser configurado para usar as portas 20 e 21.
297
HOTSPOT WALLED GARDEN

Configurando um walled garden possvel oferecer ao usurio o acesso a determinados servios sem necessidade de autenticao. Por exemplo em um aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo disponibilizar os sites dos principais prestadores de servio para que o cliente possa escolher qual plano quer comprar. Quando um usurio no logado no hotspot requisita um servio do walled garden o gateway no intercepta e, no caso do http, redireciona a requisio para o destino ou um proxy. Para implementar o walled garden para requisies http, existe um web proxy embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados passem de fato por esse proxy. Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o pacote web-proxy.
298

importante salientar que o walled garden no se destina somente a servio WEB, mas qualquer servio que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros servios e protocolos.
299

Action: Permite ou nega. Server: Hotspot para o qual o walled garden vale. Src.Address: Endereo IP do usurio requisitante. Dst. Address: Endereo IP do web server. Method: Mtodo http ou https. Dst. Host: Nome do domnio do servidor de destino. Dst. Port: Porta de destino do servidor. Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado coringas. Tambm possvel utilizar expresses regulares devendo essas ser iniciadas com (:)
300

Action: Aceita, descarta ou rejeita o pacote. Server: Hotspot para o qual o walled garden vale. Src. Address: Endereo IP do usurio requisitante. Dst. Address: Endereo IP do web server. Protocol: Protocolo a ser escolhido na lista. Dst. Port: Porta TCP ou UDP que ser requisitada. Dst. Host: Nome do domnio do servidor de destino.
301
HOTSPOT COOKIES
Quando configurado o login por cookies, estes ficam armazenados no hotspot com nome do usurio, MAC e tempo de validade. Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento de login e senha. Podem ser deletados (-) forando assim o usurio a fazer o login novamente.
302
PERSONALIZANDO O HOTSPOT
As pginas do hotspot so completamente configurveis e alm disso possvel criar conjuntos completamente diferentes das pginas do hotspot para vrios perfis de usurios especificando diferentes diretrios raiz. As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica. login.html pgina de login que pede usurio e senha ao cliente. Esta pgina tem os seguintes parmetros:
Username/password. Dst URL original que o usurio requisitou antes do redirecionamento e que ser aberta aps a autenticao do usurio. Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
303
HOTSPOT COM HTTPS
Para utilizar o hotspot com HTTPS necessrio que se crie um certificado, assin-lo corretamente e em seguida importlo atravs do menu /system certificates.
304
DVIDAS ????
305
ROTEAMENTO
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr-definidas em funo da topologia da rede. Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path) que um mecanismo que permite rotear pacotes atravs de vrios links e permite balancear cargas. possvel ainda no Mikrotik se estabelecer polticas de roteamento dando tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
306
POLTICAS DE ROTEAMENTO
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e portas. As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo Mangle com mark-routing. Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para um determinado gateway. possvel utilizar poltica de roteamento quando se utiliza NAT.
307
Uma aplicao tpica de polticas de roteamento trabalhar com dois um mais links direcionando o trfego para ambos. Por exemplo direcionando trfego p2p por um link e trfego web por outro. impossvel porm reconhecer o trfego p2p a partir do primeiro pacote, mas to somente aps a conexo estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem. A estrtegia nesse caso colocar como gateway default um link menos nobre, marcar o trfego nobre (http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p 308 iro pelo link menos nobre.
Exemplo de poltica de roteamento. O roteador nesse caso ter 2 gateways com ECMP e check-gateway. Dessa forma o trfego ser balanceado e ir garantir o failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 checkgateway=ping
309
EX. DE POLTICA DE ROTEAMENTO

Marcar pacotes da rede 192.168.10.0/24 como lan1 e pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
1.
/ip firewall mangle add src-address=192.168.10.0/24 action=markrouting new-marking-routing=lan1 chain=prerouting /ip firewall mangle add src-address=192.168.20.0/24 action=markrouting new-marking-routing=lan2 chain=prerouting
Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os pacotes da rede lan2 para o gateway 10.112.0.1 usando as correspondentes marcas de pacotes da seguinte forma:
2.
/ip routes add gateway=10.111.0.1 routing-mark=lan1 checkgateway=ping /ip routes add gateway=10.112.0.1 routing-mark=lan2 checkgateway=ping /ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
192.168.10.0/24
192.168.20.0/24
310
BALANCEAMENTO DE CARGA COM PCC
311

O PCC uma forma de balancear o trfego de acordo com um critrio de classificao pr-determinado das conexo. Os parametros de configurao so:
Classificador Denominador Contador
312
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.

Exemplo de PCC com 3 links
Primeiro vamos marcar as conexes. Atente para a interface de entrada(clientes), o denominador(links) e o contador que inicia em zero.
313

314

315

Agora vamos marcar as rotas com base nas marcaes de conexes j feitas anteriormente. Atente agora para desmarcar a opo passthrough.
316

317

318

Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3 gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
319

Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma operao para as demais interfaces.
320
ROTEAMENTO DINMICO
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2; OSPF verso 2 e 3; BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar redundncia e balanceamento de links de forma automtica e uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porm de forma esttica.
321
ROTEAMENTO DINMICO - BGP
O protocolo BGP destinado a fazer comunicao entre AS(Autonomos System) diferentes, podendo ser considerado como o corao da internet. O BGP mantm uma tabela de prefixos de rotas contendo informaes para se encontrar determinadas redes entre os ASs. A verso corrente do BGP no Mikrotik a 4, especificada na RFC 1771. 322
ROTEAMENTO DINMICO - OSPF
O protocolo Open Shortest Path First, um protocolo do tipo link state. Ele usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os destinos. O OSPF distribui informaes de roteamento entre os roteadores que participem de um mesmo AS(Autonomous System) e que tenha o protocolo OSPF habilitado. Para que isso acontea, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo OSPF. O protocolo OSPF iniciado depois que adicionado um registro na lista de redes. As rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
323
ROTEAMENTO DINMICO - OSPF
Tipos de roteadores em OSPF:

Roteadores internos a uma rea Roteadores de backbone (rea 0) Roteadores de borda de rea (ABR)
OS ABRs devem ficar entre dois roteadores e devem tocar a rea 0
Roteadores de borda Autonomous System (ASBR)

So roteadores que participam do OSPF mas fazem comunicao com um AS.
324
OSPF - OPES
Router ID: Geralmente o IP do roteador. Caso no seja especificado o roteador usar o maior IP que exista na interface. Redistribute Default Route:
Never: nunca distribui rota padro. If installed (as type 1): Envia com mtrica 1 se tiver sido instalada como rota esttica, dhcp ou PPP. If installed (as type 2): Envia com mtrica 2 se tiver sido instalada como rota esttica, dhcp ou PPP. Always (as type 1): Sempre, com mtrica 1. Always (as type 2): Sempre, com mtrica 2.
325
OSPF - OPES
Redistribute Connected Routes: Caso habilitado, o roteador ir distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele. Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma esttica em /ip routes. Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. Na aba Metrics possvel modificar as mtricas que sero exportadas as diversas rotas.
326
OSPF - REAS
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada grupo formado chamado de rea e cada rea roda uma cpia do algoritmo bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores. A diviso em reas importante pois como a estrutura de uma rea s visvel para os participantes desta, o trfego sensvelmente reduzido. Isso tambm previne o recalculo das distncias por reas que no participam da rea que promoveu alguma mudana de estado. 327 aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
OSPF - REDES
Aqui definimos as redes OSPF com os seguintes parmetros:
Network: Endereo IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma rea. Somente redes conectadas diretamente podem ser adicionadas aqui. Area: rea do OSPF associada.
328
OSPF
Considerando nosso diagrama inicial, vamos aplicar o OSPF em uma s rea e testar a funcionalidade.
329
DVIDAS ????
330
WEB PROXY
O web proxy uma tima ferramenta para fazer cache de objetos da internet e com isso economizar banda. Tambm possvel utilizar o web proxy como filtro de contedo sem a necessidade de fazer cache. Como o web proxy escuta todos ips do router, muito importante assegurar que somente clientes da rede local iro acess-lo. A boa prtica recomenda o uso de 20GB de cache para cada 1GB de memria RAM. Portanto com uma simples regra de 3 simples encontrar o valor ideal para a memria RAM do 331 seu equipamento.
WEB PROXY - PARMETROS

Src. Address: Endero IP do servidor proxy caso voc possua vrios ips no mesmo roteador. Port: Porta onde o servidor ir escuta. Parent Proxy: Servidor proxy pai usado em um sistema de hierarquia de proxy. Parent Proxy Port: Porta o parent proxy escuta. Cache Administrator: Identificao do administrador do proxy. Max Cache Size: Tamanho mximo do cache em KiBytes. Cache On Disk: Indica se o cache ser em 332 Disco ou em RAM.

Max Client Connections: Nmero mximo de conexes simultneas ao proxy. Max Server Connections: Nmero mximo de conexes que o proxy far a um outro servidor proxy. Max Fresh Time: Tempo mximo que os objetos que no possuem tempo padro definidos, sero considerados atuais. Serialize Connections: Habilita mltiplas conexes ao servidor para mltiplas conexes para os clientes. Always From Cache: Ignore requisies de atualizao dos clientes caso o objeto ser considerado atual. 333

Cache Hit DSCP (TOS): Adiciona marca DSCP com o valor configurado a pacotes que deram hit no proxy. Cache Drive: Exibe o disco que o proxy est usando para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system stores.
334
WEB PROXY - STATUS

Uptime: Tempo que o proxy est rodando. Requests: Total de requisies ao proxy. Hits: Nmero de pedidos que foram atendidos pelo cache do proxy. Cache Used: Espao usado em disco ou RAM usado pelo cache do proxy. Total RAM Used: Total de RAM usada pelo proxy. Received From Servers: Total de dados em Kibytes recebidos de servidores externos. Sent To Clients: Total de dados em Kibytes enviados ao clientes. Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos clientes.
335
WEB PROXY - CONEXES

Aqui podemos a lista de conexes ativas no proxys
Src. Address: Endereo IP das conexes remotas Dst. Address: Endereo destino que est sendo requisitado Protocol: Protocolo utilizado pelo navegador State: Status da conexo Tx Bytes: Total de bytes enviados Rx Bytes: Total de bytes recebidos remotamente
336
WEB PROXY - ACCESS

A lista de acesso permite controlar contedo que ser permitido ou no para armazenamento no cache do proxy. As regras adicionadas nesta lista so processadas de forma semelhante que as regras do firewall. Neste caso as regras iro processar as conexes e caso alguma conexo receba um match ela no ser mais processada pelas demais regras.
337
WEB PROXY - ACCESS

Src. Address: Endereo ip de origem Dst. Address: Endereo ip de destino Dst. Port: Porta ou lista de portas destino Local Port: Porta correspondente do proxy Dst. Host: Endereo ip ou DNS de destino Path: Nome da pgina dentro do servidor Method: Mtodo HTTP usado nas requisies Action: Permite ou nega a regra Redirect To: URL ao qual o usurio ser redirecionado caso a regra seja de negao Hits: Quantidade de vezes que a regra sofreu macth
338
WEB PROXY - CACHE

A lista de cache define como as requisies sero armazenadas ou no no cache do proxy. Esta lista manipulada da mesma forma que a lista de acesso. De forma anloga ao firewall, qualquer requisio que no esteja na lista de regras, ser armazenada no cache. Os parmetros de configurao das regras so idnticas as regras da lista de acesso.
339
WEB PROXY - DIRECT

A lista de acesso direto utilizada quando um Parent Proxy est configurado. Desta forma possvel passar a requisio ao mesmo ou tentar encaminhar a requisio diretamente ao servidor de destino. Esta lista manipulada da mesma forma que a lista de acesso. Diferentemente do firewall, qualquer requisio que no esteja na lista de regras, ser por padro negada. Os parmetros de configurao das regras so idnticas as regras da lista de acesso.
340
WEB PROXY REGRAS DE FIREWALL

Para que o proxy funcione de forma correta e segura, necessrio criar algumas regras no firewall nat e no firewall filter. Primeiramente precisamos desviar o fluxo de pacotes com destino a porta 80 para o servidor web proxy. Em seguida precisamos garantir que somente os clientes da rede local tero acesso ao servidor web proxy.
341
WEB PROXY REGRAS DE FIREWALL

Desviando o fluxo web para o proxy /ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080 Protegendo o proxy contra acessos externos no autorizados /ip firewall filter add chain=input protocol=tcp dstport=8080 in-interface=wan action=drop
342
EXERCCIO FINAL
Abra um New Terminal Digite: /system reset-configuration
343
DVIDAS ????
344
THE DUDE O CARA
345
THE DUDE O CARA
The Dude uma ferramenta de monitoramento que:

Fornece informaes acerca de quedas e restabelecimentos de redes, servios, assim como uso de recursos de equipamentos. Permite mapeamento da rede com grficos da topologia e relacionamentos lgicos entre os dispositivos. Notificaes via udio/video/email acerca de eventos. Grfico de servios mostrando latncia, tempos de respostas de DNS, utilizao de banda, informaes fsicas de links, etc... Monitoramento de qualquer dispositivo que suporte o protocolo SNMP.
346
THE DUDE O CARA
Possibilidade de utilizar ferramentas para acesso direto a dispositivos da rede a partir do diagrama da mesma. Acesso direto a dispositivos Mikrotik atravs do winbox. Armazenamento de histrico de eventos(logs) de toda a rede, com momentos de queda, restabelecimentos, etc... Possibilidade de utilizar SNMP tambm para tomada de decises atravs do SNMP Set. (Vide: MUM Czech Republic 2009 Andrea Coppini)
347
INSTALANDO O THE DUDE

No Windows:
Fazer o download, clicar no executvel e responder sim para todas as perguntas.
No Linux:
Instalar o wine e a partir da proceder como no windows.
Em Routerboard ou PC com Mikrotik:

Baixar o pacote referente a arquitetura especifca, enviar para o Mikrotik via FTP ou Winbox e rebootar o roteador.
348
THE DUDE EM ROUTERBOARDS
O espao em disco consumido pela The Dude considervel, entre outras coisas, devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em Routerboards aconselhvel o uso daquelas que possuam armazenamento adicional como:
RB 433UAH Aceita HD externo via USB RB 450G Aceita MicroSD RB 600 Aceita SD RB 800 Aceita MicroSD RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas de perdas de dados devido a impossibilidade de efetuar backups. 349 Problemas de processamento tambm devem ser considerados.
THE DUDE - COMEANDO
A instalao do The Dude sempre instala o cliente e o servidor e no primeiro uso ele sempre ir tentar usar o Servidor Local(localhost). Caso queira se conectar em outro servidor clique no raio.
350
THE DUDE - COMEANDO
O auto discovery permite que o servidor The Dude localize os dispositivos de seu segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios tambm. Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por seus vizinhos (neighbours). Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.351
THE DUDE ADICIONANDO DISPOSITIVOS

O The Dude tem um wizard para criao de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opo Router OS.
352

Em seguida descubra os servios que esto rodando nesse equipamento. Aps isso o dispositivo estar criado.
353

Clique no dispositivo criado para ajustar vrios parmetros. Dentre esses os principais:
Nome de exibio Tipo do dispositivo
354

O The Dude possui vrios dispositivos pr-definidos, mas pode-se criar novos dispositivos personalizados para que o desenho realmente reflita a realidade prtica. Por razes de produtividade aconselhvel que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois.
355

Quando a rede possui elementos no configurveis por IP como switchs L2, necessrio criar dispositivos estticos para fazer as ligaes. Com isso possvel concluir o diagrama da rede de forma mais realista e parecida com a real.
356
THE DUDE CRIANDO LINKS
Para criar links entre os dispositivos basta clicar no mapa com o boto direito, selecionar Add Link e ligar os dois dispositivos informando:
Device: Dispositivo que ir fornece as informaes do link. Mastering type: Informa como as informaes sero obtidas. Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a interface que deseja monitorar a velocidade e estado do link. Speed: Informando a velocidade do link, ativado a sinalizao do estado do mesmo baseando-se em cores. 357 Type: Tipo de conexo fsica entre os dispositivos.
THE DUDE NOTIFICAES

Efetue um duplo clique no dispositivo e v na guia Notifications. Nela voc pode informar o tipo de notificao que deseja receber.
358
THE DUDE SERVIOS INDESEJVEIS

Com o The Dude podemos monitorar servios que no desejamos que estejam ativos.
359
THE DUDE GRFICOS

Podemos manipular a forma como os grficos iro ser apresentados para identificar servios, estado dos links etc...
360
THE DUDE EFETUANDO BACKUPS

As configuraes so salvas automaticamente na medida em que so feitas. Para se ter um backup externo use o export para gerar um arquivo .xml com todas as configuraes que podero ser importadas sempre que necessrio.
361
DVIDAS ????
362
LABORATRIO FINAL
Abram um terminal Executem: /system reset-configuration no-defaults=yes
363
OBRIGADO!
Guilherme Marques Ramires. E-mail para contato: [email protected]
364

Lancore Mikrotik - Mtcna

Enviado por

Direitos autorais:

Formatos disponíveis

Lancore Mikrotik - Mtcna

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Lancore Mikrotik - Mtcna

Enviado por

Direitos autorais:

Formatos disponíveis

TREINAMENTO MIKROTIK CERTIFICAO MTCNA

Produzido por: MKT Solutions www.mktsolutions.net.br Instrutor: Guilherme Ramires

ALGUMAS REGRAS IMPORTANTES

ALGUMAS REGRAS IMPORTANTES

ONDE EST A MIKROTIK ?

Alm das RouterBoards ele tambm pode ser instalado em PCs.

O Mikrotik RouterOS pode ser instalado a partir de:

ONDE OBTER O MIKROTIK ROUTEROS

INSTALAO COM NETINSTALL

INSTALAO COM NETINSTALL

INSTALAO COM NETINSTALL

ACESSANDO PELO WINBOX

CONFIGURAO EM MODO SEGURO

CONFIGURAO EM MODO SEGURO

CONFIGURAO EM MODO SEGURO

NIVELAMENTO DE CONHECIMENTOS TCP/IP

MODELO OSI OPEN SYSTEM INTERCONNECTION

CAMADA I CAMADA FSICA

CAMADA III - REDE

PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL)

CARACTERSTICAS DO PROTOCOLO TCP

Portas abaixo de 1024 so registradas para servios especiais.

DIFERENAS BSICAS ENTRE TCP E UDP

ESTADO DAS CONEXES

CORRIGIR O PROBLEMA DE CONECTIVIDADE

Faa login com seu novo usurio.

6, 9, 12, 18, 24, 36, 48 e 54

2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM

De 6.5Mbps at 600 Mbps

CANAIS NO INTERFERENTES EM 2.4 GHZ - DSSS

CONFIGURAES FSICAS 2.4GHZ

CANAIS DO ESPECTRO DE 5GHZ

Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:

ASPECTOS LEGAIS DO ESPECTRO DE 5GHZ

CONFIGURAES FSICAS 5 GHZ

CANALIZAO EM 802.11A MODOS 5MHZ E 10MHZ

CANALIZAO EM 802.11A MODO TURBO

Configuraes de antenas mltiplas para receber e transmitir:

802.11N - VELOCIDADES NOMINAIS

802.11N - BONDING DOS CANAIS 2 X 20MHZ

compatvel com os clientes legados de 20Mhz

Permite utilizar taxas maiores

802.11N AGREGAO DOS FRAMES

Enviando e recebendo AMSDUs pode causar aumento de processamento

HT AMSDU Limit: Mximo AMSDU que o dispositivo pode preparar.

HT AMSDU Threshold: Mximo tamanho de frame que permitido incluir em AMSDU.

Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso dobrada.

BRIDGE TRANSPARENTE EM ENLACES N

EoIP incremente overhead

BRIDGE TRANSPARENTE EM ENLACES N

BRIDGE TRANSPARENTE EM ENLACES N

BRIDGES VPLS - CONSIDERAES

SETUP OUTDOOR PARA ENLACES N

Teste a performance com um e dois canais

Crie uma bridge transparente usando VPLS

CONFIGURAES DE CAMADA FSICA - POTNCIAS

CONFIGURAES DE CAMADA FSICA - POTNCIAS

CONFIGURAES DA CAMADA FSICA SELEO DE