Apostila MTCNA

MTCNA
1 - Apresentação geral
5
Módulos MikroTik
6
Cronograma
Treinamento das 09:00hs às 18:30hs
Almoço as 12:00hs – 1 hora de duração
Coffe break as 15:30hs

7
Tópicos do treinamento
Conteúdo do MTCNA: Conteúdo bônus:

Configuração básica; Revisão TCP/IP;
Gerencia de redes; Load Balance;
Bridges Failover;
Roteamento estático; Hotspot;
Wireless; Web Proxy.
Firewall;
QoS e Controle de banda;
Túneis e VPNs.
8
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Modo silencioso.
Perguntas: Sempre bem vindas.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.

Deixe habilitado somente a interface ethernet
de seu computador.
9
Laboratórios
TCP
ICMP
UDP
DNS
DMZ
Rede
local
Só inicie as configurações após a conclusão

das explicações.
10
Apresente-se a turma
Diga seu nome.

Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
11
Objetivos do curso
 Tornar o aluno capaz de entender os vários cenários de
redes;
 Dessa forma saber escolher o equipamento correto para

cada aplicação;
 Ensinar sobre os principais recursos do RouterOS;
 Tornar você capaz de entender e configurar seu

equipamento;
 Abordar todos os tópicos necessários para o exame de

certificação.
12
Prova de certificação
 25 questões;
 Prova em Inglês;
 1 hora de duração (média 2,4 minutos por questão);
 Nota igual ou superior a 60% para ser aprovado.
 Pode consultar roteador, anotações e sites da MikroTik.
 Pode usar tradutor.
 Faça o teste de exemplo no site da MikroTik.

https://mikrotik.com/client/testExample
13
Certificado
Todos o alunos irão receber o certificado de
participação por e-mail.
Aluno que fizerem a prova de certificação e

tiverem nota igual ou maior que 60% receberão o
certificado da MikroTik que será gerado dentro do
próprio site do fabricante.
14
MikroTik/RouterBoard/RouterOS
MikroTik RouterBoard RouterOS
RouterOS
Empresa Hardware Software/ SO

15
MikroTik
Criada em 1996
Sediada na capital da Letónia, Riga.
Desenvolve software e hardware focado no
mercado de redes de computadores.
16
Oque são RouterBoards ?

 Hardware criado pela MikroTik;
 Atende desde usuários domésticos até grandes empresas;
 Hardware relativamente barato se comparado com outros
fabricantes;
 Possui uma variedade muito grande de Roteadores e
Switchs e CPEs.
17
Alguns modelos de RouterBoards?
CCR 1016
HAP – RB941 HEX – RB750 16 núcleos de processamento
Residencial - Baixo custo SOHO - Baixo custo
Com Wi-Fi
RB 2011 CPU 600Mhz CCR 1036

36 núcleos de processamento
RB 3011 CPU Dual-core 1,4Ghz
CCR 1072
72 núcleos de processamento
RB 1100AHx4 CPU Quad-core 1,4Ghz
18
Nomenclatura das RouterBoards
Serie 400
0 ou nenhuma wireless
RB 450
5 interfaces ethernet
3 slots p/ wireless
Serie 400
Lógica de nomenclatura
válida somente para
RouterBoards com
RB 433 modelos especificados

por 3 números.
3 interfaces ethernet
19
Nomenclatura das RouterBoards
Tipo de case Banda
 (not used) - main type of enclosure for a product  5 - 5Ghz
 RM - rack-mount enclosure  2 - 2.4Ghz
 IN - indoor enclosure  52 - dual band 5Ghz and 2.4Ghz
 EM - extended memory
 LM - light memory Número de chains
 BE - black edition case  (not used) - single chain
 TC - Tower (vertical) case  D - dual chain
 OUT - outdoor enclosure  T - triple chain
Potencia do rádio
 (not used) - "Normal" - <23dBm at 6Mbps 802.11a; <24dBm at 6Mbps 802.11g
 H - "High" - 23-24dBm at 6Mbps 802.11a; 24-27dBm at 6Mbps 802.11g
 HP - "High Power" - 25-26dBm 6Mbps 802.11a; 28-29dBm at 6Mbps 802.11g
 SHP - "Super High Power" - 27+dBm at 6Mbps 802.11a; 30+dBm at 6Mbps 802.11g
Protocolo Tipo de conector

 (not used) - 802.11a/b/g support  (not used) – modelo com somente uma opçãp
 n - for cards with 802.11n support  MMCX - MMCX connector type
 ac - for cards with 802.11ac support  u.FL - u.FL connector type
http://wiki.mikrotik.com/wiki/Manual:Product_Naming
20
Oque é o RouterOS?
 RouterOS é o software desenvolvido pela MikroTik.
 Comumente utilizado em RouterBoards, mas também pode ser

instalado em um servidor 32bits ou até mesmo virtualizado em
sua versão de 64bits (CHR).
 É um sistema operacional baseado em Linux que pode facilmente

controlar redes de pequeno, médio e grande porte.
 O sistema ganhou destaque muito grande nos últimos anos por

alguns motivos que veremos logo a seguir.
21
Oque é o RouterOS?
 O RouterOS possui várias funcionalidades, abaixo segue algumas:
 Roteador simples
 Controlador de banda
 Firewall simples e avançado (camada 2,3 e 7)
 Controlador de conteúdo
 Access point (wireless) com vários recursos
 Hotspot com varias opções
 Sniff de rede (Analisador de pacotes e conexões)
 Balanceador de links
 Failover
 Concentrador de VPN
 Roteador avançado utilizando protocolos de roteamento dinâmico (OSPF,BGP,RIP e MPLS)
 Firewall de IDS (intrusion detection system/Sistema de detecção de intrusão)
 QoS (Quality of service/Qualidade de serviço)
 Gerenciador de conexões wireless de alto desempenho
 Outros
22
Primeiro acesso com Winbox
 Existem diversas maneira de acessar o RouterOS sendo o Winbox a mais
utilizada.
 Winbox pode ser usado para acessar o RouterOS via endereço MAC ou IP.
 Winbox é um aplicativo para Windows e caso precise usar em Linux ou

MacOS será necessário usar emuladores como Wine ou CrossOver.
23
Configuração de fábrica
Interface 1
- DHCP-Client rodando.
- Regras de firewall bloqueando o acesso.
WAN - Internet
Em resumo!!
RB 750r2 Os roteadores vem com configurações

focadas para uso residencial.
Para uso empresarial é recomendado

sempre limpar essas configurações.
LAN - Rede local
Interface 2,3,4 e 5
- Interligadas no mesmo domínio de broadcast através de uma bridge.
- O endereço 192.168.88.1/24 foi atribuído a essa bridge.
- Um DHCP-Server rodando nessa bridge.

24
Exemplo de configuração de fábrica
 Todos os roteadores vem com uma configuração de fábrica.
 Na maioria dos casos essa configuração tem a interface

ether1 designada para comunicação WAN e o restantes das
interfaces designadas para rede LAN.
 Você pode conferir mais detalhes sobre a configuração de

fabrica de cada equipamento acesso o link abaixo:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
25
Primeiro acesso
Usando o Winbox você pode se conectar ao

roteador usando MAC,IPv4 ou IPv6.
MAC
IPv4
IPv6
 Ligue seu computador ao roteador

 Abra o winbox clique na aba Neighbors
 Clique no endereço MAC ou IP.
 No campo Login coloque “admin”.
 No campo Password deixe em branco.
 Clique em connect.
26
Resetando seu roteador
 Se esse for o primeiro acesso ao roteador a seguinte
imagem irá aparecer.
Mostra o Script com a configuração de fábrica
Mantém a configuração de fábrica
Remove a configuração de fabrica

27
ATENÇÃO
 Se não for o primeiro acesso Não efetuar o reset se
estiver fazendo o
siga a imagem abaixo para laboratório na plataforma
efetuar o reset. Redes Brasil.
Marque essa opção para não após o reset

não volte com a configuração de fábrica.
28
Se você não possui as

credenciais de acesso ao
roteador o reset deverá ser
feito usando o botão de reset.
Botão de reset
Atenção
Para resetar o equipamento:

1. Desligue o cabo de alimentação do equipamento.
2. Pressione o botão de reset e mantenha pressionado.
3. Ligue o cabo de alimentação;
4. Após ligar o cabo de alimentação conte 5 segundos se solte o botão de reset.
29
Resumo
1. No primeiro acesso nunca use a interface 1 devido aos bloqueios de

acesso que vem de fábrica para essa interface.
2. Sempre limpe as configurações de fábrica antes de iniciar suas

configurações.
3. Caso o acesso via MAC ficar caindo, tente se conectar ao roteador via
IPv6 (se disponível) e/ou deixe habilitada somente a interface que se
liga ao roteador (desabilite todas as outras).
2 - Configurações iniciais
30
Diagrama da rede
Roteador do aluno
WLAN – 172.25.1.X/24
LAN – 10.1.1.1/24
 Lembre-se de seu número: X

31
Configurando IP na interface de LAN
Adicione os IP na interface de LAN
10.1.1.1/24
32
Configurando DHCP Server
ether3 Adicione um servidor de

DHCP utilizando o Setup
10.1.1.0/24
10.1.1.1
10.1.1.2-10.1.1.254
8.8.8.8
Coloque o endereço do
servidor de DNS de sua
preferência.
33
Configure seu Notebook
Aguarde seu PC pegar IP do roteador.
Desconecte-se do Winbox via MAC
Acesse o roteador via IP.

34
Identificando seu roteador
X – SeuNome
35
Renomeando suas interfaces
Renomeie suas interface conforme a imagem
abaixo.
36
Conectando a um AP
Nesse caso a letra “R” indica que
a interface no modo Station está
conectado a um AP.
37
Configurando IP na interface de WAN
Adicione os IP na interface de WAN
172.25.1.X/24
38
Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 172.25.1.254
Internet
39
Configurando rota default
Adicione a rota padrão
172.25.1.254
40
2) Pingar a partir da Routerboard o domínio: google.com
Internet
41
Configurando DNS
 Adicione o servidor DNS
 Teste novamente o ping para: google.com
 Quando você checa a opção “Alow remote requests”, você está

habilitando seu router como um servidor de DNS.
42
1) Pingar a partir de seu PC o seguinte IP: 8.8.8.8
2) Pingar a partir de seu PC o domínio: google.com
Internet
43
Regra de mascaramento
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
44
Faça um backup
 Clique no menu Files e depois em Backup para salvar
sua configurações.
 Arraste o arquivo que foi gerado para seu computador.
45
Atualizando o RouterOS
Certifique se que sua routerboard tem
conectivade com a internet.
46
E ai qual versão instalar ?
Versão estável Versão estável Versão de testes.

Contém: Contém: Não usar em
- Correções de bugs - Novas funcionalidade produção
- Correções de bugs
47
Upgrade de firmware
Para fazer upgrade de firmware clique em:
3 - Mais do RouterOS
48
Instalação do RouterOS
 Assim como qualquer sistema operacional o RouterOS precisa

ser instalado(em routerboards já vem instalado por padrão) ,
as duas principais maneiras de instalar o ROS são:
ISO botável (imagem)

Via rede utilizando o Netinstall
http://www.mikrotik.com/download
49
Instalando pela ISO
 Em caso de você estar utilizando uma maquina física grave a

ISO em um CD e ajuste a sequencia de boot para CD/DVD.
50
Instalando via netinstall em routerboards
 A sequencia de inicialização poderá ser alterada segurando o botão

de reset.
 O botão de reset tem 4 funções acionadas da seguinte forma.

 Desligue a alimentação do equipamento.
 Ligue o equipamento com botão de reset pressionado.
 Solte o botão de reset observando a tabela abaixo
Função Tempo
Ativar backup RouterBOOT 3 segundos
Reset do equipamento 5 segundos
Ativar modo Caps 10 segundo
Reinstalação via Netinstall 15 ou mais segundos
https://wiki.mikrotik.com/wiki/Manual:Reset_button
51
Adicionando novos pacotes
 É possível adicionar pacotes adicionais durante ou após a
instalação do RouterOS.
 Para adicionar após a instalação basta fazer o seguinte.

 Fazer o download dos pacotes respeitando a arquitetura do processador e a versão atual do
RouterOS.
 Arrastar os arquivos para raiz de Files
 Efetuar o reboot do roteador.
52
Adicionando novos pacotes
Pacotes Pacote de User Após reboot o

Pacotes baixados
instalados no Manager enviado pacote foi
e extraídos no PC.
roteador. para o roteador. instalado.
https://mikrotik.com/download
53
Primeiro acesso ao roteador
 Se o seu roteador não possui endereço de IP (v4 ou v6), poderá ser
gerenciado via.
 Mac-winbox
 Mac-telnet
 Cabo console (caso roteador possua porta console)
 Teclado e monitor (caso tenha instalado em um PC).
 Se o seu roteador está com pacote de IPv6 habilitado ele poderá

ser gerenciado também a partir do endereço de link-local que é
gerado de forma automática.
54
Acesso via MAC
 O acesso via MAC address é possível porque o RouterOS possui um
MAC server.
 Esse função vem habitada por padrão e pode ser desabilitada.
55
MAC-Telnet
56
MNDP
MikroTik Neighbor Discovery protocol

Protocolo para descoberta de vizinhos.
57
MNDP
Winbox utiliza o MNDP para encontrar os
dispositivos da MikroTik na descoberta de
vizinhos.
58
Outros modos de acesso
Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.
 API
 SSH
 FTP
 Telnet
 Web
59
Usuário e grupos
 É possível criar novos usuário e grupos de usuários;
 Por padrão o RouterOS vem com usuário admin e sem senha;
 Por padrão existem 3 grupos:

 full = Tem acesso completo no roteador para ler, escrever e gerenciar
usuários.
 read = Tem acesso somente de leitura (não consegue criar nem alterar nada).
 write = Tem acesso a ler, criar e alterar configurações dentro do roteador,
porém não tem permissão de criar/alterar outros usuários (também não
possui acesso FTP e DUDE).
 Utilizando grupos personalizados podemos restringir acesso a

alguns serviços.
 Via acesso web (webfig) podemos desenhar um Skin e liberar

acesso somente partes especificas dentro do roteador.
60
Níveis de licença
 Todo equipamento da MikroTik que possui o RouterOS já vem com
uma licença.
 O nível de licença padrão de cada equipamento geralmente é

compatível com o nível de hardware que o equipamento possui.
 A licença fica vinculada ao HD ou Flash e/ou placa mãe.
 A formatação com outras ferramentas muda o software-id causa a

perda da licença.
61
Níveis de licença para RouterBoards e x86
62
Níveis de licença para o CHR
Licença
63
Correspondência de licenças
64
Diferença entre os dois backups
Backup comum Comando export

Criptografado X
Permite colocar senha X
Carrega usuários de acesso ao router X
Carrega usuários PPP, hotspot e outros X X
Possível editar X
Compatível com hardware diferente X
Possibilidade de exportar e importar por partes X
65
Backup comum
 Observe que o arquivo gerado recebe o

identificação do router mais as informações de
data e hora.
66
Localizando e editando backup
 Após o comando “export

file=bkp_router_XY ” será
gerado um arquivos no
menu files.
 Após transferir o arquivo

para sua maquina ele
poderá ser editado pelo
bloco de notas.
67
Backup
Faça os dois tipos de backup.

Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
68
Modo seguro
 O MikroTik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X” ou na parte superior clique em Safe
Mode.
69
Modo seguro
 Se um usuário entra em modo seguro, quando já há

um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
 u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
 d: deixa tudo como está
 r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”
4 - Revisão TCP/IP
70
Revisão de redes
4 - Revisão TCP/IP
71
Um pouco de historia
1962 – Primeiras comunicações em rede.

1965 – Primeira comunicação WAN.
1969 – Desenvolvido o TCP.
1978 – Vários padrões de comunicação.
1981 – Inicio de discussões sobre padronizações.
1984 – Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
4 - Revisão TCP/IP
72
Modelos de comunicação
Modelo OSI
Modelo TCP/IP
Aplicação
Apresentação
Sessão Aplicação
Transporte Transporte
Rede Rede
Enlace Enlace
Física Física
5 camadas
7 camadas
4 - Revisão TCP/IP
73
Transporte de dados
 Quais são as principais informações usadas para
transporte de dados?
Origem = Source = SRC Destino = Destination = DST
4 Port Port
3 IP / Address IP / Address
MAC
2 MAC
Atenção
Não se esqueça dessas
informações
4 - Revisão TCP/IP
74
Um pouco mais sobre o modelo OSI
Os dados são gerados por aplicativos e repassados para camada de
aplicação, e a partir de então serão encapsulados camada por
camada até chegar a camada física onde serão transformados em
sinais (elétricos ,luminosos etc...)
PC 1
Dados Aplicação
Cabeçalho possui porta (TCP/UDP) de origem e destino
Transporte
Cabeçalho possui IP de origem e destino
Rede Cabeçalho possui MAC de origem e destino
Enlace
011011001010010001
Física
PC 2
4 - Revisão TCP/IP
75
Encapsulamento
Dados Camada 7 | Dados
Aplicação
Camada 4 | Portas
Origem:6423 Destino:80 Transporte
Camada 3 | IP
Rede
Origem:10.1.1.2
Destino:200.10.20.30
Camada 2 | MAC Enlace
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
76
Encapsulamento
Camada 7 | Aplicação | Dados

Aplicação
Dados Camada 4 | Transporte | Portas Transporte
Origem:6423 Rede
Destino:80 Camada 3 | Rede | IP
Enlace
Origem:10.1.1.2
Destino:200.10.20.30
Camada 2 | Enlace | MAC Física
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
77
PDU - Protocol data unit
Protocol data unit ou em português Unidade de

dados de protocolo em telecomunicações
descreve um bloco de dados que é transmitido
entre duas instâncias da mesma camada.
Camada PDU
4 - Camada de transporte Segmento
3 - Camada de rede Pacote
2 - Camada de enlace Frame (quadro)
1 - Camada física Bit
4 - Revisão TCP/IP
78
Um pouco mais
sobre modelo
OSI e TCP/IP
4 - Revisão TCP/IP
79
1 - Camada física
 A camada física define as características técnicas
dos dispositivos elétricos.
 É nesse nível que são definidas as especificações

de cabeamento estruturado, fibras ópticas, etc...
 Banda, frequência e potencia são grandeza que

podemos alterar diretamente na camada 1.
4 - Revisão TCP/IP
80
2 - Camada de enlace
 Camada responsável pelo endereçamento físico, controle de acesso ao meio e
correções de erros da camada I.
 Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio)

que são únicos no mundo e que são atribuídos aos dispositivos de rede.
 Switchs, bridges trabalham em camada II.
 Interfaces ethernets e PPP também trabalham em camada II.
 NÃO separa os domínios de broadcast.
 PPPoE, DHCP, ARP e outros protocolos se propagam pelo domínio de broadcast.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
81
Cenários onde se aplicam bridge e switches
Cenário 1 Cenário 2
Internet
Internet
Roteador
192.168.1.1/24
Bridge
Roteador
10.1.1.1/24
Switch
Bridge
192.168.1.2/24
10.1.1.2/24 10.1.1.4/24
10.1.1.3/24
4 - Revisão TCP/IP
82
Criando uma bridge
Podemos resumir uma bridge
como um switch virtual.
Roteador
Bridge1
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
83
Adicionando interfaces na bridge
Roteador
Atenção
Bridge1
Sempre que uma interface for
adicionada em uma bridge,
toda configuração deverá ser
feita para a bridge e não mais
para a interface.
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
84
3 - Camada de rede
 Responsável pelo endereçamento lógico dos pacotes.
 Determina que rota os pacotes irão seguir para atingir o destino baseado em
fatores tais como condições de tráfego de rede e prioridade.
 Separa domínios de broadcast.
 PPPoE, DHCP, ARP e outros protocolos NÃO se propagam em domínio de

broadcast diferentes.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
85
Cenários onde se aplicam roteadores
Internet
Internet
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.1.1/24
4 - Revisão TCP/IP
86
4 - Camada de transporte
 Quando no lado do remetente, é responsável por pegar os
dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede.
 No lado do destinatário, pega os pacotes recebidos da

camada de rede, remonta os dados originais e os envia para à
camada superior.
 Estão na camada IV: TCP, UDP, RTP
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
87
Estado das conexões

 É possível observar o estado das conexões no MikroTik no menu
Connections (IP=>Firewall=>Connections).
 Essa tabela também é conhecida como conntrack. Muito utilizada para

análises e debugs rápidos.
4 - Revisão TCP/IP
88
Cenários onde se aplicam firewalls
Internet
Internet
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.12/24
4 - Revisão TCP/IP
89
7 - Camada de aplicação
 Muitos confundem aplicação com aplicativo.
 Usuário interagem com o aplicativo e o aplicativo interage com

protocolos da camada de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).
Protocolos da camada
Aplicativos de aplicação
HTTP
HTTPS
DNS
SMTP
4 - Revisão TCP/IP
90
O datagrama
Camada 7| Dados PC +
Firewall
Aplicação
Camada 4 | Portas
Transporte
Camada 3 | IP
Roteador
Rede
Camada 2 | MAC
Enlace Switch
SRC DST
PORT PORT
Física ADDRESS
MAC
ADDRESS
MAC
4 - Revisão TCP/IP
91
Perguntas
4 - Revisão TCP/IP
92
Protocolos
4 - Revisão TCP/IP
93
Endereço IP
É o endereço lógico de um dispositivo de rede.
É usado para comunicação entre redes.
Endereço IPv4 é um numero de 32 bits divido

em 4 parte separado por pontos.
Exemplo de endereço IP: 200.200.0.1

4 - Revisão TCP/IP
94
Sub Rede
 Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi
dividida.
 O tamanho de uma sub rede é determinado por sua máscara de sub rede.
 O endereço de IP geralmente é acompanhado da mascara de sub rede.
 Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde
começa e onde termina nossa sub rede.
 Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
 O endereço de REDE é o primeiro IP da sub rede.
 O endereço de BROADCAST é o último IP da sub rede.
 Esses endereços(Rede e broadcast) são reservados e não podem ser usados.
End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24

End de Rede 10.0.0.0 10.1.0.0 10.1.2.0
End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255
4 - Revisão TCP/IP
95
Protocolos - IP
 Usado para identificar logicamente um host.
 Possui endereços públicos e privados.
 Possui duas versões IPv4 (quase esgotado) e IPv6.
4 - Revisão TCP/IP
96
Protocolos - ARP
 ARP – Address resolution protocol ou simplesmente
protocolo de resolução de endereços.
 Como o próprio nome sugere esse protocolo consegue
resolver(encontrar) o endereço MAC através do
endereço de IP e após feito isto o coloca em uma
tabela.
4 - Revisão TCP/IP
97
Funcionamento do ARP
3 - Qual é o MAC do
cidadão que está
com IP 10.1.1.4 ?
10.1.1.2
10.1.1.1
Switch
10.1.1.3
1- Tenho que 2 - Quais

gerar o pacote informações
de PING. eu já tenho ? 10.1.1.4
4 - Sou eu aqui ooh!!

SRC DST Tabela ARP Meu MAC é
IP MAC E4:8D:8C:04:D5:CC
ADDRESS ADDRESS
MAC MAC 10.1.1.4 E4:8D:8C:04:D5:CC
4 - Revisão TCP/IP
98
Funcionamento do ARP
ARP Request
10.1.1.1 10.1.1.4
ARP Reply
4 - Revisão TCP/IP
99
Modos do ARP
enable: Faz requisições de ARP

Responde requisições ARP
reply-only: Não faz requisições de ARP

Responde requisições ARP
disable: Não faz requisições de ARP

Não responde requisições ARP
4 - Revisão TCP/IP
100
Tabela ARP
A tabela ARP normalmente é
preenchida de forma dinámica
Podemos adicionar Podemos transformar uma

entradas de forma entrada dinâmica em uma
estática. entrada estática.
4 - Revisão TCP/IP
101
Protocolos - UDP / TCP
UDP TCP
Serviço sem conexão; nenhuma sessão é Serviço orientado por conexão; uma sessão
estabelecida entre os hosts. é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega O TCP garante a entrega usando
nem sequencia os dados. confirmações e entrega sequenciada dos
dados.
O UDP é rápido, requer baixa sobrecarga e O TCP é mais lento, requer maior
pode oferecer suporte à comunicação sobrecarga e pode oferecer suporte apenas
ponto a ponto e de ponto a vários pontos. à comunicação ponto a ponto.
4 - Revisão TCP/IP
102
Protocolos - ICMP
 Internet Control Message Protocol ou protocolo de mensagens de controle da
Internet é usado para relatar erros e trocar informações de status e controle.
 Geralmente usamos aplicativos que utilizam o protocolo ICMP para sabermos se

um determinado host esta alcançável e/ou qual é a rota para aquele host(ping e
tracert).
4 - Revisão TCP/IP
103
DHCP
4 - Revisão TCP/IP
104
Perguntas ?
5 - Wireless
105
Wireless no Mikrotik
5 - Wireless
106
Configurações Físicas
Padrão IEEE Frequência Largura de Velocidade máx
banda máxima
802.11b 2.4Ghz 20Mhz 11 Mbps
802.11g 2.4Ghz 20Mhz 54 Mbps
802.11a 5Ghz 20Mhz 54 Mbps
802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps
802.11ac 5 Ghz 160Mhz 1.6 Gbps

5 - Wireless
107
Tipos de enlaces
Ponto a ponto
bridge Station
Ponto multi-ponto
Station
AP 60 ° Station
Station
5 - Wireless
108
Modo de operação
 ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma

transparente para a rede cabeada.
 bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.
 station: Modo cliente de um ap. Não pode ser colocado em bridge com outras
interfaces.
 station bridge: Faz um bridge transparente porém só pode ser usado para se
conectar a um AP Mikrotik.
5 - Wireless
109
Station vs station-bridge
Internet Internet
Roteador
AP
172.25.1.254/24 192.168.1.1/24
Bridge
172.25.1.20/24
Station
Station-bridge
10.1.1.1/24
192.168.1.2/24
10.1.1.200/24
5 - Wireless
110
MIMO
MIMO: Multiple Input and Multiple Output

5 - Wireless
111
Potências
 Quando a opção “regulatory domain” está habilitada, somente as frequências

permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o
MikroTik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.
5 - Wireless
112
Espalhamento espectral
Usando 1 3 5 7 9 11
20Mhz 2412 2422 2432 2442 2452 2462
2402 2412 2422 2432 2442 2452 2462 2472

5 - Wireless
113
Canalização – 5Mhz e 10Mhz
 Menor troughput
 Maior número de canais
 Menor vulnerabilidade a interferências
 Aumenta o nível de potência de tx
5 - Wireless
114
Canalização – 20Mhz, 40Mhz
 Maior troughput
 Menor número de canais
 Maior vulnerabilidade a interferências
 Diminui o nível de potência de tx
5 - Wireless
115
Ferramentas de Site Survey - Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
 Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.
5 - Wireless
116
Ferramentas de Site Survey – Uso de frequências
 Mostra o uso das frequências

em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
5 - Wireless
117
Interface wireless - Sniffer
 Ferramenta para sniffar

o ambiente wireless
captando e decifrando
pacotes.
 Muito útil para detectar

ataques.
 Pode ser arquivado no

próprio MikroTik ou
passado por streaming
para outro servidor
com protocolo TZSP.
5 - Wireless
118
Interface wireless - Snooper
 Com a ferramenta snooper é possível monitorar a carga de

tráfego em cada canal por estação e por rede.
 Scaneia as frequências definidas em scan-list da interface.

5 - Wireless
119
NV2
 Proprietário da MikroTik (não funciona com outros

fabricantes).
 Baseado em TDMA (Time Division Multiple Access).
 Resolver o problema do nó escondido.
 Melhora throughput e latência especialmente em PtMP.

5 - Wireless
120
Funcionamento do NV2
 Diferente do padrão 802.11 onde não existe controle do meio, com a
utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem irá transmitir e quem irá receber).
 Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot).
 Esses períodos (Timeslot) são alocados para Download e Upload de forma

organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e
logo temos o seguinte:
- Evitamos colisões
- Aproveitamos melhor a largura de banda
- Aumento do throughput
5 - Wireless
121
Segurança de Acesso em redes sem fio
5 - Wireless
122
Falsa segurança
 Nome da rede escondido:

 Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento
pode ser modificado no MikroTik
habilitando a opção “Hide SSID”.
 Pontos negativos:
 SSID deve ser conhecido pelos clientes.
 Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.
5 - Wireless
123
Falsa segurança
Controle de MACs:
Descobrir MACs que trafegam no ar é muito

simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.
Spoofar um MAC é bem simples. Tanto usando

windows, linux ou Mikrotik.
5 - Wireless
124
Controle de Acesso
 A Access List é utilizada pelo AP para restringir associações de

clientes. Esta lista contem os endereços MAC de clientes e
determina qual ação deve ser tomada quando um cliente tenta
conectar.
 A comunicação entre clientes da mesma interface, virtual ou real,

também pode ser controlada na Access List.
5 - Wireless
125
Controle de Acesso
O processo de associação
ocorre da seguinte forma:
 Um cliente tenta se associar a uma interface wlan;
 Seu MAC é procurado na access list da interface wlan;
 Caso encontrado, a ação especifica será tomada:

 Authentication: Define se o cliente poderá se associar ou
não;
 Fowarding: Define se os clientes poderão se comunicar.
5 - Wireless
126
Access List
 MAC Address: Endereço MAC a ser

liberado ou bloqueado.
 Interface: Interface real ou virtual onde
será feito o controle de acesso.
 AP Tx Limit: Limite de tráfego enviado
para o cliente.
 Client Tx Limit: Limite de tráfego enviado
do cliente para o AP.
 Private Key: Chave wep criptografada.
 Private Pre Shared Key: Chave WPA.
 Management Protection Key: Chave usada para evitar ataques de

desautenticação. Somente compatível com outros Mikrotiks.
5 - Wireless
127
Connect List
 A Connect List tem a finalidade de listar os

APs que o MikroTik configurado como
cliente pode se conectar.
 MAC Address: MAC do AP a se conectar.

 SSID: Nome da rede.
 Area Prefix: String para conexão com AP
de mesma área.
 Security Profile: Definido nos perfis de
segurança.
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.
5 - Wireless
128
Chave WPA e WPA2 - PSK
 A configuração da chave WPA/WAP2-

PSK é muito simples no Mikrotik.
 No menu wireless clique na Security

Profile e adicione um novo perfil
 Configure o modo de chave dinâmico e

a chave pré combinada para cada tipo
de autenticação.
 Em cada Wlan selecione o perfil de

segurança desejado.
Obs.: As chaves são alfanuméricas de 8 até

64 caracteres.
5 - Wireless
129
Perguntas ?
6 - Firewall
130
Firewall
Pacote
6 - Firewall
131
Firewall - Opções
 Filter Rules: Regras para filtro de pacotes.
 NAT: Onde é feito a tradução de endereços e portas.
 Mangle: Marcação de pacotes, conexão e roteamento.
 RAW: Usada para saltar a conntrack para um determinado fluxo de dados e até mesmo para ganhar desempenho
na contenção de ataques de DoS e DDoS.
 Service Ports: Onde são localizados os NAT Helpers.
 Connections: Onde são localizadas as conexões existentes.
 Address List: Lista de endereços IPS inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias
partes do firewall.
 Layer 7 Protocols: Filtros de camada 7.

6 - Firewall
132
Estrutura do Firewall
Firewall
Tabela Filter Tabela NAT Tabela Mangle Tabela RAW
Canal Input Canal input

Canal SRCNAT Canal Prerouting
regras regras
regras regras
regras regras Canal Output regras
regras
Canal Output Canal DSTNAT Canal Output
regras Canal Forward
regras regras
regras regras
regras regras
Canal Prerouting
Canal Forward
regras
regras
Canal Postrouting
regras
regras
6 - Firewall
133
Fluxo do Firewall simplificado
Chegada
Firewall
Decisão
Prerouting DSTNAT de Forward Postrouting SRCNAT
roteamento
Saída
Output
Input
Decisão
de
roteamento
Destinado Originado
Processo local
ao roteador no roteador
6 - Firewall
134
Princípios gerais
O firewall da MikroTik é do tipo “Default Accept”

ou seja, por padrão aceita todos os pacotes.
Podemos mudar essa política através de regras.
6 - Firewall
135
Princípios gerais
As regras de Firewall são sempre processadas

canal por canal, na ordem que são listadas, ou
seja de cima para baixo.
6 - Firewall
136
Processamento das regras

As regras de Firewall funcionam como
“estruturas condicionais simples”.
_________________________________________
Se combina com as condições especificadas
Então executa uma ação.
SE <condição> ENTÃO <ação>
6 - Firewall
137
 Se um pacote não atende TODAS as condições de uma regra
ele passa para a regra seguinte. Não havendo mais nenhuma
regra a ser lida por padrão o pacote é aceito.
Regra 0 – COMBINA?
Regra 1 –SIM
COMBINA?
– Executa a ação especificada e não faz a leitura das regras de baixo.
Regra 2 – COMBINA?
SIM––Vai
NÃO Executa a ação especificada
para próxima regra e não faz a leitura das regras de baixo.
SIM – Executa a ação especificada e não faz a leitura das regras de baixo.
NÃO – Vai para próxima regra
NÃO – Pacote aceito
6 - Firewall
138
TCP
ICMP
UDP
Firewall - Filters
DNS
DMZ
Rede
local
6 - Firewall
139
Firewall – Filter Rules
Firewall
FORWARD
INPUT OUTPUT
Internet
INPUT
PC OUTPUT
FORWARD
Resumo
INPUT - Trata tráfego que é destinado ao roteador.

OUTPUT - Trata tráfego que é originado no roteador.
FORWARD - Trata tráfego que passa pelo roteador.
6 - Firewall
140
Testando os canais da tabela filters

Rede 1
10.1.1.0/24 Internet
Objetivo
Apague todas as regras do firewall filters antes de começar esse laboratório.
1. Liberar o ping a partir da rede 1 para o 8.8.8.8.

2. Dropar o ping a partir da rede 1 para o 8.8.4.4.
3. Dropar o ping a partir do roteador para o 8.8.8.8.
4. Liberar o ping a partir do roteador para o 8.8.4.4.
6 - Firewall
141

6 - Firewall
142
Poderíamos atingir o objetivo

proposto criando somente duas
regras.
6 - Firewall
LAB 2 143
Conclusão do LAB 2
1. Com esse simples laboratório conseguimos testar dois

canais (forward e output).
2.Lembrando que:
 O canal output trata tráfego que é originado no roteador.
 O canal forward trata tráfego que passa pelo roteador.
6 - Firewall
144

Internet
Objetivo
1. Acesse o site meuip.com a partir do navegador.
2. Crie uma regra para bloquear o acesso a todos sites HTTP a partir da sua rede.
3. Tente acessar o site meuip.com novamente (não pode abrir).
4. Habilite o acesso via web em IP => Service;

5. Acesse seu roteador pelo navegador através do endereço 10.1.1.1;
6. Crie uma regra no firewall para bloquear o acesso ao roteador via HTTP.
7. Abra o menu system => packages e verifique se a atualizações disponíveis.

8. Faça um regra de firewall bloqueando o acesso as atualizações (atualizações do
RouterOS usam HTTP).
6 - Firewall
145
Ações da tabela filter
Ações nos filtros de firewall:
 accept: Aceita o pacote.
 add to address list: Adiociona o end. de IP para uma lista de endereços.
 drop: Descarta o pacote silenciosamente.
 reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset.
 frastrack connection: Coloca uma determinada conexão em um “caminho rápido”.
 jump: Faz um pacote ser desviado para outra chain.
 log: Gera um log para cada pacote que combinar com a regra.
 passthrough: Contabiliza o pacote.
 return: Volta o pacote para chain original em casos onde ele foi desviado por uma ação de jump.
 tarpit: Responde mensagens de SYN sem alocar recursos no roteador.
6 - Firewall
146
Organização das regras
 As regras da tabela filter podem ser organizadas e

mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários.
6 - Firewall
147
Address List
 A address list contém uma lista de endereços IP

que pode ser utilizada em várias partes do firewall.
 Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino à lista.
add src to address list: Adiciona o IP de origem à lista.
Address List: Nome da lista de endereços.
Timeout: Por quanto tempo a entrada permanecerá na lista.
6 - Firewall
148
Interface list
 Com o uso de interface list podemos agrupar um

conjunto de interfaces e evitar a criação de varias
regras de firewall para atingir um objetivo.
6 - Firewall
149
Protegendo seu roteador
Internet
Rede local
6 - Firewall
150
Default drop
 Implementando regras de firewall usando default drop
Default Drop
Drop geral
Tipos de conexão
Rede de suporte
Port knocking
ICMP Flood
6 - Firewall
151
Proteção básica
 Regras do canal input

 Descarta conexões inválidas.
 Aceitar conexões estabelecidas e relacionadas
 Aceitar todas conexões da rede de suporte.
 Dropar o restante.
6 - Firewall
152
Estado das conexões
O firewall do MikroTik é capaz de analisar os estados de conexões que

podem ser os seguintes:
new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma
conexão que ainda não trafegou pacotes em ambas direções.
established: Significa que o pacote faz parte de uma conexão já estabelecida
anteriormente.
related: Significa que o pacote inicia uma nova conexão, porém está associada a uma
conexão existente.
invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está
iniciando outra.
untracked: Pacotes que foram setados na tabela RAW para fazer um bypass da
connection tracking.
6 - Firewall
153
Port knocking
 A técnica do “Port knocking” consegue implementar um passo a mais para segurança
de seu roteador e até mesmo da sua rede local. TCP / 7788
 O roteador ou sua rede local não ficará com portas de serviço expostas.
TCP / 4455
 Para ter acesso as portas de serviços o usuário deverá saber uma sequencia pré-
determinada de portas chave. Acesso FULL
 Em nosso exemplo iremos usar como portas chave a sequencia de portas TCP 7788 e
4455.
Comandos
/ip firewall filter

add action=add-src-to-address-list address-list=pre-rede-suporte address-list-timeout=3s chain=input comment="Adiciona IP de origem na lista pre-rede-suporte" dst-port=\
7788 protocol=tcp
add action=add-src-to-address-list address-list=rede-suporte address-list-timeout=5h chain=input comment="Adiciona o IP de origem na lista rede-suporte" dst-port=4455 \
protocol=tcp src-address-list=pre-rede-suporte
6 - Firewall
154
Firewall – Ping flood
 Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
 Para evitar o Ping flood, podemos bloquear todo tráfego de

ICMP.
 Ao bloquear todo trafego de ICMP podemos ter problemas com

algumas aplicações (monitoramento e outros protocolos).
 Por isso é aconselhável colocarmos uma exceção permitindo um

pelo menos 30 mensagens de ICMP por segundo.
6 - Firewall
155
Firewal – Evitando ping flood
Comandos
/ip firewall filter
add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
6 - Firewall
156
Firewall - NAT
Tradução de endereços e portas

6 - Firewall
157
Entendo os canais do NAT
 NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um
conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.
 Existem dois tipos de NAT :
 SRC NAT: O roteador faz alterações de IP ou porta de origem.
SRC DST SRC DST

Regra
Port Port
SYN Nova porta Port
SRC-NAT
Address (IP) Address (IP) Novo IP Address (IP)
 DST NAT: O roteador faz alterações de IP ou porta de destino.
SRC DST SRC DST

Regra
Port Port
SYN Port Nova porta
DST-NAT
Address (IP) Address (IP) Address (IP) Novo IP
6 - Firewall
158
Localização DST-NAT e SRC-NAT
Firewall
Decisão
Chegada DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Decisão
de
roteamento
Processo local
6 - Firewall
159
SRC-NAT
SRC DST SRC DST

192.168.1.254 8.8.8.8 192.168.1.254 8.8.8.8
SEM NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
DST SRC
192.168.1.254 8.8.8.8
6 - Firewall
160
SRC-NAT
SRC DST SRC DST

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8
SRC NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
DST SRC DST SRC

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8
6 - Firewall
161
Localização da Connection Tracking
Firewall
Chegada
Decisão
Conntrack DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Conntrack
Decisão
de
roteamento
Processo local
6 - Firewall
162
Connection Track
 Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.
6 - Firewall
163
Connection Track
 O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
 Quando se desabilita a função “connection tracking” são

perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.
 Connection track é exigente de recursos de hardware.

Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.
6 - Firewall
164
Ações mais utilizadas no SRC-NAT
Masquerade: Altera o endereço de IP de

origem usando o IP da interface de saída.
SRC-NAT: Altera o endereço de IP e/ou porta
de origem por um IP e/ou porta de sua
escolha.
6 - Firewall
165
Usando a ação masquerade
 Source NAT: A ação “Masquerade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
 Desta forma, todos os endereços IPs da rede local

vão obter acesso a internet utilizando o endereço
IP 185.185.185.185
6 - Firewall
166
Usando a ação src-nat
Internet
10.1.1.0/24 => 200.1.1.2/29
Forçado um IP público 10.2.2.0/24 => 200.1.1.1/29
para cada sub-rede

Rede 1 Rede 2
10.1.1.1 10.1.1.2 10.2.2.1 10.2.2.2
Comandos
/ip firewall nat
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.1.1.0/24 para o end. 200.1.1.1" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.1.1.0/24 to-addresses=200.1.1.1
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.2.2.0/24 para o end. 200.1.1.2" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.2.2.0/24 to-addresses=200.1.1.2
6 - Firewall
167
DSTNAT
SRC DST SRC DST

200.1.1.1 187.32.81.27 200.1.1.1 192.168.3.252
DST NAT
WAN
187.32.81.27
Internet
PC R1
200.1.1.1/24 192.168.3.1
R2
Rede local 192.168.3.252
6 - Firewall
168
Usando a ação dst-nat

 Redirecionando de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
 Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
6 - Firewall
169
Usando a ação redirect
Utilizando a ação redirect podemos

redirecionar tráfego para o roteador, abaixo
temos alguns exemplos que podem ser
utilizados com a ação redirect.
Proxy HTTP;
Proxy DNS;
ICMP.
7 - Controle de banda
170
QoS e controle da banda
171
Uso de QoS
Usar QoS é utilizado quando precisamos
aplicar qualidade para algum serviço de rede.
Podemos limitar, garantir e priorizar tráfego e

com isso aplicar politicas de uso de banda.
172
Simple queue
 É uma das maneiras mais fáceis de se controlar banda
dentro do RouterOS.
 É utilizada para controle de banda de túneis PPP

(PPPoE,PPTP ...), HotSpot e DHCP.
 Podemos controlar banda de:

 Um IP
 Uma rede
 Uma interface
 Podemos controlar banda de download, upload e da soma

dos dois (download + upload = total).
173
Simple queue
10.1.1.200
Fasttrack não pode estar ativo para o tráfego que

se deseja controlar banda.
174
Simple queue aba total
175
Qualidade de Serviço
Os principais termos utilizados em QoS são:
 Max Limit ou MIR (Maximal Information Rate): Taxa máxima de

dados que será fornecida. Ou seja, limite a partir do qual os
pacotes serão descartados.
 Limit At ou CIR (Commited Information Rate): Taxa de dados

garantida. É a garantia de banda fornecida a um circuito ou link.
 Priority: É a ordem de importância que o tráfego é processado.

176
Tá certo isso ai cidadão ?
Passa lá no RH!!
177
Controle de banda
É possível controlar banda para um destino

especifico.
178
Garantia e prioridade
 Para garantir banda use o campo Limit-at;
 Também é possível dar prioridade para um tráfego em

especifico utilizando o campo priority.
179
PCQ
PCQ pode usado para:
 Equalizar a banda para que um host não use mais
banda que outro?
 Implementar um controle de banda idêntico para vários
hosts sem a necessidade de criar varias regras.
180
Equalizando a banda
181
Equalizando a banda
182
Burst
 Bursts são usados

para permitir altas
taxas de transferência
por um período curto
de tempo.
 Os parâmetros que controlam o burst são:

 burst-limit: Limite máximo que o burst alcançará.
 burst-time: Tempo para cálculo da média de velocidade.
 burst-threshold: Patamar para começar a limitar.
 max-limit: MIR
183
Como funciona o Burst
 max-limit=256kbps
 burst-limit=512kbps
 burst-threshold=192kbps
 burst-time=8s
 Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa

média de consumo de banda durante o burst-time de 8 segundos.
 Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
 Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold.
 Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
 A partir deste momento a taxa máxima do cliente passa a ser o max-limit.
 Parâmetro para passar via PPPoE ou Hotspot

 256k/256k 512k/512k 192k/192k 8/8
 rx/tx-rate rx/tx-burst-rate rx/tx-burst-threshold rx/tx-burst-time
8 - Roteamento
184
Roteamento
8 - Roteamento
185
O que é roteamento
 Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.
Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
8 - Roteamento
186
Quando o processo roteamento é utilizado?
Comunicação direta Comunicação roteada
Não precisa de rotas Precisa de rotas
192.168.1.1/24
Roteador
Roteador
10.1.1.1/24 10.1.1.3/24
10.1.1.2/24
10.1.1.1/24
 O processo de roteamento é utilizado quando host

em sub-redes diferentes precisam se comunicar.
8 - Roteamento
187
Tipos de rotas
/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
8 - Roteamento
188
Funcionamento padrão
10.1.1.1 8.8.8.8
192.168.1.1 172.16.1.1
8.8.4.4
10.5.5.5
8 - Roteamento
189
Na tabela de rotas
 Para cada encaminhamento o roteador faz um leitura

completa da tabela de rotas.
 Se o roteador encontrar mais de uma rota para o destino

solicitado ele sempre irá utilizar a rota mais especifica.
Tabela de rotas
 A rota defult será utilizada Dst. Address Gateway
sempre que não houver uma 0.0.0.0/0 192.168.1.1
rota mais especifica para o 8.0.0.0/8 10.172.6.1

determinado destino. 8.8.0.0/16 10.172.5.1
8 - Roteamento
190
Diagrama simples para roteamento
1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24
Rede 1 Rede 2
10.2.2.0/24
10.1.1.0/24
10.2.2.2/24
10.1.1.2/24
Roteamento
8 - Roteamento
191
Criando as rotas
Rota em R1 Rota em R2
para alcançar a rede 2 para alcançar a rede 1
8 - Roteamento
192
Check-gateway
A funcionalidade Check-gateway irá verificar se o

gateway é alcançável através de ICMP ou ARP.
A checagem ocorre a cada 10 segundos.
Se após duas tentativas seguidas o gateway não

responder, ele é considerado inalcançável.
Após receber uma resposta o gateway novamente é

considerado alcançável.
8 - Roteamento
193
Perguntas ?
9 - Túneis e VPNs
194
Túneis e VPN
9 - Túneis e VPNs
195
VPN
 Uma Rede Privada Virtual é uma rede de

comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
 VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.
9 - Túneis e VPNs
196
VPN
 As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
9 - Túneis e VPNs
197
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE
9 - Túneis e VPNs
198
Site-to-site
9 - Túneis e VPNs
199
Conexão remota
9 - Túneis e VPNs
200
Endereçamento ponto a ponto /32
Geralmente usado em túneis

Pode ser usado para economia de IPs.
Router 1 Router 2
9 - Túneis e VPNs
201
Diagrama de VPN
Internet IP público
200.1.1.XX
IP da VPN
IP da VPN 2.2.2.2
172.25.1.X
1.1.1.1
Rede LAN Rede LAN

10.1.1.0/24 192.168.1.0/24
DST GW DST GW
192.168.1.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1
9 - Túneis e VPNs
202
Ativando PPTP server
9 - Túneis e VPNs
203
Criando o usuário para o PPTP Client
Usuário e senha que será

utilizado para autenticação.
IP que será atribuído localmente quando o usuário “teste” se conectar
IP que será atribuído para o host remoto quanto o usuário “teste” se conectar
9 - Túneis e VPNs
204
Criando o PPTP Client
200.1.1.XX
9 - Túneis e VPNs
205
Acompanhando o Status
Status no servidor Status no client

9 - Túneis e VPNs
206
Criando as rotas
Rota no servidor Rota no client
Status no client
Status no servidor
9 - Túneis e VPNs
207
Campos PPPoE
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• Keepalive Timeout: Define o período de tempo em segundos após o qual

o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.
• Authentication: As formas de autenticação permitidas são:

– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759
9 - Túneis e VPNs
208
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O

PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.
• O cliente não tem IP configurado, o qual é atribuído pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No MikroTik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.
9 - Túneis e VPNs
209
PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
• No MikroTik o valor padrão do Keepalive Timeout é 10, e

funcionará bem na maioria dos casos. Se configurarmos pra zero, o
servidor não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
9 - Túneis e VPNs
210
Passos para criar o PPPoE server
1) Criar o Pool
2) Criar o servidor de PPPoE
3) Criar um novo perfil
4) Criar usuários
9 - Túneis e VPNs
211
Criando um Pool
• Esses são os endereços que serão entregues ao clientes que se conectarem no servidor de PPPoE.
• Para fins de organização iremos reservar o primeiro IP utilizável para usarmos em nosso roteador (no nosso
caso o 10.1.1.1).
• Tambem iremos fazer uma reserva de endereço para cliente que por ventura precisarem de IP fixo (no nosso
caso do 10.1.1.241 até o 10.1.1.254)
9 - Túneis e VPNs
212
Criando o PPPoE server
Service Name = Nome que os clientes vão procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.
9 - Túneis e VPNs
213
Criando um novo perfil
• Name = Nome de identificação do perfil
• Local Address = Endereço que será utilizado no servidor de PPPoE
• Remote Address = Endereços que serão entregues ao clientes que se

conectarem(nesse caso selecionamos o pool previamente criado).
9 - Túneis e VPNs
214
Criando um usuário
• Adicione um usuário e senha
• Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.

Esta opção não é obrigatória, mas é um parâmetro a mais para
segurança.
9 - Túneis e VPNs
215
Mais sobre perfis
• Bridge: Bridge para associar ao perfil
• Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
• Address List: Lista de endereços IP para

associar ao perfil.
• DNS Server: Configuração dos servidores DNS a

atribuir aos clientes.
• Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.
9 - Túneis e VPNs
216
Mais sobre perfis
• Session Timeout: Duração máxima de uma
sessão PPPoE.
• Idle Timeout: Período de ociosidade na

transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
• Rate Limit: Limitação da velocidade na forma

rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
• Only One: Permite apenas uma sessão para o

mesmo usuário.
9 - Túneis e VPNs
217
Mais sobre o database
• Service: Especifica o serviço disponível para este
cliente em particular.
• Caller ID: MAC Address do cliente.
• Local/Remote Address: Endereço IP Local (servidor)

e remote(cliente) que poderão ser atribuídos a um
cliente em particular.
• Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sessão PPPoE.
• Routes: Rotas que são criadas do lado do servidor

para esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.
9 - Túneis e VPNs
218
Mais sobre o PPoE Server
O concentrador PPPoE do MikroTik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes MikroTik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opção One Session Per Host permite somente uma sessão por host(MAC
Address). Por fim, Max Sessions define o número máximo de sessões que o
concentrador suportará.
9 - Túneis e VPNs
219
Configurando o PPPoE Client
• AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Túneis e VPNs
220
Perguntas ?
221
Diversos

Apostila MTCNA

Enviado por

Direitos autorais:

Formatos disponíveis

Apostila MTCNA

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila MTCNA

Enviado por

Direitos autorais:

Formatos disponíveis

MTCNA

Treinamento das 09:00hs às 18:30hs

Almoço as 12:00hs – 1 hora de duração

Coffe break as 15:30hs

Conteúdo do MTCNA: Conteúdo bônus:

Evite conversas paralelas.

Só inicie as configurações após a conclusão

Diga seu nome.

 Dessa forma saber escolher o equipamento correto para

 Ensinar sobre os principais recursos do RouterOS;

 Tornar você capaz de entender e configurar seu

 Abordar todos os tópicos necessários para o exame de

 1 hora de duração (média 2,4 minutos por questão);

 Nota igual ou superior a 60% para ser aprovado.

 Pode consultar roteador, anotações e sites da MikroTik.

 Pode usar tradutor.

 Faça o teste de exemplo no site da MikroTik.

Aluno que fizerem a prova de certificação e

MikroTik RouterBoard RouterOS

Empresa Hardware Software/ SO

Oque são RouterBoards ?

RB 2011 CPU 600Mhz CCR 1036

RB 3011 CPU Dual-core 1,4Ghz

RB 433 modelos especificados

Protocolo Tipo de conector

 Comumente utilizado em RouterBoards, mas também pode ser

 É um sistema operacional baseado em Linux que pode facilmente

 O sistema ganhou destaque muito grande nos últimos anos por

 Winbox é um aplicativo para Windows e caso precise usar em Linux ou

RB 750r2 Os roteadores vem com configurações

Para uso empresarial é recomendado

LAN - Rede local

- O endereço 192.168.88.1/24 foi atribuído a essa bridge.

- Um DHCP-Server rodando nessa bridge.

 Todos os roteadores vem com uma configuração de fábrica.

 Na maioria dos casos essa configuração tem a interface

 Você pode conferir mais detalhes sobre a configuração de

Usando o Winbox você pode se conectar ao

 Ligue seu computador ao roteador

Mostra o Script com a configuração de fábrica

Mantém a configuração de fábrica

Remove a configuração de fabrica

Marque essa opção para não após o reset

Se você não possui as

Para resetar o equipamento:

1. No primeiro acesso nunca use a interface 1 devido aos bloqueios de

2. Sempre limpe as configurações de fábrica antes de iniciar suas

 Lembre-se de seu número: X

Adicione os IP na interface de LAN

ether3 Adicione um servidor de

Aguarde seu PC pegar IP do roteador.

Desconecte-se do Winbox via MAC

Acesse o roteador via IP.

Adicione os IP na interface de WAN

1) Pingar a partir da Routerboard o seguinte IP: 172.25.1.254

2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8

Adicione a rota padrão

1) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8

2) Pingar a partir da Routerboard o domínio: google.com

 Teste novamente o ping para: google.com