Académique Documents
Professionnel Documents
Culture Documents
Modulo MTCNA
(MikroTik Certified Network Associate)
Agenda
Treinamento das 08:30hs s 18:30hs
Coffe break as 16:00hs
Almoo as 12:30hs 1 hora de durao
1- Introduo
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de
seu computador.
1- Introduo
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introduo
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCNA.
Prover um viso geral sobre o Mikrotik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o Mikrotik
RouterOS dispe para prover boas solues.
1- Introduo
Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introduo
Oque so Routerboards?
Hardware criado pela Mikrotik.
Atende desde usurios domsticos at grandes empresas.
Hardware relativamente barato se comparado com outros
fabricantes.
1- Introduo
RB 450
0 ou nenhuma wireless
5 interfaces ethernet
3 slots p/ wireless
Serie 400
RB 433
3 interfaces ethernet
1- Introduo
RouterOS
RouterOS alm de estar disponvel para Routerboards
tambm pode ser instalado em hardware x86.
RouterOS o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de contedo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros
1- Introduo
Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.
1- Introduo
10
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introduo
11
1- Introduo
12
1- Introduo
13
Diagrama da rede
14
Configurao bsica
Configurando endereo de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade
1- Introduo
15
Configurao do roteador
Adicione os IPs nas interfaces
1- Introduo
16
Configurao do roteador
Adicione a rota padro
1- Introduo
17
Configurao do roteador
Adicione o servidor DNS
Quando voc checa a opo Alow remote requests, voc
est habilitando seu router como um servidor de DNS.
1- Introduo
18
Configurao do roteador
Configurao da interface wireless
1- Introduo
19
MNDP
MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery
Interface
1- Introduo
20
1- Introduo
21
Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereo:
www.uol.com 172.25.255.254
Pingar a partir do notebook o seguinte ip:
10.X.Y.1
Pingar a partir do notebook o seguinte endereo:
www.uol.com
Analisar os resultados.
1- Introduo
22
1- Introduo
23
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
1- Introduo
24
1- Introduo
25
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est
funcionando, faa o backup da routerboard e
armazene-o no notebook. Ele ser usado ao
longo do curso.
1- Introduo
26
Faa um backup
Clique no menu Files e depois em Backup para salvar
sua configuraes.
Arraste o arquivo que foi gerado para seu computador.
1- Introduo
27
Instalao do RouterOS
Porque importante saber instalar o
RouterOS?
Necessrio quando se deseja utilizar um hardware prprio.
Assim como qualquer S.O. o RouterOS tambm pode
corromper o setor de inicializao (geralmente causado por
picos eltricos).
Necessrio quando se perde o usurio e senha de acesso ao
sistema.
1- Introduo
28
Instalao do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards j vem instalado por padro) ,
as duas principais maneiras de instalar o ROS so:
1- Introduo
29
Download
http://www.mikrotik.com/download
1- Introduo
30
Download
No link acima voc pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale verses de teste em roteadores em
produo sempre selecione verses estveis.
1- Introduo
31
1- Introduo
32
1- Introduo
33
Pacotes do RouterOS
System: Pacote principal contendo os servios bsicos e drivers. A rigor o nico
que obrigatrio.
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnstico, netwatch e outros utilitrios.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horrio oficial mundial.
IPv6: Suporte a endereamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinmico.
Security : IPSEC, SSH, Secure WinBox.
No possvel adicionar drivers ou qualquer outro tipo de pacote que no seja criado
diretamente pela Mikrotik.
1- Introduo
34
Gerenciando pacotes
Voc pode habilitar e desabilitar pacotes em:
1- Introduo
35
Primeiro acesso
Por padro o processo de instalao no atribui nenhum
endereo de IP ao router ento o primeiro acesso pode
ser feito por:
Cabo serial (linha de comando)
Teclado e monitor em x86 (linha de comando)
Via mac-telnet (linha de comando)
Winbox via MAC (interface grfica)
1- Introduo
36
Mac-telnet
1- Introduo
37
1- Introduo
38
SSH e telnet
1- Introduo
39
FTP
Usado para transferir arquivos.
1- Introduo
40
WEB
O acesso via web traz quase todas as funes
existentes no winbox.
1- Introduo
41
Upgrade do RouterOS
Faa download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.
1- Introduo
2
42
Atualizando a RB
Confira a verso atual.
Faa download do pacote .npk.
Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
Reinicie o roteador.
Confira se a nova verso foi instalada.
Novas verses esto disponveis no site.
http://www.mikrotik.com/download
4
1- Introduo
3
43
Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
1- Introduo
44
Upgrade de firmware
Para fazer upgrade de firmware clique em:
1- Introduo
45
Nveis de licena
O RouterOS trabalha com nveis de licena isso significa que
cada nvel lhe oferece um numero X de recursos.
Quanto a atualizao de verso
L3/4 = verso atual + 1 = pode ser usada
L5/6 = verso atual + 2 = pode ser usada
A chave de licena gerada sobre um software-id fornecido
pelo sistema.
A licena fica vinculada ao HD ou Flash e/ou placa me.
A formatao com outras ferramentas muda o software-id
causa a perda da licena.
1- Introduo
46
Nveis de licena
1- Introduo
47
NTP
As routerboard no tem fonte de alimentao
interna, logo toda vez que reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando necessrio
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introduo
48
1- Introduo
49
1- Introduo
50
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o contedo do router em
um arquivo criptografado que no pode ser
editado(salva inclusive os usurios e senhas de login
no router).
Backup com comando export = Voc pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado no criptografado e
pode ser aberto por qualquer editor de texto(no
exporta dados de usurios e senhas de login no
router).
1- Introduo
51
Backup comum
52
53
54
Backup
Faa os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
Agora acesse o link abaixo e faa o upload do
arquivo de backup criptografado.
http://mikrotikpasswordrecovery.com/
1- Introduo
55
Modo seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro.
Este modo permite desfazer as configuraes modificadas caso a
sesso seja perdida de forma automtica. Para habilitar o modo
seguro pressione CTRL+X ou na parte superior clique em Safe
Mode.
1- Introduo
56
Modo seguro
Se um usurio entra em modo seguro, quando j h
um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
u: desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d: deixa tudo como est
r: mantm as configuraes no modo seguro e pe a
sesso em modo seguro. O outro usurio receber a
seguinte mensagem:
1- Introduo
57
Dvidas e perguntas ?
1- Introduo
58
59
Um pouco de historia
1962 Primeiras comunicaes em rede.
1965 Primeira comunicao WAN.
1969 Desenvolvido o TCP.
1978 Vrios padres de comunicao.
1981 Inicio de discusses sobre padronizaes.
1984 Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos
60
Modelo TCP/IP
61
62
Encapsulamento
Dados
Dados
Dados
Camada 3 rede - IP
Dados
63
PDU
Camada fsica
Bit
Camada de enlace
Quadro ou trama
Camada de rede
Pacote
Camada de transporte
Segmento
64
1 - Camada fsica
A camada fsica define as caractersticas tcnicas
dos dispositivos eltricos.
nesse nvel que so definidas as especificaes
de cabeamento estruturado, fibras pticas, etc...
Banda, frequncia e potencia so grandeza que
podemos alterar diretamente na camada 1.
65
2 - Camada de enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no
mundo e que so atribudos aos dispositivos de rede.
Switchs, bridges ,ethernets e PPP so exemplos de
dispositivos que trabalham em camada II.
66
Endereo MAC
o nico endereo fsico de um dispositivo de
rede.
usado para comunicao com a rede local.
Exemplo de endereo MAC:
00:0C:42:00:00:00
2 - OSI, TCP/IP e protocolos
67
3 - Camada de rede
Responsvel pelo endereamento lgico dos
pacotes.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
68
4 - Camada de transporte
Quando no lado do remetente, responsvel por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatrio, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
69
70
5 - Camada de sesso
Administra e sincroniza dilogos entre dois
processos de aplicao.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de unio:
login/autenticao e desunio: logoff).
Controla troca de dados, delimita e sincroniza
operaes em dados entre duas entidades.
71
6 - Camada de apresentao
A principal funo da camada de apresentao
assegurar que a informao seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nvel pode modificar a sintaxe da mensagem,
sempre preservando sua semntica.
O nvel de apresentao tambm responsvel por
outros aspectos da representao dos dados, como
criptografia e compresso de dados.
2 - OSI, TCP/IP e protocolos
72
7 - Camada de aplicao
Muito confundem aplicao com aplicativo.
Usurio interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicao( HTTP, SMTP, FTP, SSH, Telnet ...).
HTTP
HTTPS
DNS
73
Protocolos
74
Endereo IP
o endereo lgico de um dispositivo de rede.
usado para comunicao entre redes.
Endereo IPv4 um numero de 32 bits divido
em 4 parte separado por pontos.
Exemplo de endereo IP: 200.200.0.1.
2 - OSI, TCP/IP e protocolos
75
Sub Rede
Como o prprio no j diz (sub rede) a uma parte de rede ou seja uma rede que foi
dividida.
O tamanho de uma sub rede determinado por sua mscara de sub rede.
O endereo de IP geralmente acompanhado da mascara de sub rede.
Com esses dois dados (Endereo IP e mascara de sub rede) podemos dimensionar onde
comea e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereo de REDE o primeiro IP da sub rede.
O endereo de BROADCAST o ltimo IP da sub rede.
Esses endereos(Rede e broadcast) so reservados e no podem ser usados.
End IP/Mas
10.1.2.3/8
10.1.2.3/16
10.1.2.3/24
End de Rede
10.0.0.0
10.1.0.0
10.1.2.0
End de Broadcast
10.255.255.255
10.1.255.255
10.1.2.255
76
Protocolos - IP
Usado para identificar logicamente um host.
Possui endereos pblicos e privados.
Possui duas verses IPv4 (quase esgotado) e IPv6.
77
Endereamento CIDR
78
Protocolos - ARP
ARP Address resolution protocol ou simplesmente
protocolo de resoluo de endereos.
Como o prprio nome sugere esse protocolo consegue
resolver(encontrar) o endereo MAC atravs do
endereo de IP e aps feito isto o coloca em uma
tabela.
79
MSG-02
Sou eu e meu MAC
00:00:00:11:11:02
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03
80
TCP
81
Protocolos - ICMP
Internet Control Message Protocol ou protocolo de
mensagens de controle da Internet usado para relatar
erros e trocar informaes de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcanvel e/ou qual a rota para aquele host(ping e
tracert).
82
Protocolos - DNS
Domain Name System - Sistema de Nomes de
Domnios utilizado para associar nomes a
nmeros e vice-versa.
83
DHCP
84
Perguntas ?
85
Wireless no Mikrotik
5 - Wireless
86
Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar
alguns campos que iro definir caracterizas
fsicas da transmisso:
Banda
Frequncia
Largura de Canal
5 - Wireless
87
Configuraes Fsicas
Padro IEEE
Frequncia
Largura de
banda mxima
Velocidade mx
802.11b
2.4Ghz
20Mhz
11 Mbps
802.11g
2.4Ghz
20Mhz
54 Mbps
802.11a
5Ghz
20Mhz
54 Mbps
802.11n
2.4Ghz e 5 Ghz
40Mhz
300 Mbps
802.11ac
5 Ghz
80Mhz
866 Mbps
5 - Wireless
88
802.11b - DSSS
2412
2422
2432
2442
2452
2462
2402
2422
2402
2422
+
20Mhz
2402
2422
5 - Wireless
2402
2422
89
Canais no interferentes em
2.4 Ghz - DSSS
5 - Wireless
90
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
5 - Wireless
91
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
5 - Wireless
92
Padro 802.11n
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
5 - Wireless
93
MIMO
MIMO: Multiple Input and Multiple Output
5 - Wireless
94
5 - Wireless
95
96
Configurando no Mikrotik
97
Tabela de potncia
1- Introduo
98
Potncias
99
RX sensitivity
Refere a capacidade de escuta de cada equipamento.
Quanto menor melhor, pois o equipamento ser capaz enlaar com outro dispositivo
com pouco sinal.
Deve sempre ser observado na hora de fazer escolhas de equipamentos
1- Introduo
100
Data Rates
A velocidade em uma rede wireless definida pela modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as velocidades de dados entre o AP e os clientes.
Basic Rates: So as velocidades que os dispositivos se comunicam independentemente
do trfego de dados (beacons, sincronismos, etc...)
5 - Wireless
101
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
5 - Wireless
102
5 - Wireless
103
5 - Wireless
104
105
106
107
5 - Wireless
108
NV2
Proprietrio da Mikrotik (no funciona com outros
fabricantes).
Baseado em TDMA (Time Division Multiple Access).
Resolver o problema do n escondido.
Melhora throughput e latncia especialmente em PtMP.
Funcionamento do NV2
5 - Wireless
111
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
5 - Wireless
112
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
5 - Wireless
113
5 - Wireless
114
115
5 - Wireless
116
117
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.
5 - Wireless
118
5 - Wireless
119
5 - Wireless
120
121
5 - Wireless
122
Perguntas ?
5 - Wireless
123
Roteamento
6 - Roteamento
124
O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.
125
192.168.20.1
Exemplo 1
192.168.1.200/24
No necessita de roteamento
Exemplo 2
Necessita de roteamento
Origem
Destino
Origem
Destino
192.168.1.201
192.168.1.200
192.168.1.201
192.168.20.2
6 - Roteamento
126
Funcionamento padro
192.168.1.1
192.168.1.200
187.15.15.134
8.8.8.8
Pacote IP
Origem
Destino
192.168.1.99
8.8.8.8
Tabela de rotas
Encaminhe para
o roteador:
(Gateway)
0.0.0.0/0
192.168.1.1
10.10.10.0/24
192.168.4.1
10.172.0.0/23
10.172.4.1
8.8.0.0/16
10.172.5.1
127
Na tabela de rotas
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre ir utilizar
a rota mais especifica.
Tabela de rotas
A rota defult ser
Dst. Address
Gateway
0.0.0.0/0
192.168.1.1
utilizada sempre que
8.0.0.0/8
10.172.6.1
no houver uma rota
para o determinado
8.8.0.0/16
10.172.5.1
destino.
6 - Roteamento
128
Roteamento - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
172.25.2.0/24
10.10.4.0/30
6 - Roteamento
129
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs
de inseres pr-definidas em funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente
atravs de um protocolo de roteamento dinmico ou de algum
agregado de endereo IP.
130
Polticas de Roteamento
Existem algumas regras que devem ser seguidas
para se estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por
classes de endereos IP e portas.
As marcas dos pacotes devem ser adicionadas no
Firewall, no mdulo Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de
roteamento, dirigindo-os para um determinado
gateway.
possvel utilizar poltica de roteamento quando se
utiliza NAT.
6 - Roteamento
131
Polticas de Roteamento
Uma aplicao tpica de polticas de roteamento trabalhar com
dois um mais links direcionando o trfego para ambos. Por exemplo
direcionando trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro
pacote, mas to somente aps a conexo estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.
A estrtegia nesse caso colocar como gateway default um link
menos nobre, marcar o trfego nobre (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p
iro pelo link menos nobre.
6 - Roteamento
132
Polticas de Roteamento
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e checkgateway. Dessa forma o trfego
ser balanceado e ir garantir o
failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 checkgateway=ping
6 - Roteamento
133
6 - Roteamento
134
Roteamento Dinmico
6 - Roteamento
135
Roteamento Dinmico
O Mikrotik suporta os seguintes
protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
136
137
6 - Roteamento
138
6 - Roteamento
139
OSPF - reas
140
OSPF - Redes
Aqui definimos as redes OSPF
com os seguintes parmetros:
Network: Endereo IP/Mascara,
associado. Permite definir uma ou
mais interfaces associadas a uma
rea. Somente redes conectadas
diretamente podem ser adicionadas
aqui.
Area: rea do OSPF associada.
6 - Roteamento
141
OSPF - Opes
Router ID: Geralmente o IP do roteador.
Caso no seja especificado o roteador usar
o maior IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1
se tiver sido instalada como rota esttica,
dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2
se tiver sido instalada como rota esttica,
dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
6 - Roteamento
142
OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas
as rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso
habilitado, distribui as rotas cadastradas de
forma esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as
mtricas que sero exportadas as diversas
rotas.
6 - Roteamento
143
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
144
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
145
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
146
Perguntas ?
6 - Roteamento
147
Firewall no Mikrotik
7 - Firewall
148
Firewall
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao
de pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
7 - Firewall
149
Firewall - Opes
150
Estrutura do Firewall
Firewall
Tabela Filter
Tabela NAT
Canal input
Canal SRCNAT
regras
regras
regras
regras
Tabela Mangle
Canal input
regras
Canal Output
regras
Canal Output
Canal DSTNAT
regras
regras
regras
regras
Canal Forward
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras
7 - Firewall
151
Fluxo do Firewall
Chegada
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
Canal SRCNAT
Canal Input
Deciso
de
roteamento
Sada
Processo local
7 - Firewall
152
7 - Firewall
153
154
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
conntrack
Canal SRCNAT
Deciso
de
roteamento
Sada
Canal Input
Processo local
7 - Firewall
155
156
7 - Firewall
157
7 - Firewall
158
159
160
7 - Firewall
161
162
Alm dos canais criados por padro o administrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo atravs de uma
ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
7 - Firewall
163
164
7 - Firewall
165
7 - Firewall
166
167
Firewall
Protegendo o roteador
7 - Firewall
168
7 - Firewall
169
170
171
7 - Firewall
172
7 - Firewall
173
174
175
7 - Firewall
176
177
7 - Firewall
178
7 - Firewall
179
180
Firewal DDoS
Ataque DDoS:
Ataque de DDoS so bastante
parecidos com os de
DoS,porm partem de um
grande nmero de hosts
infectados.
A nica medida que podemos
tomar habilitar a opo TCP
SynCookie no Connection
Tracking do firewall.
7 - Firewall
181
Firewall - NAT
7 - Firewall
182
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alteraes de IP ou porta de origem.
7 - Firewall
183
Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o
roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
7 - Firewall
184
7 - Firewall
185
Firewall - SRCNAT
Source NAT: A ao mascarade troca o endereo IP
de origem de uma determinada rede pelo endereo IP
da interface de sada. Portanto se temos, por exemplo,
a interface ether5 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1,
podemos fazer o seguinte:
7 - Firewall
186
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de
clientes sem utilizao de endereo IP pblico.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
7 - Firewall
187
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereo IP. Dessa forma, um
endereo IP de rede local pode ser acessado
atravs de um IP pblico e vice-versa.
7 - Firewall
188
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
7 - Firewall
189
7 - Firewall
190
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a
introduo de marcas em pacotes IP ou em conexes,
com base em um determinado comportamento
especifico.
As marcas introduzidas pelo mangle so utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto no so passadas para fora.
Com o mangle tambm possvel manipular o
determinados campos do cabealho IP como o ToS,
TTL, etc...
7 - Firewall
191
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
Tambm possvel criar canais pelo prprio
usurio.
Existem 5 canais padro:
prerouting: Marca antes da fila Global-in;
postrouting: Marca antes da fila Global-out;
input: Marca antes do filtro input;
output: Marca antes do filtro output;
forward: Marca antes do filtro forward;
7 - Firewall
192
7 - Firewall
193
Firewall Mangle
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de
roteamento.
7 - Firewall
194
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no
tpico do roteamento.
7 - Firewall
195
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou
um grupo de conexes com uma marca especifica
de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada
conexo.
O uso da contrack facilita na associao de cada
pacote a uma conexo especfica.
7 - Firewall
196
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
7 - Firewall
197
Firewall Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexo
previamente criadas. Esta a forma mais rpida e
eficiente.
Diretamente: Sem o uso da connection tracking
no necessrio marcas de conexes anteriores e
o roteador ir comparar cada pacote com
determinadas condies.
7 - Firewall
198
Firewall - Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes para elaborao de QoS.
199
Firewall - Mangle
Obs.: A marcao de P2P
disponibilizada no Mikrotik no
inclui os programas
que usam criptografia.
200
Perguntas ?
7 - Firewall
201
Failover
8 - Balance e Failover
202
8 - Balance e Failover
203
204
8 - Balance e Failover
205
8 - Balance e Failover
206
Criando o script
8 - Balance e Failover
207
8 - Balance e Failover
208
8 - Balance e Failover
209
210
Funcionamento do PCC
Classificador
Denominador
Contador
Destino
192.168.1.99
8.8.8.8
Exemplo 1 - Pacote IP
Origem
Destino
192.168.1.10
8.8.8.8
8 - Balance e Failover
211
8 - Balance e Failover
212
Primeiro vamos marcar as conexes. Atente para a redes dos clientes , o denominador
(links) e o contador que inicia em zero.
8 - Balance e Failover
213
8 - Balance e Failover
214
8 - Balance e Failover
215
8 - Balance e Failover
216
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 2
gateways internet so: 10.10.10.1, 20.20.20.1
8 - Balance e Failover
217
Tneis e VPN
9 - Tuneis e VPN
218
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
9 - Tuneis e VPN
219
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
9 - Tuneis e VPN
220
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN
221
Site-to-site
9 - Tuneis e VPN
222
Conexo remota
9 - Tuneis e VPN
223
Router 2
9 - Tuneis e VPN
224
225
226
9 - Tuneis e VPN
227
228
9 - Tuneis e VPN
229
230
9 - Tuneis e VPN
231
9 - Tuneis e VPN
232
9 - Tuneis e VPN
233
234
9 - Tuneis e VPN
235
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero
mximo de sesses que o concentrador suportar.
9 - Tuneis e VPN
236
237
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em
camada 2 um protocolo de tunelamento seguro para transportar
trfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de
forma criptografada ou no e permite enlaces entre dispositivos de
redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 utilizada para o
estabelecimento do link e o trfego em si utiliza qualquer porta
UDP disponvel, o que significa que o L2TP pode ser usado com a
maioria dos Firewalls e Routers, funcionando tambm atravs de
NAT.
L2TP e PPTP possuem as mesma funcionalidades.
9 - Tuneis e VPN
238
239
9 - Tuneis e VPN
240
241
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado pra interligar duas intranets atravs da internet
usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores
baseados em Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de
monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria a
rede privada disponvel para o host que realiza o monitoramento,
sem a necessidade de criar usurio e senha como nas VPNs.
9 - Tuneis e VPN
242
Tneis IPIP
243
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces
criadas.
9 - Tuneis e VPN
244
Tneis EoIP
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
9 - Tuneis e VPN
245
Tneis EoIP
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes
e estar entre o rage: 00-00-5E80-00-00 e 00-00-5E-FF-FF-FF,
pois so endereos reservados
para essa aplicao.
O MTU deve ser deixado em
1500 para evitar fragmentao.
O tnel ID deve ser igual para
ambos.
9 - Tuneis e VPN
246
Tneis EoIP
9 - Tuneis e VPN
247
Perguntas ?
9 - Tuneis e VPN
248
10 - QoS
249
10 - QoS
250
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS
251
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
10 - QoS
252
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs, subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
10 - QoS
253
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo
que mantm e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reorden-los, e determina quais
pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a
garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que
ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.
10 - QoS
254
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: As filas so aplicadas na
interface onde o fluxo est saindo.
A limitao de banda feita mediante o descarte de
pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
10 - QoS
255
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados
por uma disciplina de filas(queue types). Por padro as disciplinas
de filas so colocadas sob queue interface para cada interface
fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
10 - QoS
256
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas so classificadas pela sua influncia
no fluxo de pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas schedulers so: PFIFO, BFIFO, SFQ,
PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
10 - QoS
257
Controle de trfego
10 - QoS
258
Controle de trfego
O controle de trfego implementado atravs
de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de
sada:
Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS
259
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
- Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
- Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
- Filters:
Utilizados para classificar os pacotes e atribu-los as classes.
- Policers: Utilizados para evitar que o trfego associado a cada
filtro ultrapasse limites pr-definidos.
10 - QoS
260
261
10 - QoS
262
10 - QoS
263
10 - QoS
264
10 - QoS
265
10 - QoS
266
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
limitar download e upload de usurios em uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
10 - QoS
267
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
10 - QoS
268
QoS - HTB
Exemplo de HTB
10 - QoS
269
QoS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais
subclasses(inner class) ou apenas uma e um qdisc(leaf classe).
10 - QoS
270
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde: de 0% a 50% da banda disponvel est em
uso.
Amarelo: de 51% a 75% da banda disponvel est
em uso.
Vermelho: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
10 - QoS
271
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global-in recebem todo trfego entrante no roteador,
antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um
totalmaxlimit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
Interface X: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
10 - QoS
272
10 - QoS
273
Filas simples
10 - QoS
274
10 - QoS
275
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
10 - QoS
276
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
parmetros:
pcq-classifier
pcq-rate
10 - QoS
277
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues
no so limitadas, ou seja, elas podero usar a largura mxima
de banda disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.
10 - QoS
278
Utilizao do PCQ
10 - QoS
279
Utilizao do PCQ
10 - QoS
280
rvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de
administrar o trfego. Com elas possvel construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relao outros, determinando assim uma
poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os
filtros so apenas marcas que o firewall faz no fluxo de pacotes na opo
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em
uma interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o
trfego globalin e/ou global-out, limitao por cliente na interface de
sada. Se configurado filas simples e rvores de filas no mesmo roteador,
as filas simples recebero o trfego primeiro e em seguida o classificaro.
10 - QoS
281
rvores de Fila
As rvores de fila so
configuradas em queue tree.
Dentre as propriedades
configurveis podemos destacar:
Escolher uma marca de trfego
feita no firewall mangle;
parente-class ou interface de
sada;
Tipo de fila;
Configuraes de limit-at,
max-limit,priority e burst.
10 - QoS
282
rvores de Fila
283
rvores de Fila
10 - QoS
284
rvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda dividida entre as outras leaf-queue.
10 - QoS
285
Perguntas ?
10 - QoS
286
HotSpot no Mikrotik
3 - Hotspot
287
Estrutura do Hotspot
Servidor de hotspot (Servers)
Usurios (Users)
288
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.
3 - Hotspot
289
HotSpot
3 - Hotspot
290
HotSpot
Apesar de ter sido bem simples a criao do
Hotspot o RouterOS criou algumas regras
necessrias para o funcionamento.
3 - Hotspot
291
3 - Hotspot
292
3 - Hotspot
293
HTTPS: Usa tnel SSL criptogrfado. Para que este mtodo funcione,
um certificado vlido deve ser importado para o roteador.
3 - Hotspot
294
Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) um
protocolo de rede que prov de forma centralizada
autenticao, autorizao e contabilizao(Accounting em
ingls).
Autenticao
Roteador de borda
Internet
Roteadores buscando
autenticao no Radius
Servidor Radius 172.31.31.2
3 - Hotspot
295
3 - Hotspot
296
3 - Hotspot
297
298
3 - Hotspot
299
300
3 - Hotspot
301
302
HotSpot Usurios
3 - Hotspot
303
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
3 - Hotspot
304
HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot
305
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
3 - Hotspot
306
307
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.
3 - Hotspot
308
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
3 - Hotspot
309
3 - Hotspot
310
311
312
3 - Hotspot
313
HotSpot Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio
a fazer o login novamente.
3 - Hotspot
314
HotSpot Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos
helpers.
315
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina
especifica.
login.html pgina de login que pede usurio e senha ao
cliente.
Esta pgina tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que
ser aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com
sucesso.
3 - Hotspot
316
3 - Hotspot
317
Perguntas ?
3 - Hotspot
318
Web Proxy
4 - Web proxy
319
Web Proxy
Com o servio de web proxy podemos fazer
cache de objetos da internet e com isso
economizar banda.
Tambm possvel utilizar o web proxy como
filtro de contedo sem a necessidade de fazer
cache.
4 - Web proxy
320
4 - Web proxy
321
4 - Web proxy
322
4 - Web proxy
323
4 - Web proxy
324
4 - Web proxy
325
4 - Web proxy
326
327
4 - Web proxy
328
4 - Web proxy
329
4 - Web proxy
330
4 - Web proxy
331
4 - Web proxy
332
333
334
4 - Web proxy
335
336
337
4 - Web proxy
338
4 - Web proxy
339
Perguntas ?
4 - Web proxy
340
11 - The Dude
341
342
343
No Linux:
Instalar o wine e a partir da proceder como no
windows.
11 - The Dude
344
11 - The Dude
345
11 - The Dude
346
11 - The Dude
347
11 - The Dude
348
11 - The Dude
349
11 - The Dude
350
11 - The Dude
351
11 - The Dude
352
11 - The Dude
353
11 - The Dude
354
11 - The Dude
355
11 - The Dude
356
11 - The Dude
357
Perguntas ?
11 - The Dude
358