Académique Documents
Professionnel Documents
Culture Documents
Horario
09:00 10:30 Sesin I
10:30 11:00 Break
Introduccin personal
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?
ISP pequeo
Situacin:
Solo una direccin IP pblica.
El ISP no tiene un DNS Server
con problemas peridicos de
virus en la red
Requerimientos:
Masquerade
Basic IP filter
Primeros Clientes:
Conectarlos a Internet
Web-server
Requerimientos
DHCP server
DNS cache
Port forwarding
uPnP
7
DNS
Domain Name System
Situacin tpica
INTERNET
Situacin
Solo una IP pblica
ISP no tiene DNS Server
ISP tiene peridicos problemas
con virus en su red
Requerimientos
Masquerade
Filtro IP bsico
DHCP server
DNS cache
Port forwarding
uPnP
10
Nota
Si se usa use-peer-dns=yes, entonces el DNS Primario
cambiar a la direccin DNS dada por el DHCP Server
13
Ejemplo DNS
Para configurar 159.148.60.2 como DNS
Server Primario, y permitir al Router ser usado
como DNS Server:
ip dns set primary-dns=159.148.60.2 allow-remote-requests=yes
14
15
ADDRESS
74.125.53.9
74.125.45.9
74.125.77.9
209.85.137.9
72.14.203.9
74.125.95.9
64.14.29.53
69.63.191.219
69.63.185.11
69.63.191.91
69.63.176.101
69.63.179.22
TTL
20h36m25s
20h36m3s
20h37m59s
20h18m18s
20h36m25s
20h37m44s
1d19h48m24s
1h5m57s
47m41s
49m58s
47m41s
1m53s
16
17
18
- negative
TYPE DATA
NS
b.l.google.com
NS
d.l.google.com
NS
g.l.google.com
NS
a.l.google.com
NS
e.l.google.com
NS
f.l.google.com
A
74.125.53.9
A
74.125.45.9
A
74.125.77.9
A
209.85.137.9
A
72.14.203.9
A
74.125.95.9
NS
ns1.acresso.com
TTL
19h52m9s
19h52m9s
19h52m9s
19h52m9s
19h52m9s
19h52m9s
20h35m18s
20h34m56s
20h36m52s
20h17m11s
20h35m18s
20h36m37s
1d23h34m32s
19
DNS Esttico
Mikrotik RouterOS tiene un DNS Server
embebido en DNS Cache.
Permite enlazar los nombres de dominio con
IPs para avisar a los clientes DNS.
Se puede usar tambien para dar informacin
falsa a los clientes. Ej: cuando se resuelva
cualquier requerimiento DNS (o a todo el
internet) se redireccione a su propia pgina
20
DNS Esttico
El Server es capaz de resolver requerimientos
DNS basados en expresiones regulares POSIX. Por
lo tanto mltiples requerimientos pueden
coincidir con la misma entrada.
En caso de que una entrada no est acorde con
los estndares DNS, es considerada una
expresin regular y se la marca con R
La lista es ordena y chequeada de arriba hacia
abajo
Las expresiones regulares se chequean primero, y
luego los regisrtos planos.
21
DNS Esttico
22
23
DHCP
Dynamic Host Configuration Protocol
25
DHCP
DHCP se usa para la distribucin dinmica de
configuraciones de red tales como:
IP address y netmask
Default Gateway
Direcciones de servidores DNS y NTP
Ms de 100 otras opciones (soportadas
nicamente por clientes DHCP especficos)
DHCP
DHCP Server siempre escucha en UDP 67
DHCP Cliente escucha en UDP 68
La negociacin inicial involucra la
comunicacin entre direcciones broadcast.
En algunas fases el sender usa direccin
origen 0.0.0.0 y/o direcciones destino
255.255.255.255
Se debe tener cuidado de esto cuando se
construye un firewall
27
DHCP Offer
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp,
src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
DHCP Request
src-mac=<client>, dst-mac=<broadcast>, protocol=udp,
src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Acknowledgment
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp,
src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
28
29
1 direccin
1 netmask
1 default gateway
2 direcciones DNS server
2 direcciones NTP server
DHCP Client
31
DHCP Server
Solo puede haber un DHCP Server por
combinacin interface/relay
Para crear un DHCP Server se debe tener
Direccin IP en la interface DHCP Server deseada
Pool de direcciones (address pool) para los clientes
Informacin sobre la red DHCP
DHCP Server
33
DHCP Networks
En el men DHCP Networks se puede configurar
opciones especficas DHCP para una red particular
Algunas de las opciones estn integradas en el
RouterOS, otras pueden ser asignadas en forma
cruda
Informacin adicional:
http://www.iana.org/assignments/bootp-dhcp-parameters/
DHCP Networks
35
DHCP Options
Opciones DHCP implementadas
DHCP Options
37
IP Address Pool
Los IP Address Pool son usados para definir el
rango de direcciones IP para distribucin
dinmica (DHCP, PPP, HotSpot)
Los Address Pool deben excluir las direcciones
ya ocupadas (direcciones estticas o de
servers)
Es posible asignar ms de un rango a un Pool
Es posible encadenar varios Pools usando la
opcin Next Pool
38
IP Address Pools
39
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
10
11
12
13
14
prxima direccin
direccin en uso
direccin no usada
40
43
DHCP Relay
DHCP Relay es un proxy que permite recibir un
DHCP Discovery y un DHCP Request y reenviarlos
al DHCP Server
Solo puede haber un DHCP Relay entre el DHCP
Server y el Cliente DHCP
La comunicacin DHCP con Relay no requiere de
direccin IP en el Relay, sin embargo la opcin
local address del Relay debe ser la misma que
la configurada en la opcin relay address del
Server.
44
DHCP Relay
45
Laboratorio DHCP
Crear 3 configuraciones independientes
Crear DHCP Server para su laptop
Crear DHCP Server y relay para su laptop vecina
(usar la opcin relay)
Crear una red bridged con 2 DHCP Servers y 2
DHCP Cients (laptops) y probar las opciones
authoritative y delay threshold
46
Name=To-DHCP-Server
192.168.0.2/24
DHCP-Relay
Name=Local1
192.168.1.1/24
192.168.1.0/24
DHCP Client
Name=Local2
192.168.2.1/24
192.168.2.0/24
DHCP Client
47
DHCP-Relay
48
Name=Public
DHCP-client
NAT
DHCP-Server
2 Pools
Pool1 range=192.168.1.11-192.168.1.100
Pool2 range=192.168.2.11-192.168.2.100
Name=To-DHCP-Relay
192.168.0.1/24
Name=To-DHCP-Server
192.168.0.2/24
DHCP-Relay
Name=Local1
192.168.1.1/24
192.168.1.0/24
DHCP Client
Name=Local2
192.168.2.1/24
192.168.2.0/24
DHCP Client
49
Firewall
50
52
Connection Tracking
Conntrack System: es el corazn del firewall.
Obtiene y maneja la informacin de TODAS las
conexiones activas
Si se dehabilita el conntrack system se perder la
funcionabilidad del NAT y tambien la mayora de
los filtros y de las conexiones de mangle
Cada entrada en la tabla conntrack representa un
intercambio bidireccional de datos
Conntrack hace uso de gran cantidad de recursos
de CPU. Solo debe ser desahibilitado si no se usa
el firewall
53
54
Conntrack System
55
57
Chain Input
Proteccin del router - permitiendo solamente
los servicios necesarios de fuentes confiables
con carga satisfactoria
58
59
60
61
Prximos problemas
Problemas:
Ping flood
Port scan
DoS attack
DDoS attack
63
Ping Flood
Ping flood usualmente
consiste de volmenes
de mensajes ICMP
aleatorios
Con la condicin limit
es posible limitar la
regla para que coincida
con un lmite dado
Esta condicin se usa
frecuentemente con la
accin log
64
65
66
67
Chain ICMP
Estas reglas forman el "chain" ICMP a las cuales se saltara hacia y desde.
Se limita varios paquetes ICMP para detener el ping flooding
/ip firewall filter
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5
action=accept comment="0:0 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5
action=accept comment="3:3 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5
action=accept comment="3:4 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5
action=accept comment="8:0 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5
action=accept comment="11:0 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp action=drop comment="Drop everything
else" disabled=no
69
Port Scan
Port Scan es una
indagacin secuencial
de puertos TCP (UDP)
PSD (Port Scan
Detection) es posible
solo para el protocolo
TCP
Puertos bajos
De 0 a 1023
Puertos altos
De 1024 a 65535
70
Ataques DoS
El principal objetivo de los ataques DoS es el
consumo de recursos, como el tiempo de CPU o
el ancho de banda, por lo que los servicios
estndares obtendrn un Denial of Services (DoS)
Usualmente el router es inundado con paquetes
TCP/SYN (requerimiento de conexin).
Ocasionando que el server responda con un
paquete TCP/SYN-ACK, y esperando por un
paquete TCP/ACK
La mayora de atacantes DoS son clientes
infectados de virus
71
73
76
Ataques DDoS
Un ataque Distributed
Denial of Service es
muy similar al ataque
DoS, y ocurre desde
mltiples sistemas
comprometidos
La nica cosa que
podra ayudar es la
opcin TCPSyn
Cookie en el
Conntrack System
77
78
Servicios de RouterOS
79
Chain Services
Los siguientes son servicios que permite a CUALQUIERA acceder al router.
La mayora estn deshabilitados por default
Usualmente los siguientes servicios deberan estar siempre disponibles
MAC Telnet
Bandwidth Test Server
MT Discovery
/ip firewall filter
add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1
action=accept comment="accept localhost" disabled=no
add chain=services protocol=udp dst-port=20561 action=accept comment="allow
MACwinbox " disabled=no
add chain=services protocol=tcp dst-port=2000 action=accept
comment="Bandwidth server" disabled=no
add chain=services protocol=udp dst-port=5678 action=accept comment=" MT
Discovery Protocol" disabled=no
add chain=services protocol=tcp dst-port=161 action=accept comment="allow
SNMP" disabled=yes
80
Chain Services
/ip firewall filter
add chain=services protocol=udp dst-port=123 action=accept comment="Allow
NTP" disabled=yes
add chain=services protocol=tcp dst-port=1723 action=accept comment="Allow
PPTP" disabled=yes
add chain=services protocol=gre action=accept comment="allow PPTP and EoIP"
disabled=yes
add chain=services protocol=tcp dst-port=53 action=accept comment="allow
DNS request" disabled=yes
add chain=services protocol=udp dst-port=53 action=accept comment="Allow
DNS request" disabled=yes
add chain=services protocol=udp dst-port=1900 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=tcp dst-port=2828 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=udp dst-port=67-68 action=accept comment="allow
DHCP" disabled=yes
add chain=services protocol=tcp dst-port=8080 action=accept comment="allow
Web Proxy" disabled=yes
add chain=services protocol=tcp dst-port=443 action=accept comment="allow
https " disabled=yes
add chain=services action=return comment="" disabled=no
81
83
Chain Forward
Proteccin a los clientes de virus y Proteccin
del internet de los clientes
84
85
Control de Virus
Filtro para descartar todos los paquetes no-deseados que parezcan
venir de equipos infectados.
En lugar de aadir esta regla en el chain forward, vamos a crear un
nuevo chain para todo el trafico netbios (y similar)
/ip firewall filter
add chain=virus protocol=tcp dst-port=135-139 action=drop
comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop
comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop
comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop
comment="Drop Blaster Worm"
86
Control de Virus
/ip firewall filter
add chain=virus protocol=tcp
add chain=virus protocol=tcp
comment="________"
add chain=virus protocol=tcp
MyDoom"
add chain=virus protocol=tcp
add chain=virus protocol=tcp
requester"
add chain=virus protocol=tcp
add chain=virus protocol=tcp
cast"
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
Virus"
add chain=virus protocol=tcp
Dumaru.Y"
87
Control de Virus
/ip
add
add
add
add
firewall filter
chain=virus protocol=tcp
chain=virus protocol=tcp
chain=virus protocol=tcp
chain=virus protocol=tcp
OptixPro"
add chain=virus protocol=tcp
add chain=virus protocol=udp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
add chain=virus protocol=tcp
Agobot, Gaobot"
88
89
91
Bogon IPs
Hay aproximadamente 4,3 billones de direcciones IPv4
Hay varios rangos de direcciones IP restringidas en la red pblica
Hay varios rangos de IP reservados (que no se usan hasta el
momento) para propsitos especficos
Hay muchos rangos de IP sin usar
http://www.iana.org/assignments/ipv4-address-space/
92
Bogon IPs
0.0.0.0/8 reserved for self-identification [RFC3330]
10.0.0.0/8 (10.x.x.x)
127.0.0.0/8 is reserved for Loopback [RFC3330]
169.254.0.0/16 reserved for Link Local [RFC3330]
93
95
96
97
Tipos de NAT
Puesto que hay solo 2 direcciones IP y 2 puertos
en una cabecera de paquete IP, solo hay 2 tipos
de NAT
El uno, re-escribe la direccion IP origen y/o el puerto =
source NAT (src-nat)
El otro, re-escribe la direccin IP destino y/o el puerto
= destination NAT (dst-nat)
Dst-nat
Las reglas de Firewall NAT estn organizadas en
cadenas (chains)
Existe 2 chains por default
Dstnat: procesa el trfico enviado hacia y a travs del
router, antes de dividirlo en los chain input y
forward del firewall filter
Srcnat: procesa el trfico enviado desde y hacia el
router, despus que ha sido fusionado de los chain
output y forward del firewall filter
Diagrama de IP Firewall
101
Dst-nat
La accin dst-nat cambia la direccin y
puerto destino del paquete a una direccin y
puerto especificado
Esta accin solo puede hacerse en el chain
dstnat
Aplicacin tpica: asegurar el acceso a los
servicios de red local desde redes pblicas
102
Ejemplo de dst-nat
103
Redirect
Cambia la direccin destino del paquete a la
direccin y puerto especificado del router
Esta accin solo puede ejecutarse en el chain
dstnat
Aplicacin tpica: hacer proxy transparente de
servicios de red (DNS, HTTP)
104
105
Redirect - Laboratorio
Capturar todos los paquetes TCP y UDP en el
puerto 53 originados en su red privada
192.168.XY.0/24 y redireccionarla al router
Configurar los DNS Server de las laptops para
que tome las direcciones automticamente
Limpiar los cache de los DNS de los routers y
de los browsers
Intentar navegar a internet
Revisar el DNS cache del router
106
Dst-nat Laboratorio
Capturar todos los paquetes TCP en puerto 80
originados en la red privada 192.168.XY.0/24 y
cambiar la direccin destino a 10.1.1.254
usando la regla dst-nat
Limpiar el cache del browser y de las laptops
Intentar navegar a internet
107
Universal Plug-and-Play
Mikrotik RouterOS permite habilitar el soporte
UPnP para el router
UPnP permite establecer conectividad en ambas
direcciones incluso si el cliente esta detrs de un
NAT. El cliente debe tener tambien soporte UPnP
Existen 2 tipos de interfaces de tipo UPnP
habilitados en el router
Internal: a la que estan conectados los clientes locales
External: a la que esta conectada Internet
108
Universal Plug-and-Play
109
Situacin:
Usted tiene direcciones IP privadas y
direcciones pblicas /30.
Usted algunas veces alcanza la velocidad
lmite del ISP (5Mbps/5Mbps)
Requerimientos:
Direcciones IP pblicas para clientes VIP
Garantizar la velocidad para los clientes
VIP
Clients:
I love my ISP
Web-server
VIP client 2
VIP client 1
110
NAT Helpers
Se puede especificar puertos para los NAT Helpers que
ya existen, pero no se puede aadir nuevos Helpers
112
Laboratorio src-nat
Se le ha asignado una direccin IP pblica
10.1.1.XY/24
Aada la regla src-nat para ocultar su red
privada 192.168.XY.0/24 detrs de la red pblica
Conctese desde su laptop usando Winbox, SSH,
o Telnet a travs de su router al gateway principal
10.1.1.254
Verifique la direccin IP desde la cual se est
conectando (use /user active print en el
gateway principal)
113
Firewall Mangle
Marcado de paquetes IP y ajuste de campos de
cabecera IP
114
Que es Mangle?
Permite marcar los paquetes IP con marcas
especiales
Estas marcas son usadas por otros recursos
como ruteo y admistracin de ancho de banda
para identificar los paquetes
Adicionalmente el Mangle se usa para
modificar algunos campos en la cabecera IP,
como los campos TOS (DSCP) y TTL
115
117
Marcando Conexiones
Se usa mark-connection para identificar uno o
un grupo de conexiones
Las marcas de conexiones son almacenadas in
tabla connection tracking
Solo puede haber una marca de conexin para
una conexin
Connection Tracking ayuda a asociar cada
paquete a una conexin especfica
(connection mark)
119
120
Marcado de Paquetes
Los paquetes pueden ser marcados
Indirectamente: usando el recurso Connection
Tracking, basado en conecction marks creados
previamente (es ms rpido)
Directamente: sin el Connection Tracking. No se
necesitan connection marks, el router comparar
cada paquete en base a una conexin dada. Este
proceso imita algo de las caractersticas del
connection tracking
121
122
124
Cambiando el TTL
126
HTB
Hierarchical Token Bucket
127
HTB
Toda la implementacin de Calidad de Servicio
(QoS) en RouterOS est basado en HTB
HTB permite crear una estructura de cola
jerrquica y determinar relaciones entre colas
padres e hijos, y la relacin entre las colas
hijos
RouterOS soporta 3 HTBs virtuales (global-in,
global-total, global-out) y una ms justo antes
de cada interface
128
Mangle y HTBs
129
HTB (cont.)
Cuando el paquete viaja a travs del router,
pasa todos los 4 rboles HTB
Cuando el paquete viaja hacia el router, pasa
solamente los HTB global-in y global-total
Cuando el paquete viaja desde el router pasa
por global-out, global-total y la interface HTB
130
HTB - Estructura
Tan pronto como una cola tiene por lo menos un
hijo, se vuelve una cola padre
Todas las colas hijos (no importa cuantos niveles
de padres ellos tengan) estn en el mismo nivel
bajo de HTB
Las colas hijo son las que efectan el consumo de
trfico, las colas padre son responsables
nicamente de la distribucin del trfico
Las colas hijo obtendrn primero el limit-at y
luego el resto del trfico ser distribuido por los
padres
131
HTB - Estructura
132
Dual Limitation
La tasa mxima (maximal rate) del padre debe
ser igual o mayor que la suma de los CIR de los
hijos
MIR (parent) >= CIR (child1)++CIR(child N)
HTB limit-at
135
HTB limit-at
Resultado
Queue03 recibir 6Mbps
Queue04 recibir 2Mbps
Queue05 recibir 2Mbps
Clarification: HTB was build in a way, that, by satisfying all limit-ats, main
queue no longer have throughput to distribute
136
HTB max-limit
137
HTB max-limit
Resultado
Queue03 recibir 2Mbps
Queue04 recibir 6Mbps
Queue05 recibir 2Mbps
Clarification: After satisfying all limit-ats HTB will give throughput to queue
with highest priority.
138
140
Resultado
Clarification: After satisfying all limit-ats HTB will give throughput to queue with
highest priority. But in this case inner queue Queue02 had limit-at specified, by
doing so, it reserved 8Mbps of throughput for queues Queue04 and Queue05.
From these two Queue04 have highest priority, that is why it gets additional
throughput.
141
142
Resultado
Clarification: Only by satisfying all limit-ats HTB was forced to allocate 20Mbps 6Mbps to Queue03, 2Mbps to Queue04, 12Mbps to Queue05, but our output
interface is able to handle 10Mbps. As output interface queue is usually FIFO
throughput allocation will keep ratio 6:2:12 or 3:1:6
143
Queue Tree
Estructura Avanzada de Colas
144
Queue Tree
Es una implementacin directa de HTB
Cada cola en queue tree puede ser asignada nicamente
en un HTB
Cada cola hijo DEBE tener un packet mark asignado a l
145
HTB Lab
Crear un Queue Tree del laboratorio anterior
Extender la configuracin del Mangle y del Queue Tree para
priorizar el trfico ICMP y HTTP sobre todo el resto de trfico
SOLAMENTE para clientes vlidos
Reemplace el packet-mark de los clientes vlidos con 3 marcas
especficas de tipo de trfico
Cree 3 colas hijo para las colas de clientes vlidos en queue tree
Asigne marcas de paquetes a las colas
Situacin:
Su red est creciendo rpidamente y
ahora oferce IPs pblicas a sus clientes
Requerimientos:
Transferir todos los viejos clientes
de las direcciones locales a
direcciones pblicas
Incrementar el desempeo de la
navegacin
148
Note que el actual burst period no es igual al bursttime. Puede ser varias veces ms corto que el bursttime dependiendo del histrico de los parmetros
max limit, burst-limit, burst-threshold, y actual data
rate (ver el grfico ejemplo en el siguiente slide)
longest-burst-time = burst-threshold * burst-time / burst-limit
152
Burst
153
Burst (Parte 2)
154
Web proxy
Web-proxy tiene 3 carctersticas principales
Caching de trfico HTTP y FTP
Filtro de nombres DNS
Redireccionamiento de DNS
Web-proxy Caching
No caching
Max-cache-size = none
Cache to RAM
Max-cache-size none
Cache-on-disk = no
Cache to HDD
Max-cache-size none
Cache-on-disk = yes
Cache drive
156
Opciones Web-Proxy
Maximal-clientconnections - number of
connections accepted
from clients
Maximal-serverconnections - number of
connections made by
server
157
Opciones Web-proxy
Serialize-connections: usa solo una conexin
para la comunicacin proxy y server (si el server
soporta conexin HTTP persistente)
Always-from-cache: ignora las peticiones
refresh del cliente si el contenido es fresco
Max-fresh-time: especifica cunto tiempo los
objetos sin un tiempo de expiracin explcita
sern considerados frescos
Cache-hit-DSCP: especifica el valor DSCP para
todos los paquetes generados desde el webproxy cache
158
Estadsticas Web-proxy
159
Proxy Rules
Es posible interceptar
requerimientos HTTP
basados en
Informacin TCP/IP
URL
Mtodo HTTP
URL Filtering
http://www.mikrotik.com/docs/ros/2.9/graphics:packet_flow31.jpg
Destination host
Destination path
Caracteres especiales
* cualquier nmero de caracteres
? cualquier carcter
www.mi?roti?.com
www.mikrotik*
*mikrotik*
162
Expresiones Regulares
Ubique : al comienzo para habilitar un modo de
expresin regular
^ mostrar que ningn smbolo es permitido antes
del patrn dado
$ mostrar que ningn smbolo es permitido despus
del patrn dado
[.] una clase de caracter concuerda con un simple
caracter de todas las posibiliades ofrecidas por la clase
de caracteres
\ (backslash) seguido de cualquier [\^$.|?*+()
suprime su significado especial
163
Laboratorio Web-Proxy
Habiltar el transparent web-proxy en su
router haciendo caching a la memoria
Crear reglas en el access list para chequear su
funcionalidad
Crear reglas en el direct access list para
chequear su funcionalidad
Crear reglas en el cache list para chequear su
funcionalidad
164
Tipos de Queue
RouterOS tiene 4 tipos de colas:
FIFO: First In First Out (para Bytes o para Paquetes)
RED: Random Early Detect (o Drop)
SFQ: Stochastic Fairness Queuing
PCQ: Per Connection Queuing (Propietario de
MikroTik)
100% Shaper
www.mikrotikxperts.com
166
100% Scheduler
www.mikrotikxperts.com
167
168
FIFO (comportamiento)
Lo que llega primero se maneja primero, lo que llega
despus espera hasta que el primer paquete es finalizado.
El nmero de unidades de espera (Paquetes o Bytes) es
limitado por la opcin queue size. Si el queue est lleno
las siguientes unidades son descartadas
169
170
171
RED (comportamiento)
Similar a FIFO con la carcterstica
de que existe la probabilidad de un
drop adicional incluso si el queue
no est lleno
Esta probabilidad se basa en la
comparacin del promedio de la
longitud del queue sobre algn
perodo de tiempo para un
threshold mnimo o mximo.
Mientras ms cercano est al
mximo Threshold es ms grande
la probabilidad de que se haga un
drop
172
173
SFQ (comportamiento)
Basado en el valor hash de las direcciones origen y
destino, el SFQ divide el trfico en 1024 sub-streams
Entonces el algoritmo Round Robin distribuir igual
cantidad de trfico a cada sub-stream
174
175
Ejemplo SFQ
SFQ debera ser usado para balancear
conexiones similares
SFQ se debe usar para administrar el flujo de
informacin hacia o desde los servers, por lo
tanto puede ofrecer servicios a cada cliente
Ideal para la limitacin de trfico P2P. Es
posible ubicar lmites estrictos sin hace drop
a las conexiones
176
PCQ (comportamiento)
El trfico se divide en sub-streams. Cada sub-stream
puede ser considerado como una cola FIFO con un
tamao de queue especificado por la opcin limit
Despus este PCQ puede ser considerado como un
FIFO queue donde el queue size es especificado por la
opcin total-limit
177
178
179