Lancore Mikrotik Mtcna

TREINAMENTO MIKROTIK
CERTIFICAO MTCNA
Produzido por: MKT Solutions
www.mktsolutions.net.br
Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs s 17:00hs
Coffe break as 10:30hs e as 15:00hs
Almoo as 13:00hs 1 hora de durao
2
ALGUMAS REGRAS IMPORTANTES
Por ser um curso oficial, o mesmo no poder ser filmado
ou gravado
Procure deixar seu aparelho celular desligado ou em modo
silencioso silencioso
Durante as explanaes evite as conversas paralelas. Elas
sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G
em seu laptop
3
ALGUMAS REGRAS IMPORTANTES
Perguntas so sempre bem vindas. Muitas vezes a sua
dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser concedido a
quem obtiver presena igual ou superior a 75%.
4
APRESENTE-SE A TURMA
Diga seu nome;
Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes; Seu conhecimento com redes;
O que voc espera do curso;
Lembre-se de seu nmero: XY
5
OBJETIVOS DO CURSO
Prover um viso geral sobre o Mikrotik RouterOS e as
RouterBoards.
Mostrar de um modo geral todas ferramentas que o Mostrar de um modo geral todas ferramentas que o
Mikrotik RouterOS dispe para prover boas solues.
6
ONDE EST A MIKROTIK ?
7
ROUTERBOARDS
So hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
RouterBoards.
8
MIKROTIK ROUTEROS
RouterOS o sistema operacional das RouterBoards e
que pode ser configurado como:
Um roteador dedicado
Controlador de banda
Firewall Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
Alm das RouterBoards ele tambm pode ser
instalado em PCs.
9
INSTALAO DO ROUTEROS
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem CD ISO bootvel imagem
Via rede com utilitrio Netinstall
10
ONDE OBTER O MIKROTIK ROUTEROS
Para obter os ltimos pacotes do Mikrotik RouterOS
basta acessar: http://www.mikrotik.com/download.html
L voc poder baixar as imagens .iso L voc poder baixar as imagens .iso
Os pacotes combinados
E os pacotes individuais
11
INSTALANDO PELO CD
Inicie o PC com o modo boot pelo CD
12
PACOTES DO ROUTEROS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o
nico que obrigatrio
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP
Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios
Arlan: Suporte a uma antiga placa Aironet antiga arlan Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial
13
PACOTES DO ROUTEROS
Radiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards
Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc... Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet
14
INSTALANDO PELO CD
Pode-se selecionar os pacotes desejados usando a barra de espaos ou a
para todos. Em seguida pressione i para instalar os pacotes selecionados.
Caso haja configuraes pode-se mant-las pressionando y.
15
INSTALAO COM NETINSTALL
Pode ser instalado em PC que boota via
rede(configurar na BIOS)
Pode ser baixado tambm em:
http://www.mikrotik.com/download.html http://www.mikrotik.com/download.html
O netinstall um excelente recurso para reinstalar
em routerboards quando o sistema foi danificado ou
quando se perde a senha do equipamento.
16
Para se instalar em uma RouterBoard, inicialmente
temos que entrar via serial, com cabo null modem e os
seguintes parametros:
Velocidade: 115.200 bps Velocidade: 115.200 bps
Bits de dados: 8
Bits de parada: 1
Controle de fluxo: hardware
17
Atribuir um IP para o Net
Booting na mesma faixa da
placa de rede da mquina
Coloque na mquina os
pacotes a serem instalados pacotes a serem instalados
Bootar e selecionar os
pacotes a serem instalados
18
PRIMEIRO ACESSO
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser
feito das seguintes maneiras:
Direto no console (em pcs)
19
Via terminal
Via telnet de MAC, atravs de outro
Mikrotik ou sistema que suporte telnet de
MAC e esteja no mesmo barramento fsico
de rede
Via Winbox
CONECTANDO....
20
Winbox
Cabo
Ethernet
CONSOLE NO MIKROTIK
Atravs do console do Mikrotik possvel acessar todas
configuraes do sistema de forma hierrquica conforme os
exemplos abaixo:
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet [admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
21
CONSOLE NO MIKROTIK
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para mostrar as opes
disponveis
22
CONSOLE NO MIKROTIK
Comando PRINT mostra informaes de configurao:
23
CONSOLE NO MIKROTIK
possvel monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1
status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers:
6Mbps:21(21/21),9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
24
CONSOLE NO MIKROTIK
Comandos para manipular regras
add, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Comando Export Comando Export
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando
export.
25
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo
grfico. Funciona em Windows. Para funcionar no Linux
necessrio a instalao do emulador Wine. A comunicao feita
pela porta TCP 8291 e caso voc habilite a opo Secure Mode a
comunicao ser criptografada.
26
Para baixar o winbox acesse o link:
http://www.mikrotik.com/download.html
ACESSANDO PELO WINBOX
possvel acessar o Mikrotik inicialmente sem endereo IP,
atravs do MAC da interface do dispositivo que est no
mesmo barramento fsico que o usurio. Para isso basta
clicar nos 3 pontos e selecione o MAC que aparecer.
27
CONFIGURAO EM MODO SEGURO
O Mikrotik permite o acesso ao sistema atravs do modo
seguro. Este modo permite desfazer as configuraes
modificadas caso a sesso seja perdida de forma automtica.
Para habilitar o modo seguro pressione CTRL+X.
28
Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagem ser dada:
Hijacking Safe Mode fromsomeone unroll/release/dont take it
[u/r/d]
u desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro seguro e pe a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
mensagem:
Safe Mode Released by another user
29
Todas configuraes so desfeitas caso voc perca comunicao
com o roteador, o terminal seja fechado clicando no x ou
pressionando CTRL+D.
Configuraes realizadas em modo seguro so marcadas com
uma Flag F, at que sejam aplicadas
possvel visualizar o histrico de modificaes atravs do
menu: /system history print
Obs.: O nmero mximo de registros em modo seguro de 100.
30
MANUTENO DO MIKROTIK
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento
31
ATUALIZAES
As atualizaes podem ser feitas
a partir de um conjunto de
pacotes combinados ou
individuais.
Os arquivo tem extenso .npk e Os arquivo tem extenso .npk e
para atualizar a verso basta
fazer o upload para o diretrio
raiz e efetuar um reboot.
O upload pode ser feito por FTP
ou copiando e colando pelo
Winbox.
32
PACOTES
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk e para
instal-los basta fazer o upload para o Mikrotik e instal-los basta fazer o upload para o Mikrotik e
efetuar um reboot do sistema.
Alguns pacotes como User Manager e Multicast so
exemplos de pacotes adicionais que no fazem parte do
pacote padro.
33
PACOTES
Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
Pacote marcado para
ser desabilitado
34
ser desabilitado
Pacote marcado para
ser habilitado
BACKUP
Para efetuar o backup
basta ir em Files e clicar
no boto Backup.
35
Para restaurar o backup
basta selecionar o arquivo
e clicar em Restore.
Este tipo de backup pode causar problemas de MAC
caso seja restaurado em outro hardware. Para efetuar
um backup por partes use o comando export.
LICENCIAMENTO
A chave gerada sobre
um software-id
fornecido pelo sistema.
A licena fica vinculada
ao HD ou Flash e/ou ao HD ou Flash e/ou
placa me.
A formatao com
outras ferramentas
muda o software-id
causa a perda da
licena.
36
DVIDAS ???
37
NIVELAMENTO DE CONHECIMENTOS TCP/IP
38
MODELO OSI OPEN SYSTEM INTERCONNECTION
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
39
CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de
erros
CAMADA 3 Rede: Associa endereo fsico ao endereo lgico
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
CAMADA 1 Fsica: Bits de dados
CAMADA I CAMADA FSICA
A camada fsica define as caractersticas tcnicas dos
dispositivos eltricos.
nesse nvel que so definidas as especificaes de
cabeamento estruturado, fibras pticas, etc... No caso cabeamento estruturado, fibras pticas, etc... No caso
da wireless a camada I que define as modulaes,
frequncias e largura de banda das portadores.
40
CAMADA II - ENLACE
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo e
que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
41
ENDEREO MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
42
CAMADA III - REDE
Responsvel pelo endereamento lgico dos pacotes.
Transforma endereos lgicos(endereos IPs) em endereos
fsicos de rede.
Determina que rota os pacotes iro seguir para atingir o
destino baseado em fatores tais como condies de trfego
de rede e prioridade.
43
ENDEREO IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip: 200.200.0.1
44
SUB REDE
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
45
End. IP/Mscara End. de Rede End. Broadcast
192.168.0.1/24 192.168.0.0 192.168.0.255
192.168.0.1/25 192.168.0.0 192.168.0.127
192.168.0.1/26 192.168.0.0 192.168.0.63
192.168.0.200/26 192.168.0.192 192.168.0.255
ENDEREAMENTO CIDR
46
PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL)
Utilizado para associar IPs com endereos fsicos.
Faz a intermediao entre a camada II e a camada III da
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com 1. O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu
MAC.
3. Para minimizar o broadcast, o S.O mantm um tabela ARP
constando o par (IP MAC).
47
CAMADA IV - TRANSPORTE
Quando no lado do remetente responsvel por pegar os
dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede.
No lado do destinatrio pega pega os pacotes recebidos da No lado do destinatrio pega pega os pacotes recebidos da
camada de rede, remonta os dados originais e os envia para
camada superior.
Esto na camada IV: TCP, UDP, RTP
48
CAMADA IV - TRANSPORTE
Protocolo TCP:
O TCP um protocolo de transporte que executa importantes
funes para garantir que os dados sejam entregues de forma
confivel, ou seja, sem que os dados sejam corrompidos ou
alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e portanto mais
rpido que o TCP. Entretanto no garante a entrega dos dados.
49
CARACTERSTICAS DO PROTOCOLO TCP
Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados
enviados pelos programas e garante o seqenciamento adequado e a
entrega ordenada de dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma Verifica a integridade dos dados transmitidos usando clculos de soma
de verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido
dos dados. Ao usar confirmaes seletivas, tambm so enviadas
confirmaes negativas para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem
usar transmisso confivel de dados baseados em sesses, como banco de
dados cliente/servidor por exemplo.
50
PORTAS TCP
Protocolo
TCP
FTP SSH Telnet WEB
51
FTP
Porta 21
SSH
Porta 22
Telnet
Porta 23
WEB
Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao
mesmo tempo, no mesmo computador, trocando informaes com
um ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais.
DIFERENAS BSICAS ENTRE TCP E UDP
TCP UDP
Servio orientado por conexo.
Servio sem conexo. No
estabelecida conexo entre os hosts.
Garante a entrega atravs do uso de
confirmao e entrega seqenciada
dos dados.
No garante ou no confirma
entrega dos dados.
52
dos dados.
Programas que usam TCP tem
garantia de transporte confivel de
dados.
Programas que usam UDP so
responsveis pela confiabilidade dos
dados.
Mais lento, usa mais recursos e
somente d suporte a ponto a ponto.
Rpido, exige poucos recursos e
oferece comunicao ponto a ponto e
multiponto.
ESTADO DAS CONEXES
possvel observar o estado das conexes no MikroTik no menu Connections.
53
DVIDAS ????
54
DIAGRAMA INICIAL
55
CONFIGURAO DO ROUTER
Adicione os ips as interfaces
56
Adicione a rota padro
1
3
57
2
4
Adicione o servidor DNS
2
1
3
58
2
4
Configurao da interface wireless
59
TESTE DE CONECTIVIDADE
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com; www.mikrotik.com;
Pingar a partir do notebook o seguinte ip: 192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
60
CORRIGIR O PROBLEMA DE CONECTIVIDADE
Diante do cenrio apresentado quais solues podemos
apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Address Translation).
61
UTILIZAO DO NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de saida do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao host
que o originou.
62
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
3
1
63
2
4
TESTE DE CONECTIVIDADE
Efetuar os testes de ping a partir do notebook;
Analisar os resultados;
Efetuar os eventuais reparos. Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa
o backup da routerboard e armazene-o no notebook. Ele
ser usado ao longo do curso.
64
GERENCIANDO USURIOS
O acesso ao roteador pode ser controlado;
Pode-se criar usurios e/ou grupos diferentes;
1
65
2
GERENCIAMENTO DE USURIOS
Adicione um novo usurio com seu nome e d a ele
acesso Full
Mude a permisso do usurio admin para Read Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
66
ATUALIZANDO A ROUTERBOARD
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.255.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejam instalados
Confira se os novos pacotes foram instalados com
sucesso.
67
WIRELESS NO MIKROTIK
68
CONFIGURAES FSICAS
Padro
IEEE
Frequncia Tecnologia Velocidades
802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps
802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54
Mbps
69
Mbps
802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54
Mbps
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e
QAM
De 6.5Mbps at 600 Mbps
802.11B - DSSS
70
CANAIS NO INTERFERENTES EM 2.4 GHZ - DSSS
Canal 1 Canal 6 Canal 11
71
2.412
GHz
2.437
GHz
2.462
GHz
CONFIGURAES FSICAS 2.4GHZ
2.4Ghz-B: Modo
802.11b, que permite
velocidades de 1 11
Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54
Mbps e utiliza OFDM.
72
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado
para ser usado somente em processo de migrao.
CANAIS DO ESPECTRO DE 5GHZ
Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:
Faixa baixa: 5150 a 5350 Mhz
Faixa mdia: 5470 a 5725 Mhz
Faixa alta: 5725 a 5850 Mhz
73
ASPECTOS LEGAIS DO ESPECTRO DE 5GHZ
Faixa Baixa Faixa Mdia Faixa Alta
Freqncias 5150-5250 5250-5350 5470-5725 5725-5850
Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz
74
Canais 4 canais 4 canais 11 canais 5 canais
Deteco de
radar
obrigatria
Deteco de
radar
obrigatria
CONFIGURAES FSICAS 5 GHZ
5Ghz: Modo 802.11a
opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps. 6Mbps a 54 Mbps.
75
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e
5Mhz de largura de banda que permite selecionar freqncias
mais especificas, porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do
modelo do carto.
CANALIZAO EM 802.11A MODOS 5MHZ E 10MHZ
Menor troughput Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
76
CANALIZAO EM 802.11A MODO TURBO
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
77
PADRO 802.11N
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
78
MIMO
MIMO: Multiple Input and Multiple Output
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e
transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
79
802.11N - VELOCIDADES NOMINAIS
80
802.11N - BONDING DOS CANAIS 2 X 20MHZ
Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia
principal principal
compatvel com os clientes legados de 20Mhz
Conexo feito no canal principal
Permite utilizar taxas maiores
81
802.11N AGREGAO DOS FRAMES
Combinando mltiplos frames de dados em um simples
frame diminui o overhead
Agregao de unidades de servio de dados MAC
MAC Protocol Data Units (AMPDU) MAC Protocol Data Units (AMPDU)
Usa Aknowledgement em bloco
Pode aumentar a latncia, por padro habilitado somente
para trfego de melhor esforo
Enviando e recebendo AMSDUs pode causar aumento
de processamento
82
CONFIGURANDO NO MIKROTIK
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena
ignorada.
HT AMSDU Limit: Mximo
AMSDU que o dispositivo pode
preparar.
HT AMSDU Threshold: Mximo
tamanho de frame que permitido
incluir em AMSDU.
83
HT Guard Interval: Intervalo de
guarda.
Any: Longo ou curto,
dependendo da velocidade de
transmisso.
Longo: Intervalo longo.
HT Extension Channel: Define HT Extension Channel: Define
se ser usado a extenso adicional
de 20Mhz.
Below: Abaixo do canal
principal
Above: Acima do canal principal
84
HT AMPDU Priorities: Prioridades do frame para qual o AMPDU
deve ser negociado e utilizado.
Quando se utiliza 2 canais ao mesmo tempo, a potncia de
transmisso dobrada.
85
BRIDGE TRANSPARENTE EM ENLACES N
WDS no suporta agregao de frames e portanto no
prov a velocidade total da tecnologia n
EoIP incremente overhead EoIP incremente overhead
Para fazer bridge transparente com velocidades
maiores com menos overhead em enlaces n devemos
utilizar MPLS/VPLS.
86
Para se configurar a bridge transparente em enlaces n,
devemos estabelecer um link AP <-> Station e configure uma
rede ponto a ponto /30.
Ex.: 172.16.0.1/30(AP) e 172.16.0.2/30(Station)
Habilitar o LDP (Label Distribution Protocol) em ambos lados. Habilitar o LDP (Label Distribution Protocol) em ambos lados.
Adicionar a wlan1 a interface MPLS
87
Configurar o tnel VPLS em ambos os lados
Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do tnel VPLS
88
BRIDGES VPLS - CONSIDERAES
O tnel VPLS incrementa o pacote. Se este pacote excede o
MPLS MTU da interface de saida, este ser fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522 ou
superior, a fragmentao pode ser evitada alterando o
MTU da interface MPLS. MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards pode
ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router
Boards
89
SETUP OUTDOOR PARA ENLACES N
Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us-los ao mesmo
tempo.
Para operao em 2 canais, usar polarizaes diferentes
Quando utilizar antenas de polarizao dupla, a isolao
mnima recomendada da antena de 25dB.
90
ENLACES N
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
91
CONFIGURAES DE CAMADA FSICA - POTNCIAS
default: No altera a potncia original do carto
cards rates: Fixa mas respeita as variaes das taxas para cada
velocidade
all rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potncias diferentes para cada
velocidade
92
CONFIGURAES DE CAMADA FSICA - POTNCIAS
Quando a opo regulatory domain est habilitada, somente as frequncias
permitidas para o pas selecionado em Country estaro disponveis. Alm
disso o Mikrotik ajustar a potncia do rdio para atender a regulamentao
do pas, levando em conta o valor em dBi informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
93
CONFIGURAES DA CAMADA FSICA SELEO DE
ANTENAS
Em cartes que tem duas saidas para
antenas, possvel escolher:
antena a: utiliza antena a(main) para tx e
rx
antena b: utiliza antena b(aux) para tx e rx antena b: utiliza antena b(aux) para tx e rx
rx-a/tx-b: recepo em a e transmisso em
b
tx-a/rx-b: transmisso em b e recepo em
a
94
CONFIGURAES DA CAMADA FSICA DFS
no radar detect: escaneia o meio e
escolhe o canal em que for encontrado o
menor nmero de redes
radar detect: escaneia o meio e espera
1 minuto para entrar em operao no 1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
Obs.: O modo DFS obrigatrio no
Brasil para as faixas de 5250-5250 e
5350-5725
95
CONFIGURAES DA CAMADA FSICA PROP. EXTENSIONS E
WMM
Proprietary Extensions: Opo com a
nica finalidade de dar compatibilidade com
chipsets Centrino.
WMM Support: QoS no meio fsico(802.11e)
enabled: permite que o outro dispositivo use
wmm
required: requer que o outro dispositivo use
wmm
disabled: desabilita a funo wmm
96
CONFIGURAES DA CAMADA FSICA AP E CLIENT TX RATE /
COMPRESSION
Defaul AP TX Rate: Taxa mxima que o
AP pode transmitir para cada um de seus
clientes. Funciona para qualquer cliente.
Default Client TX Rate: Taxa mxima
que o cliente pode transmitir para o AP. que o cliente pode transmitir para o AP.
S funciona para clientes Mikrotik.
97
Compression: Recurso de compresso em Hardware
disponvel em chipsets Atheros. Melhora o desempenho se o
cliente possuir este recurso e no afeta clientes que no
possuam o recurso. Porm este recurso incompatvel com
criptografia.
CONFIGURAES DA CAMADA FSICA DATA
RATES
A velocidade em uma rede wireless
definida pela modulao que os
dispositivos conseguem trabalhar.
Supported Rates: So as velocidades Supported Rates: So as velocidades
de dados entre o AP e os clientes.
Basic Rates: So as velocidades que
os dispositivos se comunicam
independentemente do trfego de
dados (beacons, sincronismos, etc...)
98
CONFIGURAES DA CAMADA FSICA ACK
O ACK timeout o tempo que um dispositivo wireless
espera pelo pacote ack que deve ser transmitido para
confirmar toda transmisso wireless.
Dispositiv
o A
Dispositiv
o B
Dados
ACK
confirmar toda transmisso wireless.
Dynamic: O Mikrotik calcula dinamicamente o Ack de cada
cliente mandando de tempos em tempos sucessivos pacotes com
Ack timouts diferentes e analisando as respostas.
indoors: Valor constante para redes indoors.
Pode-se tambm fixar valores manualmente.
99
CONFIGURAES DA CAMADA FSICA ACK
Tabela de valores referenciais para ACK Timeout
100
Obs.: Utilize a tabela somente para referncia inicial.
FERRAMENTAS DE SITE SURVEY - SCAN
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
101
R -> Mikrotik
N -> Nstreme
FERRAMENTAS DE SITE SURVEY USO DE
FREQUNCIAS
Mostra o uso das frequncias em
todo o espectro para site survey.
102
INTERFACE WIRELESS - ALINHAMENTO
Ferramenta de alinhamento com sinal sonoro
Colocar o MAC do AP remoto no campo Filter MAC Address
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido
Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
103
INTERFACE WIRELESS - SNIFFER
Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar
ataques do tipo deauth e ataques do tipo deauth e
monkey jack.
Pode ser arquivado no
prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
104
INTERFACE WIRELESS - SNOOPER
Com a ferramenta snooper possvel monitorar a carga de
trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da interface
105
INTERFACE WIRELESS - GERAL
Comportamento do protocolo ARP
disable: No responde a requisies
ARP. Clientes devem acessar atravs
de tabelas estticas.
proxy-arp: Passa seu prprio MAC
quando h uma requisio para algum
host interno ao roteador.
reply-only: Somente responde as
requisies. Endereos vizinhos so
resolvidos estaticamente.
106
INTERFACE WIRELESS MODO DE OPERAO
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio ap bridge: Modo de ponto de acesso. Repassa os MACs do meio
wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando
somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em
bridge com outras interfaces.
107
station pseudobridge: Estao que pode ser colocada em station pseudobridge: Estao que pode ser colocada em
modo bridge, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone: Modo idntico ao anterior,
porm passa ao AP um MAC pr determinado anteriormente.
station wds: Modo estao que pode ser colocado em bridge
com a interface ethernet e que passa os MACs de forma
transparente. necessrio que o AP esteja em modo wds.
108
alignment only: Modo utilizado para efetuar alinhamento de alignment only: Modo utilizado para efetuar alinhamento de
antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Ser visto no tpico especifico de wds.
nstreme dual slave: Ser visto no tpico especifico de nstreme.
109
INTERFACE WIRELESS AP VIRTUAL
Com as interfaces virtuais podemos montar
vrias redes dando perfis de servio diferentes.
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as
de um AP.
110
CAMADA FSICA - WIRELESS
Como trabalha o CSMA?
Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection). (Colision Detection).
Redes wireless 802.11
utilizam o mtodo
CSMA/CA (Colision
Avoidance).
111
PROTOCOLO NSTREME - CONFIGURAO
Framer Policy
Dynamic size: O Mikrotik
determina.
Best fit: Agrupa at o valor em
Frame Limit sem fragmentar.
Enable Nstreme: Habilita o nstreme.
Enable Polling: Habilita o mecanismo de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense. Recomendado.
Framer Limit: Tamanho mximo do pacote em bytes.
112
Exact Size: Agrupa at o valor em
Frame Limit fragmentando se
necessrio.
PROTOCOLO NSTREME DUAL - CONFIGURAO
113
1 Colocar a interface em modo
nstreme dual slave.
2 Adicionar uma interface Nstreme
Dual e definir quem ser TX e quem ser
RX.
Obs.: Utilize sempre canais distantes.
PROTOCOLO NSTREME DUAL - CONFIGURAO
3 Verifique o MAC escolhido pela
interface Nstreme e informe no lado
oposto.
114
4 Criar uma bridge e adicionar as
interfaces ethernet e a interface Nstreme
Dual
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
WDS & WDS MESH
115
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma uma grande rea de cobertura
utilizando vrios APs e prover mobilidade sem a
necessidade de re-conexo dos usurios. Para isso todos os
APs devem ter o mesmo SSID e mesmo canal.
116
WDS E O PROTOCOLO STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o
looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
O RSTP inicialmente elege uma root bridge e utiliza o algoritmo
breadth-first search que quando encontra um MAC pela primeira vez,
torna o link ativo. Se encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados.
No entanto possvel interferir no comportamento padro, modificando
custos, prioridades e etc...
117
Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.
Quando os custos so iguais eleita a
porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
118
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
119
WDS / WDS MESH
WDS Default Bridge: A bridge padro
para as interfaces wds.
WDS Default Cost: Custo da porta
bridge do link wds.
WDS Cost Range: Margem de custo que
pode ser ajustada com base no troughtput
do link.
WDS Mode
do link.
120
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
dynamic mesh: O mesmo que dynamic, porm com um algoritmo proprietrio
para melhoria do link. S possui compatibilidade com outros dispositivos
Mikrotik.
static: As interfaces wds devem ser adicionadas manualmente apontando o
MAC da outra ponta.
static mesh: Mesmo que o anterior, porm usando o algoritmo proprietrio da
Mikrotik.
WDS / MESH
Crie as interfaces wds e d os
seguinte parmetros:
Name: Nome da rede wds.
Master Interface: Interface que o
wds funcionar. Podendo inclusive
ser uma interface virtual.
WDS Address: Endereo MAC da
interface wds que ser conectada.
121
WDS / MESH
Testar a transparncia do link com stations-wds
Utilizar Mesh com WDS-RSTP
Testar o modo WDS Slave
122
INTERFACE WIRELESS CONTROLE DE ACESSO
A Access List utilizada pelo AP para restringir A Access List utilizada pelo AP para restringir
associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.
A comunicao entre clientes da mesma interface, virtual
ou real, tambm controlada na Access List.
123
INTERFACE WIRELESS CONTROLE DE ACESSO
O processo de associao ocorre
da seguinte forma:
1. Um cliente tenta se associar a uma interface wlan;
2. Seu MAC procurado na access list da interface wlan;
3. Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou
no;
Fowarding: Define se os clientes podero se comunicar.
124
INTERFACE WIRELESS ACCESS LIST
MAC Address: Endereo MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
ser feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado
para o cliente. para o cliente.
Client Tx Limit: Limite de trfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
125
Management Protection Key: Chave usada para evitar ataques de
desautenticao. Somente compatvel com outros Mikrotiks.
INTERFACE WIRELESS CONNECT LIST
A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix: String para conexo com AP de mesma rea
Security Profile: Definido nos perfis de segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um
AP falso.
126
SEGURANA DE ACESSO EM REDES SEM FIO
127
FALSA SEGURANA
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem o
broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik habilitando
a opo Hide SSID. a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
128
FALSA SEGURANA
Controle de MACs:
Descobrir MACs que trafegam no ar muito simples com
ferramentas apropriadas e inclusive o Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando windows, Spoofar um MAC bem simples. Tanto usando windows,
linux ou Mikrotik.
129
FALSA SEGURANA
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
130
EVOLUO DOS PADRES DE SEGURANA
131
FUNDAMENTOS DE SEGURANA
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito. As informaes no podem ser alteradas quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio. 132
PRIVACIDADE E INTEGRIDADE
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura que na porm implementado de uma forma bem mais segura que na
WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo de
Hashing Michael) e WPA2 usa CCMP(Cipher Chaining
Message Authentication Check CBC MAC)
133
CHAVE WPA E WPA2 - PSK
A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
Configure o modo de chave Configure o modo de chave
dinmico e a chave pr-
combinada para cada tipo de
autenticao.
Obs.: As chaves so alfanumricas
de 8 at 64 caracteres.
134
SEGURANA DE WPA / WPA2
Atualmente a nica maneira conhecida para se quebrar a
WPA-PSK somente por ataque de dicionrio.
Como a chave mestra PMK combina uma contra-senha Como a chave mestra PMK combina uma contra-senha
com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente impossvel.
A maior fragilidade paras os WISPs que a chave se
encontra em texto plano nos computadores dos clientes ou
no prprio Mikrotik.
135
CONFIGURANDO EAP-TLS SEM CERTIFICADOS
Crie o perfil EAP-TLS e associe a interface
Wireless cliente.
136
SEGURANA DE EAP-TLS SEM CERTIFICADOS
O resultado da negociao annima resulta em uma chave
PMK que de conhecimento exclusivo das duas partes.
Depois disso toda a comunicao criptografada por
AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com a
mesma configurao e negociar a chave normalmente como se
fosse um cliente.
Uma idia para utilizar essa configurao de forma segura
criando um tnel criptografado PPtP ou L2TP entre os
equipamentos depois de fechado o enlace.
137
TRABALHANDO COM CERTIFICADOS
Certificado digital um arquivo que identifica de forma
inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas
de CA (Certificate Authorities). de CA (Certificate Authorities).
Os certificados podem ser:
Assinados por uma instituio acreditada (Verisign, Thawte,
etc...)
Certificados auto-assinados.
138
PASSOS PARA IMPLEMENTAO DE EAP-TLS COM
CERTIFICADOS AUTO ASSINADOS
1. Crie a entidade certificadora(CA)
2. Crie as requisies de Certificados
3. Assinar as requisies na CA
4. Importar os certificados assinados para os Mikrotiks
5. Se necessrio, criar os certificados para mquinas
windows
139
EAP-TLS SEM RADIUS EM AMBOS LADOS
O metodo EAP-TLS
tambm pode ser usado
com certificados.
140
EAP-TLS SEM RADIUS EM AMBOS LADOS
Metodos TLS
dont verify certificate: Requer um
certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um certificado
e verifica se foi assinado por uma CA.
141
WPAX COM RADIUS
142
TIPOS DE EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e
ainda repassa esse mtodo para um Servidor Radius.
Prover maior nvel de segurana e necessita de certificados em
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-
mikrotik
143
EAP-TLS COM RADIUS EM AMBOS LADOS
A configurao da parte do
cliente bem simples.
Selecione o mtodo EAP-TLS
Certifique-se que os certificados
esto instalados e assinados pela
CA.
Associe o novo perfil de
segurana a interface wireless
correspondente.
144
EAP-TLS COM RADIUS EM AMBOS LADOS
No lado do AP selecione o mtodo
EAP passthrough.
Selecione o certificado Selecione o certificado
correspondente.
145
Obs.: Verifique sempre se o sistema est com o cliente NTP
habilitado. Caso a data do sistema no esteja correta, poder
causar falha no uso de certificados devido a data validade dos
mesmos.
SEGURANA DE EAP-TLS COM RADIUS
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Se um atacante tem acesso fsico ao link entre o AP e o Radius
ele pode tentar um ataque de fora bruta para descobrir a PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
146
Ponto de
fragilidade
RESUMO DOS METODOS DE IMPLANTAO
E SEUS PROBLEMAS.
WPA-PSK
Chaves presentes nos clientes e acessveis aos operadores.
Mtodo sem certificados
Passvel de invaso por equipamento que tambm opere nesse Passvel de invaso por equipamento que tambm opere nesse
modo.
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS
Mtodo seguro porm invivel economicamente e de implantao
praticamente impossvel em redes existentes.
147
RESUMO DOS METODOS DE IMPLANTAO E
SEUS PROBLEMAS.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homem do meio e pouco disponvel em
equipamentos atuais.
EPA-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos
equipamentos. Em placas PCI possvel implement-lo.
148
MTODO ALTERNATIVO COM MIKROTIK
A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir
uma chave WPA2 PSK por cliente. Essa chave configurada na
Access List do AP e vinculada ao MAC Address do cliente,
possibilitando que cada um tenha sua chave.
149
Obs.: Cadastrando as PSK na access list,
voltamos ao problema da chave ser
visvel a usurios do Mikrotik.
Por outro lado, o Mikrotik permite que essas chaves sejam
distribudas por Radius, o que torna esse mtodo muito
interessante.
Para isso necessrio: Para isso necessrio:
Criar um perfil WPA2 qualquer;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como no Radius.
150
Configurando o perfil:
151
CONFIGURANDO O RADIUS
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password:=MAC
# Mikrotik-Wireless-Psk = Chave_Psk # Mikrotik-Wireless-Psk = Chave_Psk
000C42000001 Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234
000C42000002 Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
152
CORRIGINDO O DICIONRIO DE ATRIBUTOS
VENDOR Mikrotik 14988
ATTRIBUTE Mikrotik-Recv-Limit 1 integer
ATTRIBUTE Mikrotik-Xmit-Limit 2 integer
ATTRIBUTE Mikrotik-Group 3 string
ATTRIBUTE Mikrotik-Wireless-Forward 4 integer
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Algo 6 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string
(/usr/share/freeradius/dictionary.mikrotik)
ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string
ATTRIBUTE Mikrotik-Rate-Limit 8 string
ATTRIBUTE Mikrotik-Realm 9 string
ATTRIBUTE Mikrotik-Host-IP 10 ipaddr
ATTRIBUTE Mikrotik-Mark-Id 11 string
ATTRIBUTE Mikrotik-Advertise-URL 12 string
ATTRIBUTE Mikrotik-Advertise-Interval 13 integer
ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer
ATTRIBUTE Mikrotik-Wireless-Psk 16 string
153
FIREWALL NO MIKROTIK
154
FIREWALL
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou acesso
ao roteador em si, bloquear diversos tipos de ataques e controlar
o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao de
pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
155
FIREWALL - OPES
Filter Rules: Regras para filtro de pacotes.
NAT: Onde feito a traduo de endereos e portas. NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou
esttica e que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
156
FIREWALL CANAIS DEFAULT
O Firewall opera por meio de regras. Uma regra uma
expresso lgica que diz ao roteador o que fazer com um
tipo particular de pacote.
Regras so organizadas em canais(chain) e existem 3 Regras so organizadas em canais(chain) e existem 3
canais default.
INPUT: Responsvel pelo trfego que CHEGA no router;
OUTPUT: Responsvel pelo trfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo
router.
157
FIREWALL FLUXO DE PACOTES
Interface de
Entrada
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_F
low
158
Filtro Forward
Filtro Input Filtro Output
Deciso de
Roteamento
Deciso de
Roteamento
FIREWALL PRINCPIOS GERAIS
1. As regras de firewall so sempre processadas por canal, 1. As regras de firewall so sempre processadas por canal,
na ordem que so listadas de cima pra baixo.
2. As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
3. Se um pacote no atende TODAS condies de uma
regra, ele passa para a regra seguinte.
159
FIREWALL PRINCPIOS GERAIS
4. Quando um pacote atende TODAS as condies da regra,
uma ao tomada com ele no importando as regras que
estejam abaixo nesse canal, pois elas no sero
processadas.
5. Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough, log e add to
address list.
6. Um pacote que no se enquadre em qualquer regra do
canal, por padro ser aceito.
160
FIREWALL FILTERS RULES
As regras de filtro pode ser organizadas e mostradas da As regras de filtro pode ser organizadas e mostradas da
seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
161
Algumas aes que podem ser tomadas nos filtros de firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp
reset. reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
aloca recursos.
162
FILTER RULES CANAIS CRIADOS PELO USURIO
Alm dos canais padro o administrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
atravs de uma ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
163
Aes relativas a canais criados pelo
usurio:
jump: Salta para um canal definido em
jump-target jump-target
jump target: Nome do canal para onde
se deve saltar
return: Retorna para o canal que
chamou o jump
164
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Canal
criado pelo
usurio
165
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Caso exista
alguma regra de
RETURN, o
retorno feito de
forma antecipada e
166
JUMP
REGRA
REGRA
REGRA
REGRA
RETURN
REGRA
REGRA
REGRA
REGRA
forma antecipada e
as regras abaixo
sero ignoradas.
FIREWALL ADDRESS LIST
A address list contm uma lista de endereos IP que
pode ser utilizada em vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica
usando o filtro ou mangle conforme abaixo: usando o filtro ou mangle conforme abaixo:
Aes:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Porque quanto tempo a entrada
permanecer na lista.
167
FIREWALL TCNICA DO KNOCK KNOCK
168
FIREWALL TCNICA DO KNOCK KNOCK
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam na
lista libera_winbox
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list
\
address-list=libera_winbox address-list-timeout=15m comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept
disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
169
FIREWALL CONNECTION TRACK
Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos e
timeouts. Firewalls que fazem connection track so chamados de
statefull e so mais seguros que os que fazem processamentos
stateless. stateless.
170
O sistema de connection track o corao do firewall. Ele
obtm e mantm informaes sobre todas conexes ativas.
Quando se desabilita a funo connection tracking so
perdidas as funcionalidades NAT e as marcaes de perdidas as funcionalidades NAT e as marcaes de
pacotes que dependam de conexo. No entanto, pacotes
podem ser marcados de forma direta.
Connection track exigente de recursos de hardware.
Quando o equipamento trabalha somente como bridge
aconselhvel desabilit-la.
171
LOCALIZAO DA CONNECTION TRACKING
Interface de
Entrada
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Conntrack
Conntrack
172
Filtro Forward
Deciso de
Roteamento
Deciso de
Roteamento
Conntrack
Conntrack
Estado das conexes: Estado das conexes:
established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz parte
de uma conexo que ainda no trafegou pacotes em ambas direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
173
FIREWALL
PROTEGENDO O ROTEADOR E OS CLIENTES
174
PRINCPIOS BSICOS DE PROTEO
Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.
Proteo da rede interna
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes.
175
FIREWALL TRATAMENTO DE CONEXES
Regras do canal input
Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
176
FIREWALL CONTROLE DE SERVIOS
Regras do canal input
Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
177
FIREWALL FILTRANDO TRFEGO
PREJUDICIAL/INTIL
Bloquear portas mais comuns utilizadas por vrus.
Baixar lista com portas e protocolos utilizados por
vrus. vrus.
ftp://172.31.255.1/arquivos/virus.rsc
Importar o arquivo virus.rsc e criar um jump para que
as regras funcionem.
178
FIREWALL FILTRANDO TRFEGO INDESEJVEL E
POSSVEIS ATAQUES.
Controle de ICMP
Internet Control Message Protocol basicamente uma
ferramenta para diagnstico da rede e alguns tipos de ICMP
devem ser liberados obrigatoriamente. devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
179
FIREWALL FILTRANDO TRFEGO INDESEJVEL
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos
especficos. especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes
destinados a IPs privados e uma boa prtica filtr-los.
180
FIREWAL PROTEO BSICA
Ping Flood:
Ping Flood consiste no envio de
grandes volumes de mensagens
ICMP aleatrias. ICMP aleatrias.
possvel detectar essa condio
no Mikrotik criando uma regra
em firewall filter e podemos
associ-la a uma regra de log
para monitorar a origem do
ataque.
181
Port Scan:
Consiste no escaneamento de portas TCP e UDP.
A deteco de ataques somente possvel para o protocolo TCP.
Portas baixas (0 1023)
Portas altas (1024 65535) Portas altas (1024 65535)
182
Ataques DoS:
O principal objetivo do ataque de DoS o consumo de recursos
de CPU ou banda.
Usualmente o roteador inundado com requisies de Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus em
clientes.
Todos os IPs com mais de 15 conexes com o roteador podem
ser considerados atacantes.
183
Ataques DoS:
Se simplesmente descartamos as conexes, permitiremos que o
atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a proteo em Para que isso no ocorra, podemos implementar a proteo em
dois estgios:
Deteco Criar uma lista de atacantes DoS com base em connection
limit.
Supresso Aplicando restries aos que forem detectados.
184
FIREWAL PROTEO PARA ATAQUES DOS
Criar a lista de atacantes para
posteriormente aplicarmos a
supresso adequada.
185
FIREWAL PROTEO PARA ATAQUES DOS
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando no
entanto o atacante
trafegar. trafegar.
Essa regra deve ser
colocada antes da regra de
deteco ou ento a
address list ir reescrev-
la todo tempo.
186 186
Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS, porm
partem de um grande nmero de
hosts infectados. hosts infectados.
A nica medida que podemos
tomar habilitar a opo TCP
SynCookie no Connection Track
do firewall.
187
FIREWALL - NAT
NAT Network Address Translation uma tcnica que permite
que vrios hosts em uma LAN usem um conjunto de endereos IPs
para comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT.
Src NAT: Quando o roteador reescreve o IP ou porta de origem. Src NAT: Quando o roteador reescreve o IP ou porta de origem.
Dst NAT: Quando o roteador reescreve o IP ou porta de
destino.
188
SRC DST
SRC
NAT
DST
NAT
Novo SRC DST
SRC Novo DST SRC DST
FIREWALL - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em INPUT
e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do roteador e
ATRAVS do roteador, depois que ele sai de OUTPUT e/ou
FORWARD.
189
FIREWALL NAT FLUXO DE PACOTES
Interface de
Entrada
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Conntrack
190
Filtro Forward
Deciso de
Roteamento
Deciso de
Roteamento
Conntrack dstnat srcnat
FIREWALL - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se
temos, por exemplo, a interface ether2 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1, podemos fazer o
seguinte:
191
Desta forma, todos os endereos IPs da rede
local vo obter acesso a internet utilizando o
endereo IP 185.185.185.185
FIREWALL - NAT
NAT (1:1): Serve para dar acesso bi-direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
192
FIREWALL - NAT
Redirecionamento de portas: O NAT nos possibilita redirecionar
portas para permitir acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de clientes sem utilizao
de endereo IP pblico.
193
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
FIREWALL - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
194
FIREWALL NAT HELPERS
Hosts atrs de uma rede nateada no possuem conectividade fim- Hosts atrs de uma rede nateada no possuem conectividade fim-
a-fim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers
que tm a funo de auxiliar nesses servios.
195
FIREWALL MANGLE
O mangle no Mikrotik uma facilidade que permite a introduo de
marcas em pacotes IP ou em conexes, com base em um
determinado comportamento especifico.
As marcas introduzidas pelo mangle so utilizadas em As marcas introduzidas pelo mangle so utilizadas em
processamento futuro e delas fazem uso o controle de banda, QoS,
NAT, etc... Elas existem somente no roteador e portanto no so
passadas para fora.
Com o mangle tambm possvel manipular o determinados
campos do cabealho IP como o ToS, TTL, etc...
196
FIREWALL MANGLE
As regras de mangle so organizadas em canais e obedecem
as mesma regras gerais das regras de filtro quanto a
sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:
prerouting: Marca antes da fila Global-in;
postrouting: Marca antes da fila Global-out;
input: Marca antes do filtro input;
output: Marca antes do filtro output;
forward: Marca antes do filtro forward;
197
FIREWALL DIAGRAMA DO MANGLE
Interface de
Entrada
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Mangle Input
Mangle
Output
198
Mangle
Forward
Mangle Input
Output
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Prerouting
Mangle
Postrouting
FIREWALL MANGLE
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de roteamento.
199
FIREWALL MANGLE
Marcando conexes:
Use mark-connection para identificar uma ou um grupo de
conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a uma
conexo especfica.
200
FIREWALL MANGLE
Marcando pacotes:
Indiretamente: Usando a facilidade da connection tracking,
com base em marcas de conexo previamente criadas. Esta a
forma mais rpida e eficiente. forma mais rpida e eficiente.
Diretamente: Sem o uso da connection tracking no
necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
FIREWALL ESTRUTURA
202
FIREWALL FLUXO DE PACOTES
203
FIREWALL - MANGLE
Um bom exemplo da utilizao do mangle marcando
pacotes de conexes P2P.
204
Aps marcar a conexo, agora
precisamos marcar os pacotes
provenientes desta conexo.
FIREWALL - MANGLE
Com base na conexo j
205
Com base na conexo j
marcada anteriormente,
podemos fazer as
marcaes dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os
programas que usam criptografia.
FIREWALL - MANGLE
possvel disponibilizar um modelo simples de QoS
utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:
Navegao http e https;
FTP
Email
MSN
ICMP
P2P
Demais servios
206
DVIDAS ???
207
QOS E CONTROLE DE BANDA
208
CONCEITOS BSICOS DE LARGURA E LIMITE DE
BANDA
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm
chamada de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou
seja, a quantidade em bits/s que a rede suporta. A denominao banda, designada originalmente
a um grupo de frequncias justificada pelo fato de que o limite de transferncia de dados de um
meio est ligado largura da banda em hertz. O termo banda larga denota conexes com uma
largura em hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas
convencionais (56 kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda
de 1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes
por segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou
tambm chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia
aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo,
numa velocidade de 56kbps, voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps
aproximadamente, enquanto numa banda de 256kbps, voc conseguir uma Taxa de
Transferncia de aproximadamente entre 25kbps a 30,7kbps
209
TRAFFIC SHAPING
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao do
trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o uso da
largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de tecnologias "voz
sobre ip" (VoIP), que permitem a conversao telefnica atravs da internet. O uso desta
tecnologia permite que a comunicao entre localidades distintas tenham seus custos
drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de condenada por
algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas
de gesto de dados que acompanham e analisam a utilizao e priorizam a navegao,
bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste
tipo de servio. A prtica tambm comumente adotada para outros tipos de servios, conhecidos
por demandar grande utilizao da largura de banda, como os de transferncia de arquivos, por
exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores, capturar
informaes sobre IPs acedidos, ativar gravaes automticas a partir de determinadas
condutas, reduzir ou interferir na transferncia de dados de cada utilizador, bloqueando redes
peer-to-peer (P2P) ou FTP.
210
QUALIDADE DE SERVIO
No campo das telecomunicaes e redes de computadores, o termo Qualidade
de Servio (QoS) pode tender para duas interpretaes relacionadas, mas
distintas.
Em redes de comutao de circuitos, refere-se probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes
refere-se garantia de largura de banda ou, como em muitos casos, utilizada
informalmente para referir a probabilidade de um pacote circular entre dois informalmente para referir a probabilidade de um pacote circular entre dois
pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira
procura oferecer bastantes recursos, suficientes para o pico esperado, com uma
margem de segurana substancial. simples e eficaz, mas na prtica
assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar
alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas
se os routers conseguirem servi-las com confiabilidade. Naturalmente, as
reservas podem ter um custo monetrio associado!
211
QUALIDADE DE SERVIO
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs, subredes, protocolos, servios e
outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros. Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
212
QUALIDADE DE SERVIO
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela especifica a
ordem dos pacotes que saem, podendo inclusive reorden-los, e
determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os pacotes
sero descartados.
Priority: a ordem de importncia que o trfego processado. Pode-se
determinar qual tipo de trfego ser processado primeiro.
213
FILAS - QUEUES
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam deixando o poltica de enfileiramento aos pacotes que estejam deixando o
roteador. Ou seja: As filas so aplicadas na interface onde o
fluxo est saindo.
A limitao de banda feita mediante o descarte de pacotes. No
caso do protocolo TCP, os pacotes descartados sero reenviados,
de forma que no h com que se preocupar com relao a perda
de dados. O mesmo no vale para o UDP.
214
TIPOS DE FILAS
Antes de enviar os pacotes por uma interface, eles so processados por
uma disciplina de filas(queue types). Por padro as disciplinas de filas
so colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
215
TIPOS DE FILAS
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas schedulers descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
so: PFIFO, BFIFO, SFQ, PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
216
CONTROLE DE TRFEGO
217
CONTROLE DE TRFEGO
O controle de trfego implementado atravs de dois
mecanismos:
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados. Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:
Pacotes podem ser atrasados, descartados ou priorizados.
218
CONTROLE DE TRFEGO
O controle de trfego implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO. Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro ultrapasse
limites pr-definidos.
219
CONTROLE DE TRFEGO TIPOS DE FILA
PFIFO e BFIFO: Estas disciplinas de filas so baseadas no algoritmo
FIFO(First-in First-out), ou seja, o primeiro que entra o primeiro que
sai. A diferena entre PFIFO e BFIFO que, um medido em pacotes e
o outro em bytes. Existe apenas um parmetro chamado Queue Size
que determina a quantidade de dados em uma fila FIFO pode conter.
Todo pacote que no puder ser enfileirado (se fila estiver cheia) ser Todo pacote que no puder ser enfileirado (se fila estiver cheia) ser
descartado. Tamanhos grandes de fila podero aumentar a latncia.
Em compensao prov melhor utilizao do canal.
220
RED: Random Early Detection Deteco Aleatria Antecipada um
mecanismo de enfileiramento que tenta evitar o congestionamento do link
controlando o tamanho mdio da fila. Quando o tamanho mdio da fila atinge o
valor configurado em min threshould, o RED escolhe um pacote para
descartar. A probabilidade do nmero de pacotes que sero descartados cresce
na medida em que a mdia do tamanho da fila cresce. Se o tamanho mdio da
fila atinge o max threshould, os pacotes so descartados com a probabilidade
mxima. Entretanto existem casos que o tamanho real da fila muito maior que mxima. Entretanto existem casos que o tamanho real da fila muito maior que
o max threshould ento todos os pacotes que excederem o min threshould
sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como
muito rpido funciona bem com TCP.
221
SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com
justia uma disciplina que tem justia assegurada por algoritmos de
hashing e round roubin. O fluxo de pacotes pode ser identificado
exclusivamente por 4 opes:
src-address
dst-address
src-port src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o
algoritmo round roubin distribui a banda disponvel para estas sub-filas,
a cada rodada configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses
TCP e streaming UDP) quando o link(interface) est completamente cheio.
Se o link no est cheio, ento no haver fila e, portanto, qualquer efeito, a
no ser quando combinado com outras disciplinas (qdisc).
222
SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024
sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para
garantir que as conexes no degradem. SFQ especialmente
recomendado em conexes wireless. recomendado em conexes wireless.
223
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado
para resolver algumas imperfeies do SFQ. o nico enfileiramento de
baixo nvel que pode fazer limitao sendo uma melhoria do SFQ, sem a
natureza estocstica. PCQ tambm cria sub-filas considerando o
parmetro pcq-classifier. Cada sub-fila tem uma taxa de transmisso
estabelecida em rate e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo de uma fila PCQ fica limitado ao configurado em total limit. No exemplo
abaixo vemos o uso do PCQ com pacotes classificados pelo endereo de
origem.
224
PCQ: Se os pacotes so classificados pelo endereo de origem, ento todos os
pacotes com diferentes endereos sero organizados em sub-filas diferentes.
Nesse caso possvel fazer a limitao ou equalizao para cada sub-fila com o
parmetro Rate. Neste ponto o mais importante decidir qual interface utilizar
esse tipo de disciplina. Se utilizarmos na interface local, todo o trfego da
interface pblica ser agrupado pelo endereo de origem. O que no
interessante. Mas se for empregado na interface pblica todo o trfego dos interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar
o upload dos clientes. O mesmo controle pode ser feito para o download, mas
nesse caso o classificador ser o dst. Address e configurado na interface local.
225
QOS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento
hierrquico que usual para aplicar diferentes polticas para diferentes
tipos de trfego. O HTB simula vrios links em um nico meio fsico,
permitindo o envio de diferentes tipos de trfego em diferentes links
virtuais. Em outras palavras, o HTB muito til para limitar download e
upload de usurios em uma rede. Desta forma no existe saturamento da
largura de banda disponvel no link fsico. Alm disso, no Mikrotik, largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
226
Cada class tem um pai e pode ter uma ou
mais filhas. As que no tem filhas so
colocadas no level 0, onde as filas so
mantidas e chamadas de leafs class.
Cada classe na hierarquia pode priorizar e
dar forma ao trfego.
QOS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
priority=1
priority=3
priority=5
Exemplo de HTB
227
Queue03 ir receber 6Mbps
Obs.: Neste exemplo o HTB foi configurado de
modo que, satisfazendo todas as garantias, a fila
pai no possuir nenhuma capacidade para
distribuir mais banda caso seja solicitado por uma
filha.
QOS - HTB
priority=1
priority=3
priority=5
Exemplo de HTB
228
Obs.: Aps satisfazer todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido
para a fila com maior prioridade. Mas, neste caso,
permitir-se uma reserva de 8M para as filas
Queue04 e Queue05, as quais, a que possuir maior
prioridade receber primeiro o adicional de banda,
pois a fila Queue2 possui garantia de banda
atribuida.
QOS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis
pela classificao dos pacotes para que eles sejam colocados nas
correspondentes qdisc. Todos os filtros so aplicados na fila raiz HTB
e classificados diretamente nas qdiscs, sem atravessar a rvore HTB.
Se um pacote no est classificado em nenhuma das qdiscs, enviado Se um pacote no est classificado em nenhuma das qdiscs, enviado
a interface diretamente, por isso nenhuma regra HTB aplicada aos
pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma
determinada taxa. Ela no guarda quaisquer pacotes. Uma classe
pode conter uma ou mais sub-classes(inner class) ou apenas uma e
um qdisc(leaf classe).
229
QOS - HTB
Termos do HTB:
Inner Class: Uma classe que tenha uma ou mais classes filhas
ligada a ela. No armazenam quaisquer pacotes, ento qdiscs
no podem ser associadas a elas. S fazem limitao de trfego.
Definio de prioridade tambm ignorada.
Leaf class: Uma classe que tenha classe pai, mas ainda no tem Leaf class: Uma classe que tenha classe pai, mas ainda no tem
classe filha. Leaf class esto sempre localizadas no level 0 da
hierarquia.
Self feed: Uma sada fora da rvore HTB para a interface onde
todos os pacotes das classes ativas no seu nvel de hierarquia vo.
Existe uma self feed por level, cada uma constituda por 8 self
slots, que representam prioridades.
230
QOS - HTB
Termos do HTB:
Auto slot: Um elemento de uma self feed que corresponde a cada
prioridade. Existe um auto slot por nvel. Todas as classes ativas
no mesmo nvel, com a mesma prioridade, so anexados a um
auto slot que enviam os pacotes para fora.
Active class: Uma class que est associada a um auto slot em Active class: Uma class que est associada a um auto slot em
determinado nvel.
Inner feed: Semelhante a uma self feed, constitudos de inner
self slots, presentes em cada classe interior. Existe um inner feed
por inner class.
Inner feed slot: Similar a auto slot. Cada inner feed
constitudo de inner slots os quais representam uma prioridade.
231
QOS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3 estados,
dependendo da banda que est consumindo:
Verde: de 0% a 50% da banda disponvel est em uso. Verde: de 0% a 50% da banda disponvel est em uso.
Amarelo: de 51% a 75% da banda disponvel est em
uso.
Vermelho: de 76% a 100% da banda disponvel est em
uso. Neste ponto comeam os descartes de pacotes que se
ultrapassam o max-limit.
232
QOS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global-in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de saida em geral(EGRESS Global-out: Representa todas as interfaces de saida em geral(EGRESS
queue). As filas atreladas Global-out recebem todo trfego que sai do
roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um total-
max-limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
Interface X: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
233
INTERFACES VIRTUAIS E O MANGLE
Interface de
Entrada
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Mangle Input
Mangle
234
Mangle
Forward
Mangle Input
Mangle
Output
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Prerouting
Mangle
Prerouting
Global-in
Global-out
FILAS SIMPLES
As principais propriedades configurveis de uma fila simples so:
Limite por direo de IP de origem ou destino
Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.
235
FILAS SIMPLES - BURST
Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
236
Os parmetros que controlam o burst so:
burst-limit: Limite mximo que o burst alcanar.
burst-time: Tempo que durar o burst.
burst-threshold: Patamar para comear a limitar.
max-limit: MIR
COMO FUNCIONA O BURST
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O
algoritmo calcula a taxa mdia de consumo de banda durante o burst-
time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-
limit.
237
burst-limit=512kbps
UTILIZAO DO PCQ
PCQ utilizado para equalizar cada usurio ou conexo em
particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes parmetros:
pcq-classifier
pcq-rate
238
UTILIZAO DO PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so
limitadas, ou seja, elas podero usar a largura mxima de banda
disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.
239
Caso 1 Caso 2
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 128k, Nesse caso, com o rate da fila 128k,
no existe limit-at e tem um max-
limit de 512k, os clientes recebero a
banda da seguinte forma:
240
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 0, no
241
Nesse caso, com o rate da fila 0, no
existe limit-at e tem um max-limit de
512k, os clientes recebero a banda da
seguinte forma:
ARVORES DE FILA
Trabalhar com rvores de fila uma maneira mais elaborada de administrar
o trfego. Com elas possvel construir sob medida uma hierarquia de
classes, onde poderemos configurar as garantias e prioridades de cada fluxo
em relao outros, determinando assim uma poltica de QoS para cada
fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros Os filtros de rvores de filas so aplicados na interface especifica. Os filtros
so apenas marcas que o firewall faz no fluxo de pacotes na opo mangle.
Os filtros enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego
global-in e/ou global-out, limitao por cliente na interface de sada. Se
configurado filas simples e rvores de filas no mesmo roteador, as filas
simples recebero o trfego primeiro e em seguida o classficaro.
242
ARVORES DE FILA
As rvores de fila so configuradas
em queue tree.
Dentre as propriedades
configurveis podemos destacar:
Escolher uma marca de trfego feita no Escolher uma marca de trfego feita no
firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.
243
ARVORES DE FILA
QUEUE MARCA LIMIT-AT MAX-LIMIT PRIORITY
Q1 C1 10M 30M 8
Q2 C2 1M 30M 8
Q3 C3 1M 30M 8
Q4 C4 1M 30M 8
Q5 C5 1M 30M 8
244
Q5 C5 1M 30M 8
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
ARVORES DE FILA
Filas com parent (hierarquia).
245
ARVORES DE FILA
C1 possui maior prioridade, portanto consegue atingir o
max-limit. O restante da banda dividida entre as
outras leaf-queue.
246
DVIDAS???
247
TNEIS E VPN
248
VPN
Uma Rede Privada Virtual uma rede
de comunicaes privada normalmente
utilizada por uma empresa ou
conjunto de empresas e/ou instituies,
construdas em cima de uma rede
pblica. O trfego de dados levado
pela rede pblica utilizando protocolos
padro, no necessariamente seguros. padro, no necessariamente seguros.
249
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos como a
internet por exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc...
Promover acesso seguro a servios em ambiente corporativo de Promover acesso seguro a servios em ambiente corporativo de
correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da rede
corporativa remota recebendo IPs desta e perfis de segurana
definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
250
TUNELAMENTO
A definio de tunelamento a capacidade de criar tneis entre
dois hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo
ser tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol) PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
251
PPP DEFINIES COMUNS PARA OS SERVIOS
MTU/MRU: Unidade mximas de transmisso/
recepo em bytes. Normalmente o padro ethernet
permite 1500 bytes. Em servios PPP que precisam
encapsular os pacotes, deve-se definir valores
menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o
252
Keepalive Timeout: Define o perodo de tempo em segundos aps o
qual o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
PMTUD: Se durante uma comunicao alguma estao enviar
pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU
do caminho, ento ser necessrio que haja algum mecanismo para
avisar que esta estao dever diminuir o tamanho dos pacotes
para que a comunicao ocorra com sucesso. O processo interativo
de envio de pacotes em determinados tamanhos, a resposta dos
roteadores intermediarios e a adequao dos pacotes posteriores
de envio de pacotes em determinados tamanhos, a resposta dos
roteadores intermediarios e a adequao dos pacotes posteriores
chamada Path MTU Discovery ou PMTUD. Normalmente esta
funcionalidade est presente em todos roteadores, sistemas Unix e
no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser
recebido pelo link. Se um pacote ultrapassa esse valor ele ser
dividido em pacotes menores, permitindo o melhor
dimensionamento do tnel. Especificar o MRRU significa permitir
MP (Multilink PPP) sobre tnel simples. Essa configurao til
para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
253
Change MSS: Maximun Segment Size, tamanho mximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel
est estabelecido deve ser fragmentado antes de envi-lo. Em alguns caso o
PMTUD est quebrado ou os roteadores no conseguem trocar informaes
de maneira eficiente e causam uma srie de problemas com transferncia
HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde
possvel interferir e configurar uma diminuio do MSS dos prximos pacotes
atravs do tnel visando resolver o problema. atravs do tnel visando resolver o problema.
254
PPPOE CLIENTE E SERVIDOR
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo
fato da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O
PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado
desde que o cliente suporte este mtodo.
255
PPPOE CLIENTE E SERVIDOR
O cliente descobre o servidor atravs do
protocolo pppoe discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo barramento fsico ou
os dispositivos passarem pra frente as
requisies PPPoE usando pppoe relay.
os dispositivos passarem pra frente as
requisies PPPoE usando pppoe relay.
256
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem
na maioria dos casos. Se configurarmos pra zero, o servidor no
desconectar os clientes at que os mesmos solicitem ou o servidor for
reiniciado.
CONFIGURAO DO SERVIDOR PPPOE
1. Primeiro crie um pool de IPs para o
PPPoE.
/ip pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
257
2. Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1
name=perfil-pppoe remote-address=pool-pppoe
3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, Obs.: Caso queira verificar o MAC-Address,
adicione em Caller ID. Esta opo no
obrigatria, mas um parametro a mais para
segurana.
258
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes
vo procurar (pppoe-discovery).
Interface = Interface onde o servidor
pppoe vai escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10
max-mru=1480 max-mtu=1480 max-
sessions=50 mrru=512 one-session-per-
host=yes service-name="Servidor PPPoE"
259
MAIS SOBRE PERFIS
Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para
associar ao perfil. associar ao perfil.
DNS Server: Configurao dos servidores
DNS a atribuir aos clientes.
Use Compression/Encryption/Change TCP
MSS: caso estejam em default, vo associar
ao valor que est configurado no perfil
default-profile.
260
MAIS SOBRE PERFIS
Session Timeout: Durao mxima de
uma sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no
houver trfego IP dentro do perodo
configurado, a sesso terminada. configurado, a sesso terminada.
Rate Limit: Limitao da velocidade na
forma rx-rate/tx-rate. Pode ser usado
tambm na forma rx-rate/tx-rate rx-burst-
rate/tx-burst-rate rx-burst-threshould/tx-
burst-threshould burst-time priority rx-
rate-min/tx-rate-min.
Only One: Permite apenas uma sesso
para o mesmo usurio.
261
MAIS SOBRE O DATABASE
Service: Especifica o servio disponvel para
este cliente em particular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local
(servidor) e remote(cliente) que podero ser (servidor) e remote(cliente) que podero ser
atribudos a um cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes
que o cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do
servidor para esse cliente especifico. Vrias
rotas podem ser adicionadas separadas por
vrgula.
262
MAIS SOBRE O PPOE SERVER
O concentrador PPPoE do Mikrotik suporta mltiplos
servidores para cada interface com diferentes nomes de
servio. Alm do nome do servio, o nome do concentrador
de acesso pode ser usado pelos clientes para identificar o
acesso em que se deve registrar. O nome do concentrador
a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o
PPPoE 1480 bytes. Em uma rede sem fio, o servidor PPPoE 1480 bytes. Em uma rede sem fio, o servidor
PPPoE pode ser configurado no AP. Para clientes
Mikrotik, a interface de rdio pode ser configurada com a
MTU em 1600 bytes e a MTU da interface PPPoE em
1500 bytes.
263
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero
mximo de sesses que o concentrador suportar.
SEGURANA NO PPPOE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
dos protocolos pppoe-discovery e
pppoe-session e descartando os
demais. demais.
Mesmo que haja somente uma
interface, ainda sim possvel
utilizar os Filtros de Bridge,
bastando para tal, criar uma Bridge
e associar em Ports apenas esta
interface. Em seguida alterar no
PPPoE Server a interface de esculta.
264
CONFIGURANDO O PPPOE CLIENT
AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
265
PPTP E L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada
2 um protocolo de tunelamento seguro para transportar trfego IP
utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma
criptografada ou no e permite enlaces entre dispositivos de redes
diferentes unidos por diferentes protocolos. diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 utilizada para o estabelecimento
do link e o trfego em si utiliza qualquer porta UDP disponvel, o que
significa que o L2TP pode ser usado com a maioria dos Firewalls e
Routers, funcionando tambm atravs de NAT.
L2TP e PPTP possuem as mesma funcionalidades.
266
CONFIGURAO DO SERVIDOR PPTP E L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em
secrets e habilite o servidor PPTP conforme as figuras.
267
CONFIGURAO DO SERVIDOR PPTP E L2TP
Configure os servidores
PPTP e L2TP.
Atente para utilizar o
perfil correto.
Configure nos hosts Configure nos hosts
locais um cliente PPTP e
realize conexo com um
servidor da outra rede.
Ex.: Hosts do Setor1
conectam em Servidores do
Setor2 e vice-versa.
268
CONFIGURAO DO CLIENTE PPTP E L2TP
As configuraes para o cliente PPTP e L2TP so bem
simples, conforme observamos nas imagens.
269
TNEIS IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que pode
ser usado pra interligar duas intranets atravs da internet usando 2
roteadores. roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse
uma interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados
em Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar
hosts atravs de um NAT, onde o tnel IPIP colocaria a rede privada
disponvel para o host que realiza o monitoramento, sem a
necessidade de criar usurio e senha como nas VPNs.
270
TNEIS IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma: criemos as interfaces IPIP em ambos, da seguinte forma:
271
TNEIS IPIP
Agora precisamos atribuir os IPs as interfaces criadas.
Aps criado o tnel IPIP as redes fazem parte do
mesmo domnio de broadcast.
272
TNEIS EOIP
EoIP(Ethernet over IP) um protocolo
proprietrio Mikrotik para encapsula
mento de todo tipo de trfego sobre o
protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados
atravs de um tnel EoIP, todo o trfego passado de uma lado para o outro
de forma transparente mesmo roteado pela internet e por vrios protocolos.
273
de forma transparente mesmo roteado pela internet e por vrios protocolos.
O protocolo EoIP possibilita:
Interligao em bridge de LANs remotas atravs da internet.
Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma
interface ethernet. Endereos IP e outros tneis podem ser configurados na
interface EoIP. O protocolo EoIP encapsula frames ethernet atravs do
protocolo GRE.
TNEIS EOIP
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6. 10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes e
estar entre o rage: 00-00-5E-80-00-
00 e 00-00-5E-FF-FF-FF, pois so
endereos reservados para essa
aplicao.
O MTU deve ser deixado em 1500
para evitar fragmentao.
O tnel ID deve ser igual para
ambos.
274
TNEIS EOIP
Adicione a interface EoIP a bridge,
juntamente com a interface que far
parte do mesmo dominio de
broadcast.
275
DVIDAS ????
276
HOTSPOT NO MIKROTIK
277
HOTSPOT
HotSpot um termo utilizado para se referir a uma rea
pblica onde est disponvel um servio de acesso a
internet, normalmente atravs de uma rede sem fio wi-fi.
Aplicaes tpicas incluem o acesso em Hotis,
Aeroportos, Shoppings, Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso
278
O conceito de HotSpot no entanto pode ser usado para dar acesso
controlado a uma rede qualquer, com ou sem fio, atravs de
autenticao baseada em nome de usurio e senha.
Quando emuma rea de cobertura de um HotSpot, um usurio que
tente navegao pela WEB arremetido para uma pgina do HotSpot
que pede suas credencias, normalmente usurio e senha. Ao fornec-las
e sendo um cliente autorizado pelo HotSpot o usurio ganha acesso
internet podendo sua atividade ser controlada e bilhetada.
HOTSPOT
Setup do HotSpot:
1. Escolha a interface que vai
ouvir o hotspot.
2. Escolha o IP em que vai rodar
o hotspot e indique se a rede o hotspot e indique se a rede
ser mascarada.
3. D um pool de endereos que
sero distribudos para os
usurios do hotspot.
4. Selecione um certificado, caso
queira usar.
279
HOTSPOT
Setup do HotSpot(cont.):
5. Indique o endereo IP do
seu servidor smtp, caso
queira.
6. D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
280
resolver os nomes para os
usurios do hotspot.
7. D o nome do DNS que ir
responder aos clientes ao
invs do IP.
8. Adicione um usurio
padro.
Feito. O HotSpot j est pronto
para ser usado.
HOTSPOT
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se
encarregou de fazer o trabalho pesado, criando regras apropriadas no
firewall, bem como uma fila especifica para o HotSpot.
281
HOTSPOT DETALHES DO SERVIDOR
Address Per MAC: Nmero de IPs permitidos
para um determinado MAC.
Idle Timeout: Mximo perodo de tempo de
inatividade para clientes autorizados. utilizado
para detectar os clientes que esto conectados
mas no esto trafegando dados. Atingindo o
Keepalive Timeout: Utilizado para detectar se o computador do cliente est
ativo e respondendo. Caso nesse perodo de tempo o teste falhe, o usurio
tirado da tabela de hosts e o endereo IP que ele estava usando liberado. O
tempo contabilizado levando em considerao o momento da desconexo
menos o tempo configurado.
282
mas no esto trafegando dados. Atingindo o
tempo configurado, o cliente retirado da lista
dos hosts autorizados. O tempo contabilizado
levando em considerao o momento da
desconexo menos o tempo configurado.
HOTSPOT PERFIL DO SERVIDOR
HTML Directory: Diretrio onde so colocadas
as pginas desse hotspot.
HTTP Proxy/Port: Endereo e porta do
servidor de web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples
para todo o hotspot. Esta fila vai aps as filas
dinmicas dos usurios.
283
Login by:
MAC: Usa o MAC dos clientes primeiro como nome do
usurio. Se existir na tabela de usurios local ou em um
Radius, o cliente liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se credenciais. Se o cliente no tiver mais o cookie ou se
tiver expirado ele de usar outro mtodo.
HTTPS: Usa tnel SSL criptografado. Para que este
mtodo funcione, um certificado vlido deve ser
importado para o roteador.
Trial: No requer autenticao por um determinado
tempo.
284
Split User Domain: Corta o domnio do usurio no caso de usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies.
Use Radius: Utiliza servidor Radius para
autenticao dos usurios do hotspot.
Location ID e Location Name: Podem ser
atribudos aqui ou no Radius. Normalmente
deixado em branco.
Accounting: Usado para registrar o histrico
de logins, trfego, desconexes, etc...
Interim Update: Freqncia do envio de
informaes de accounting. 0 significa assim que
ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.
Informao meramente para referncia.
285
HOTSPOT PERFIL DE USURIOS
O Use Profile serve para dar tratamento
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma Idle Timeout/Keepalive: Mesma
explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de refresh da
pgina de Status do HotSpot.
Shared Users: Nmero mximo de
clientes com o mesmo username.
286
Os perfis de usurio podem conter os limites de velocidade
de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx-burst-
limit] [rx-burst-threshold/tx-burst-threshold] [rx-burst-
time/tx-burst-time] [priority] [rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download
287
Incoming Filter: Nome do firewall chain aplicado
aos pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado
aos pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada
automaticamente em pacotes oriundos de usurios
deste perfil. deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status
http-login: para usurios que logam pela WEB.
always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy
transparente.
288
Com a opo Advertise possvel enviar de
tempos em tempos popups para os usurios
do HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a
ltima mostrada, comea-se novamente pela ltima mostrada, comea-se novamente pela
primeira.
289
Advertise Interval: Intervalo de tempo de exibio de popups. Depois
da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser
mostrado, antes de bloquear o acesso a rede.
Pode ser configurado um tempo.
Nunca bloquear.
Bloquear imediatamente.
O Mikrotik possui uma linguagem interna de
scripts que podem ser adicionados para serem
executados em alguma situao especifica.
No HotSpot possvel criar scripts que
executem comandos a medida que um usurio executem comandos a medida que um usurio
desse perfil conecta ou desconecta do HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do HotSpot.
Os scripts so adicionados no menu:
/system script
290
HOTSPOT USURIOS
291
HOTSPOT USURIOS
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver
ativado o hotspot colocar automaticamente o nome
T-MAC_Address. No caso de autenticao por MAC,
o mesmo deve ser adicionado como username sem
senha.
Address: Endereo IP caso queira vincular esse Address: Endereo IP caso queira vincular esse
usurio a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a
um endereo MAC especifico.
292
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando se conectar.
Sintaxe: Endereo destino gateway metrica. Vrias rotas separadas por
vrgula podem ser adicionadas.
HOTSPOT USURIOS
Limit Uptime: Limite mximo de tempo de
conexo para o usurio.
Limit Bytes In: Limite mximo de upload para o
usurio.
Limit Bytes Out: Limite mximo de download
para o usurio. para o usurio.
Limit Bytes Total: Limite mximo considerando o
download + upload.
Na aba das estatsticas possvel acompanhar a
utilizao desses limites.
293
HOTSPOT ACTIVE
Mostra dados gerais e estatsticas de cada usurio conectado.
294
HOTSPOT IP BINDINGS
O Mikrotik por default tem habilitado o universal client que uma facilidade
que aceita qualquer IP que esteja configurado no cliente fazendo com ele um
NAT 1:1. Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP
da rede ou MAC do cliente. possvel tambm permitir certos endereos
contornarem a autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente. Tambm possvel fazer bloqueio de endereos.
295
HOTSPOT IP BINDINGS
MAC Address: mac original do
cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o
original deve ser traduzido. original deve ser traduzido.
Server: Servidor hotspot o qual a
regra ser aplicada.
Type: Tipo do Binding
Regular: faz traduo regular 1:1
Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
296
HOTSPOT PORTS
A facilidade NAT do hotspot causa
problemas com alguns protocolos
incompatveis com NAT. Para que
esses protocolos funcionem de
forma consistente, devem ser forma consistente, devem ser
usados os mdulos helpers.
No caso do NAT 1:1 o nico
problema com relao ao mdulo
de FTP que deve ser configurado
para usar as portas 20 e 21.
297
HOTSPOT WALLED GARDEN
Configurando um walled garden possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente
possa escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do walled Quando um usurio no logado no hotspot requisita um servio do walled
garden o gateway no intercepta e, no caso do http, redireciona a requisio
para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um web
proxy embarcado no Mikrotik, de forma que todas requisies de usurios
no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache,
pelo menos por hora. Notar tambm que esse proxy faz parte do pacote
system e no requer o pacote web-proxy.
298
importante salientar que o
walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do menus distintos conforme do
figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de
baixo para outros servios e
protocolos.
299
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden vale.
Src.Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
300
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo
ser usado coringas. Tambm possvel utilizar expresses regulares
devendo essas ser iniciadas com (:)
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden vale.
Src. Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server. Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser requisitada.
Dst. Host: Nome do domnio do servidor de destino.
301
HOTSPOT COOKIES
Quando configurado o login por cookies, estes ficam armazenados
no hotspot com nome do usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa efetuar o
procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio a fazer o login
novamente.
302
PERSONALIZANDO O HOTSPOT
As pginas do hotspot so completamente configurveis e
alm disso possvel criar conjuntos completamente
diferentes das pginas do hotspot para vrios perfis de
usurios especificando diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica.
login.html pgina de login que pede usurio e senha ao cliente. Esta
pgina tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que
ser aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com
sucesso.
303
HOTSPOT COM HTTPS
Para utilizar o hotspot com HTTPS necessrio que se crie
um certificado, assin-lo corretamente e em seguida import-
lo atravs do menu /system certificates.
304
DVIDAS ????
305
ROTEAMENTO
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres
pr-definidas em funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente atravs de
um protocolo de roteamento dinmico ou de algum agregado de endereo
IP. IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path) que
um mecanismo que permite rotear pacotes atravs de vrios links e
permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de roteamento
dando tratamento diferenciado a vrios tipos de fluxos a critrio do
administrador.
306
POLTICAS DE ROTEAMENTO
Existem algumas regras que devem ser seguidas para se
estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de
endereos IP e portas. endereos IP e portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no
mdulo Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento,
dirigindo-os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
307
Uma aplicao tpica de polticas de roteamento trabalhar com
dois um mais links direcionando o trfego para ambos. Por
exemplo direcionando trfego p2p por um link e trfego web por
outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro impossvel porm reconhecer o trfego p2p a partir do primeiro
pacote, mas to somente aps a conexo estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.
A estrtegia nesse caso colocar como gateway default um link
menos nobre, marcar o trfego nobre (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p
iro pelo link menos nobre.
308
Exemplo de poltica de roteamento.
O roteador nesse caso ter 2 gateways
com ECMP e check-gateway. Dessa com ECMP e check-gateway. Dessa
forma o trfego ser balanceado e ir
garantir o failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 check-
gateway=ping
309
EX. DE POLTICA DE ROTEAMENTO
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte
forma:
/ip firewall mangle add src-address=192.168.10.0/24 action=mark-
routing new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=mark-
routing new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway
10.1110.0.1 e os pacotes da rede lan2 para o gateway
10.112.0.1 usando as correspondentes marcas de pacotes da
seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 check-
gateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 check-
gateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
310
192.168.10.0/24
192.168.20.0/24
BALANCEAMENTO DE CARGA COM PCC
311
O PCC uma forma de balancear o trfego de acordo com um critrio de
classificao pr-determinado das conexo. Os parametros de configurao
so:
Classificador Denominador Contador
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.
312
Exemplo de PCC com 3 links
313
Primeiro vamos marcar as conexes.
Atente para a interface de
entrada(clientes), o denominador(links)
e o contador que inicia em zero.
314
315
316
Agora vamos marcar as rotas com base
nas marcaes de conexes j feitas
anteriormente.
Atente agora para desmarcar a opo
passthrough.
317
318
319
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar
que os 3 gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
320
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a
mesma operao para as demais interfaces.
ROTEAMENTO DINMICO
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite O uso de protocolos de roteamento dinmico permite
implementar redundncia e balanceamento de links de
forma automtica e uma forma de se fazer uma rede
semelhante as redes conhecidas como Mesh, porm de forma
esttica.
321
ROTEAMENTO DINMICO - BGP
O protocolo BGP destinado a fazer comunicao entre
AS(Autonomos System) diferentes, podendo ser considerado
como o corao da internet. como o corao da internet.
O BGP mantm uma tabela de prefixos de rotas contendo
informaes para se encontrar determinadas redes entre os
ASs.
A verso corrente do BGP no Mikrotik a 4, especificada na
RFC 1771.
322
ROTEAMENTO DINMICO - OSPF
O protocolo Open Shortest Path First, um protocolo do tipo link
state. Ele usa o algoritmo de Dijkstra para calcular o caminho mais curto
para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que O OSPF distribui informaes de roteamento entre os roteadores que
participem de um mesmo AS(Autonomous System) e que tenha o protocolo
OSPF habilitado.
Para que isso acontea, todos os roteadores tem de ser configurados de
uma maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista
de redes. As rotas so aprendidas e instaladas nas tabelas de roteamento
dos roteadores.
323
ROTEAMENTO DINMICO - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma rea
Roteadores de backbone (rea 0) Roteadores de backbone (rea 0)
Roteadores de borda de rea (ABR)
OS ABRs devem ficar entre dois roteadores e devem tocar a rea 0
Roteadores de borda Autonomous System (ASBR)
So roteadores que participam do OSPF mas fazem comunicao
com um AS.
324
OSPF - OPES
Router ID: Geralmente o IP do roteador.
Caso no seja especificado o roteador usar
o maior IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se If installed (as type 1): Envia com mtrica 1 se
tiver sido instalada como rota esttica, dhcp ou
PPP.
If installed (as type 2): Envia com mtrica 2 se
tiver sido instalada como rota esttica, dhcp ou
PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
325
OSPF - OPES
Redistribute Connected Routes: Caso habilitado,
o roteador ir distribuir todas as rotas relativas as
redes que estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma esttica em
/ip routes.
Redistribute RIP Routes: Caso habilitado, Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas
que sero exportadas as diversas rotas.
326
OSPF - REAS
O protocolo OSPF permite que vrios roteadores sejam agrupados entre
si. Cada grupo formado chamado de rea e cada rea roda uma cpia si. Cada grupo formado chamado de rea e cada rea roda uma cpia
do algoritmo bsico, e cada rea tem sua prpria base de dados do
estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s
visvel para os participantes desta, o trfego sensvelmente reduzido.
Isso tambm previne o recalculo das distncias por reas que no
participam da rea que promoveu alguma mudana de estado.
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
327
OSPF - REDES
Aqui definimos as redes OSPF com os
seguintes parmetros:
Network: Endereo IP/Mascara, associado.
Permite definir uma ou mais interfaces
associadas a uma rea. Somente redes associadas a uma rea. Somente redes
conectadas diretamente podem ser adicionadas
aqui.
Area: rea do OSPF associada.
328
OSPF
Considerando nosso diagrama inicial, vamos aplicar o
OSPF em uma s rea e testar a funcionalidade.
329
DVIDAS ????
330
WEB PROXY
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web proxy como filtro de
contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router, muito Como o web proxy escuta todos ips do router, muito
importante assegurar que somente clientes da rede local
iro acess-lo.
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
seu equipamento.
331
WEB PROXY - PARMETROS
Src. Address: Endero IP do servidor proxy
caso voc possua vrios ips no mesmo
roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em
um sistema de hierarquia de proxy.
Parent Proxy Port: Porta o parent proxy
escuta.
Cache Administrator: Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache
em KiBytes.
Cache On Disk: Indica se o cache ser em
Disco ou em RAM.
332
Max Client Connections: Nmero mximo
de conexes simultneas ao proxy.
Max Server Connections: Nmero mximo
de conexes que o proxy far a um outro
servidor proxy.
Max Fresh Time: Tempo mximo que os
objetos que no possuem tempo padro objetos que no possuem tempo padro
definidos, sero considerados atuais.
Serialize Connections: Habilita mltiplas
conexes ao servidor para mltiplas conexes
para os clientes.
Always From Cache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
333
Cache Hit DSCP (TOS): Adiciona marca
DSCP com o valor configurado a pacotes que
deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est
usando para armazenamento dos objetos.
Esses discos podem ser acessados no menu: Esses discos podem ser acessados no menu:
/system stores.
334
WEB PROXY - STATUS
Uptime: Tempo que o proxy est rodando.
Requests: Total de requisies ao proxy.
Hits: Nmero de pedidos que foram atendidos
pelo cache do proxy.
Cache Used: Espao usado em disco ou RAM
usado pelo cache do proxy. usado pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo
proxy.
335
Received From Servers: Total de dados em Kibytes recebidos de
servidores externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache
hits aos clientes.
WEB PROXY - CONEXES
Aqui podemos a lista de conexes ativas no proxys
336
Src. Address: Endereo IP das conexes remotas
Dst. Address: Endereo destino que est sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexo
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente
WEB PROXY - ACCESS
A lista de acesso permite controlar
contedo que ser permitido ou no
para armazenamento no cache do
proxy.
As regras adicionadas nesta lista
337
As regras adicionadas nesta lista
so processadas de forma
semelhante que as regras do
firewall. Neste caso as regras iro
processar as conexes e caso
alguma conexo receba um match
ela no ser mais processada pelas
demais regras.
WEB PROXY - ACCESS
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
338
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisies
Action: Permite ou nega a regra
Redirect To: URL ao qual o usurio ser
redirecionado caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofreu
macth
WEB PROXY - CACHE
A lista de cache define como as requisies sero armazenadas ou
no no cache do proxy.
Esta lista manipulada da mesma forma que a lista de acesso.
339
De forma anloga ao firewall, qualquer requisio que no esteja
na lista de regras, ser armazenada no cache.
Os parmetros de configurao das regras so idnticas as regras
da lista de acesso.
WEB PROXY - DIRECT
A lista de acesso direto utilizada quando um Parent Proxy est
configurado. Desta forma possvel passar a requisio ao mesmo
ou tentar encaminhar a requisio diretamente ao servidor de
destino.
340
Diferentemente do firewall, qualquer requisio que no esteja na
lista de regras, ser por padro negada.
Os parmetros de configurao das regras so idnticas as regras
da lista de acesso.
WEB PROXY REGRAS DE FIREWALL
Para que o proxy funcione de forma correta e segura, necessrio
criar algumas regras no firewall nat e no firewall filter.
Primeiramente precisamos desviar o fluxo de pacotes com destino
a porta 80 para o servidor web proxy.
341
Em seguida precisamos garantir que somente os clientes da rede
local tero acesso ao servidor web proxy.
WEB PROXY REGRAS DE FIREWALL
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dst-
port=80 action=redirect to-ports=8080
Protegendo o proxy contra acessos externos no autorizados
342
Protegendo o proxy contra acessos externos no autorizados
/ip firewall filter add chain=input protocol=tcp dst-
port=8080 in-interface=wan action=drop
EXERCCIO FINAL
Abra um New Terminal
Digite: /system reset-configuration Digite: /system reset-configuration
343
DVIDAS ????
344
THE DUDE O CARA
345
The Dude uma ferramenta de monitoramento que:
Fornece informaes acerca de quedas e restabelecimentos de
redes, servios, assim como uso de recursos de equipamentos.
THE DUDE O CARA
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
Notificaes via udio/video/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de respostas de
DNS, utilizao de banda, informaes fsicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo
SNMP.
346
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik atravs do winbox.
THE DUDE O CARA
Acesso direto a dispositivos Mikrotik atravs do winbox.
Armazenamento de histrico de eventos(logs) de toda a
rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para tomada de
decises atravs do SNMP Set.
(Vide: MUM Czech Republic 2009 Andrea Coppini)
347
INSTALANDO O THE DUDE
No Windows:
Fazer o download, clicar no executvel e responder sim para
todas as perguntas.
No Linux: No Linux:
Instalar o wine e a partir da proceder como no windows.
Em Routerboard ou PC com Mikrotik:
Baixar o pacote referente a arquitetura especifca, enviar
para o Mikrotik via FTP ou Winbox e rebootar o roteador.
348
THE DUDE EM ROUTERBOARDS
O espao em disco consumido pela The Dude considervel, entre
outras coisas, devido aos grficos e logs a serem armazenados. Assim, no
caso de instalao em Routerboards aconselhvel o uso daquelas que
possuam armazenamento adicional como: possuam armazenamento adicional como:
RB 433UAH Aceita HD externo via USB
RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas
de perdas de dados devido a impossibilidade de efetuar backups.
Problemas de processamento tambm devem ser considerados.
349
THE DUDE - COMEANDO
A instalao do The Dude sempre instala o cliente e o servidor e
no primeiro uso ele sempre ir tentar usar o Servidor
Local(localhost). Caso queira se conectar em outro servidor clique
no raio. no raio.
350
THE DUDE - COMEANDO
O auto discovery permite que o servidor The Dude localize os
dispositivos de seu segmento de rede, atravs de provas de ping, arp,
snmp, etc... E por servios tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser
mapeados por seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
351
THE DUDE ADICIONANDO DISPOSITIVOS
O The Dude tem um wizard para criao de
dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opo Router OS.
352
Em seguida descubra os servios que esto rodando nesse equipamento.
Aps isso o dispositivo estar criado.
353
Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:
Nome de exibio
Tipo do dispositivo
354
O The Dude possui vrios dispositivos pr-definidos, mas pode-se
criar novos dispositivos personalizados para que o desenho
realmente reflita a realidade prtica.
Por razes de produtividade aconselhvel que todos os
dispositivos existentes na rede sejam criados com suas
dispositivos existentes na rede sejam criados com suas
propriedades especificas antes do desenho da rede, mas nada
impede que isso seja feito depois.
355
Quando a rede possui elementos no configurveis por IP
como switchs L2, necessrio criar dispositivos estticos
para fazer as ligaes. Com isso possvel concluir o
diagrama da rede de forma mais realista e parecida com a
real.
real.
356
THE DUDE CRIANDO LINKS
Para criar links entre os dispositivos basta clicar no mapa com o Para criar links entre os dispositivos basta clicar no mapa com o
boto direito, selecionar Add Link e ligar os dois dispositivos
informando:
Device: Dispositivo que ir fornece as informaes do link.
Mastering type: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS,
escolha a interface que deseja monitorar a velocidade e estado do link.
Speed: Informando a velocidade do link, ativado a sinalizao do estado
do mesmo baseando-se em cores.
Type: Tipo de conexo fsica entre os dispositivos.
357
THE DUDE NOTIFICAES
Efetue um duplo clique no dispositivo e v na guia Notifications.
Nela voc pode informar o tipo de notificao que deseja receber.
358
THE DUDE SERVIOS INDESEJVEIS
Com o The Dude podemos monitorar servios que no desejamos que
estejam ativos.
359
THE DUDE GRFICOS
Podemos manipular a forma como os grficos iro ser
apresentados para identificar servios, estado dos links etc...
360
THE DUDE EFETUANDO BACKUPS
As configuraes so salvas automaticamente na
medida em que so feitas. Para se ter um backup
externo use o export para gerar um arquivo .xml com
todas as configuraes que podero ser importadas
sempre que necessrio. sempre que necessrio.
361
DVIDAS ????
362
LABORATRIO FINAL
Abram um terminal
Executem: /system reset-configuration no-defaults=yes
363
OBRIGADO!
Guilherme Marques Ramires.
E-mail para contato: guilherme@mktsolutions.net.br
364

Lancore Mikrotik Mtcna

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Lancore Mikrotik Mtcna

Enviado por

Direitos autorais:

Formatos disponíveis

TREINAMENTO MIKROTIK

Você também pode gostar