Você está na página 1de 363

Treinamento Mikrotik

Certificao - MTCNA
Por Lancore Networks e BRAUSER
Introdo
Instrtor! Leonardo Rosa, BRAUSER.

Consultor em Internetworking

Equipe experiente com casos de sucesso


em Routing, Caching, Wireless etc.
A"enda
Treinamento dirio das !"hs #s $%"hs
Co&&ee 'reak #s $(")hs
*lmo+o #s $)"hs , $ hora de dura+-o
Algumas regras importantes
Por ser um curso oficial, o mesmo no poder ser filmado
ou gravado
Procure deixar seu aparelho celular desligado ou em modo
silencioso
Durante as explanaes evite as conversas paralelas. Elas
sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G
em seu laptop
Algumas regras importantes
Por ser um curso oficial, o mesmo no poder ser filmado
Procure deixar seu aparelho celular desligado ou em modo
Durante as explanaes evite as conversas paralelas. Elas
sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G
3
Algumas regras importantes
Perguntas so sempre bem vindas. Muitas vezes a sua
dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser concedido a
quem obtiver presena igual ou superior a 75%.
Algumas regras importantes
Perguntas so sempre bem vindas. Muitas vezes a sua
dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
O certificado de participao somente ser concedido a
quem obtiver presena igual ou superior a 75%.
4
Apresente-se a turma
Diga seu nome;
Sua empresa;
Seu conhecimento sobre o
Seu conhecimento com redes;
O que voc espera do curso;
Lembre-se de seu nmero: XY
se a turma
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;
se de seu nmero: XY
5
Objetivos do curso
Prover um viso geral sobre o Mikrotik
as RouterBoards.
Mostrar de um modo geral todas ferramentas que o
Mikrotik RouterOS dispe para prover boas
solues.
Objetivos do curso
Prover um viso geral sobre o Mikrotik RouterOS e
Mostrar de um modo geral todas ferramentas que o
dispe para prover boas
6
Onde est a Mikrotik ? Onde est a Mikrotik ?
7
RouterBoards
So hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
RouterBoards.
RouterBoards
So hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
8
Mikrotik RouterOS
RouterOS o sistema operacional das
RouterBoards e que pode ser configurado como:
Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
Alm das RouterBoards ele tambm pode ser instalado em
PCs.
RouterOS
o sistema operacional das
e que pode ser configurado como:
802.11a/b/g/n
ele tambm pode ser instalado em
9
Instalao do
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem
Via rede com utilitrio Netinstall
Instalao do RouterOS
pode ser instalado a partir de:
imagem
Netinstall
10
Onde obter o Mikrotik
Para obter os ltimos pacotes do Mikrotik
basta acessar:
http://www.mikrotik.com/download.html
L voc poder baixar as imagens .
Os pacotes combinados
E os pacotes individuais
Onde obter o Mikrotik RouterOS
Para obter os ltimos pacotes do Mikrotik RouterOS
http://www.mikrotik.com/download.html
L voc poder baixar as imagens .iso
11
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP
Advanced-tools: Ferramentas de diagnstico, netwatch
Arlan: Suporte a uma antiga placa Aironet antiga
Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial
RouterOS
bsiscos e drivers. A rigor o nico que obrigatrio
, L2TP, PPTP, etc..
netwatch e outros ultilitrios
antiga arlan
: Pacote para vigilncia de conexes (Exigido somente nos EUA)
13
Pacotes do RouterOS
Radiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards
Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do
Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros,
RouterOS
: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
e conexo segura do winbox
, Cyclades PC300, etc...
protocolo h.323
Manager
, PrismII e Aironet
14
Instalando pelo CD
Pode-se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
configuraes pode-se mant-las pressionando y.
Instalando pelo CD
se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
las pressionando y.
15
Instalao com
Pode ser instalado em PC que boota via rede(configurar
na BIOS)
Pode ser baixado tambm em:
http://www.mikrotik.com/download.html
O netinstall um excelente recurso para reinstalar em
routerboards quando o sistema foi danificado ou quando
se perde a senha do equipamento.
Instalao com Netinstall
via rede(configurar
http://www.mikrotik.com/download.html
um excelente recurso para reinstalar em
quando o sistema foi danificado ou quando
16
Instalao com
Para se instalar em uma RouterBoard
inicialmente temos que entrar via serial, com
cabo null modem e os seguintes parmetros:
Velocidade: 115.200 bps
Bits de dados: 8
Bits de parada: 1
Controle de fluxo: hardware
Instalao com Netinstall
RouterBoard,
inicialmente temos que entrar via serial, com
modem e os seguintes parmetros:
Controle de fluxo: hardware
17
Instalao com Netinstall
Atribuir um IP para o Net
Booting na mesma faixa
da placa de rede da
mquina
Coloque na mquina os
pacotes a serem
instalados
Bootar e selecionar os
pacotes a serem
instalados
Instalao com Netinstall
18
Primeiro acesso
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:
Direto no console (em pcs)
Via terminal
Via telnet de MAC, atravs de outro
Mikrotik ou sistema que suporte
telnet de MAC e esteja no mesmo
barramento fsico de rede
Via Winbox
Primeiro acesso
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
de MAC, atravs de outro
Mikrotik ou sistema que suporte
de MAC e esteja no mesmo
19
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar todas
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar todas
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
Para retornar ao nvel anterior basta digitar ..
20
Console no Mikrotik
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para mostrar as opes
disponveis
Console no Mikrotik
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para mostrar as opes
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:42:34:F7:02 enabled
[admin@MikroTik] > interface ethernet> print
0 R name="ether1" mtu=1500 l2mtu=1526 mac
auto-negotiation=yes full-duplex=yes speed=100Mbps
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
print
ARP MASTER-PORT SWITCH
ether1 1500 00:0C:42:34:F7:02 enabled
print detail
mac-address=00:0C:42:34:F7:02 arp=enabled
duplex=yes speed=100Mbps
22
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1
status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando:
interface wireless monitor wlan1
: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik
Comandos para manipular regras
add, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Comando Export
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
Console no Mikrotik
, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
do emulador Wine. A comunicao feita pela porta TCP 8291 e caso voc
habilite a opo Secure Mode a comunicao ser criptografada.
Para baixar o winbox acesse o link:
http://www.mikrotik.com/download.html
WINBOX
o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
. A comunicao feita pela porta TCP 8291 e caso voc
a comunicao ser criptografada.
http://www.mikrotik.com/download.html
25
Acessando pelo WINBOX
possvel acessar o Mikrotik inicialmente sem endereo IP, atravs
do MAC da interface do dispositivo que est no mesmo barramento
fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
Acessando pelo WINBOX
possvel acessar o Mikrotik inicialmente sem endereo IP, atravs
do MAC da interface do dispositivo que est no mesmo barramento
fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
26
Configurao em Modo Seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja
perdida de forma automtica. Para habilitar o modo seguro pressione
CTRL+X.
Configurao em Modo Seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja
perdida de forma automtica. Para habilitar o modo seguro pressione
27
Configurao em Modo Seguro
Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagem ser dada:
Hijacking Safe Mode fromsomeone unroll/release/
u desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
mensagem:
Safe Mode Released by another user
Configurao em Modo Seguro
Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagem ser dada:
/release/dont take it [u/r/d]
desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
28
Configurao em Modo Seguro
Todas configuraes so desfeitas caso voc perca comunicao com o
roteador, o terminal seja fechado clicando no x ou pressionando
CTRL+D.
Configuraes realizadas em modo seguro no so sofrem marcaes na
lista de historico at serem confirmadas ou desfeitas. A
que a ao no ser desfeita. A flag R significa que a ao foi desfeita.
possvel visualizar o histrico de modificaes atravs do menu:
/system history print
Obs.: O nmero mximo de registros em modo seguro de 100.
Configurao em Modo Seguro
Todas configuraes so desfeitas caso voc perca comunicao com o
roteador, o terminal seja fechado clicando no x ou pressionando
Configuraes realizadas em modo seguro no so sofrem marcaes na
at serem confirmadas ou desfeitas. A flag U significa
R significa que a ao foi desfeita.
possvel visualizar o histrico de modificaes atravs do menu:
Obs.: O nmero mximo de registros em modo seguro de 100.
29
Manuteno do Mikrotik
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento
Manuteno do Mikrotik
Informaes sobre licenciamento
30
Atualizaes
As atualizaes podem ser feitas a
partir de um conjunto de pacotes
combinados ou individuais.
Os arquivo tem extenso .npk e para
atualizar a verso basta fazer o
upload para o diretrio raiz e efetuar
um reboot.
O upload pode ser feito por FTP ou
copiando e colando pelo Winbox.
Atualizaes
e para
para o diretrio raiz e efetuar
pode ser feito por FTP ou
31
Pacotes
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .
para instal-los basta fazer o
Mikrotik e efetuar um reboot
Alguns pacotes como User
Multicast so exemplos de pacotes adicionais
que no fazem parte do pacote padro.
Pacotes
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk e
los basta fazer o upload para o
reboot do sistema.
User Manager e
so exemplos de pacotes adicionais
que no fazem parte do pacote padro.
32
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
33
Pacote desabilitado
Pacote marcado para ser
desabilitado
Pacote marcado para ser
habilitado
Backup
Para efetuar o backup
basta ir em Files e clicar no
boto Backup.
Para restaurar o backup
basta selecionar o arquivo
e clicar em Restore.
Este tipo de backup pode causar problemas de MAC caso
seja restaurado em outro hardware. Para efetuar um
backup por partes use o comando
Backup
Este tipo de backup pode causar problemas de MAC caso
seja restaurado em outro hardware. Para efetuar um
backup por partes use o comando export.
34
Licenciamento Licenciamento
A chave gerada sobre
um software-id fornecido
pelo sistema.
A licena fica vinculada ao
HD ou Flash e/ou placa
me.
A formatao com outras
ferramentas muda o
software-id causa a perda
da licena.
35
Dvidas ??? Dvidas ???
36
Nivelamento de conhecimentos TCP/IP Nivelamento de conhecimentos TCP/IP
37
Modelo OSI
(Open System Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros
CAMADA 3 Rede: Associa endereo fsico ao endereo
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
CAMADA 1 Fsica: Bits de dados
Modelo OSI
Interconnection)
38
Aplicao: Comunicao com os programas. SNMP e TELNET.
Apresentao: Camada de traduo. Compresso e criptografia
Sesso: Estabelecimento das sesses TCP.
Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros
Rede: Associa endereo fsico ao endereo lgico
Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
Camada I Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
nesse nvel que so definidas as
especificaes de cabeamento estruturado,
fibras pticas, etc... No caso da wireless a
camada I que define as modulaes,
frequncias e largura de banda das portadores.
Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
nesse nvel que so definidas as
especificaes de cabeamento estruturado,
fibras pticas, etc... No caso da wireless a
camada I que define as modulaes,
e largura de banda das portadores.
39
Camada II -
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
Enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
40
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
41
Camada III
Responsvel pelo endereamento lgico dos
pacotes.
Transforma endereos lgicos(endereos
endereos fsicos de rede.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
Camada III - Rede
Responsvel pelo endereamento lgico dos
Transforma endereos lgicos(endereos IPs) em
endereos fsicos de rede.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
42
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip: 200.200.0.1
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
: 200.200.0.1
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara End. de Rede
192.168.1.0/23 192.168.0.0
192.168.1.1/24 192.168.1.0
192.168.1.1/25 192.168.1.0
192.168.1.1/26 192.168.1.0
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
44
End. Broadcast
192.168.1.255
192.168.1.255
192.168.1.127
192.168.1.63
Endereamento CIDR Endereamento CIDR
45
Protocolo ARP Address
Utilizado para associar IPs com endereos fsicos.
Faz a intermediao entre a camada II e a camada III da
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu MAC.
3. Para minimizar o broadcast, o S.O mantm um tabela ARP
constando o par (IP MAC).
Resolution Protocol
com endereos fsicos.
Faz a intermediao entre a camada II e a camada III da
O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
O host que tem o IP de destino responde fornecendo seu MAC.
Para minimizar o broadcast, o S.O mantm um tabela ARP
46
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
No lado do destinatrio pega
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
No lado do destinatrio pega pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
Transporte
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Caractersticas do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.
Caractersticas do protocolo TCP
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
Verifica a integridade dos dados transmitidos usando clculos de soma de
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
49
Diferenas bsicas entre TCP e UDP
TCP
Servio orientado por conexo.
Servio sem conexo.
Garante a entrega atravs do uso de
confirmao e entrega seqenciada dos
dados.
Programas que usam TCP tem garantia
de transporte confivel de dados.
Mais lento, usa mais recursos e somente
d suporte a ponto a ponto.
Diferenas bsicas entre TCP e UDP
50
UDP
Servio sem conexo. No estabelecida
conexo entre os hosts.
No garante ou no confirma entrega
dos dados.
Programas que usam UDP so
responsveis pela confiabilidade dos
dados.
Rpido, exige poucos recursos e oferece
comunicao ponto a ponto e
multiponto.
Estado das conexes
possvel observar o estado das conexes no MikroTik no menu Connections.
Estado das conexes
possvel observar o estado das conexes no MikroTik no menu Connections.
51
Portas TCP
Protocolo
TCP
FTP
Porta 21
SSH
Porta 22
O uso de portas, permite o funcionamento de vrios servios, ao
mesmo tempo, no mesmo computador, trocando informaes com um
ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais.
Portas TCP
Protocolo
Telnet
Porta 23
WEB
Porta 80
52
O uso de portas, permite o funcionamento de vrios servios, ao
mesmo tempo, no mesmo computador, trocando informaes com um
Portas abaixo de 1024 so registradas para servios especiais.
Dvidas ???? Dvidas ????
53
DIAGRAMA INICIAL DIAGRAMA INICIAL
54
Configurao do
Adicione os ips as interfaces
Obs.: Atente para selecionar as interfaces corretas.
Configurao do Router
as interfaces
Obs.: Atente para selecionar as interfaces corretas.
55
Configurao do
Adicione a rota padro
1
2
3
4
Configurao do Router
56
Configurao do
Adicione o servidor DNS
2
1
4
Configurao do Router
57
3
Configurao do
Configurao da interface wireless
Configurao do Router
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard
192.168.X.254
Pingar a partir da RouterBoard
www.mikrotik.com;
Pingar a partir do notebook o seguinte
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Corrigir o problema de conectividade
Diante do cenrio apresentado quais solues
podemos apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Address
Corrigir o problema de conectividade
Diante do cenrio apresentado quais solues
Utilizar protocolos de roteamento dinmico;
Address Translation).
60
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
61
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
3
1
2
4
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
62
Teste de conectividade
Efetuar os testes de ping a partir do notebook;
Analisar os resultados;
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa
o backup da routerboard e armazene
Ele ser usado ao longo do curso.
Teste de conectividade
a partir do notebook;
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa
e armazene-o no notebook.
Ele ser usado ao longo do curso.
63
Gerenciando usurios
O acesso ao roteador pode ser controlado;
Pode-se criar usurios e/ou grupos diferentes;
1
2
Gerenciando usurios
O acesso ao roteador pode ser controlado;
se criar usurios e/ou grupos diferentes;
64
Gerenciamento de usurios
Adicione um novo usurio com seu nome e d a ele
acesso Full
Mude a permisso do usurio
Faa login com seu novo usurio.
Gerenciamento de usurios
Adicione um novo usurio com seu nome e d a ele
acesso Full
Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
65
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.254.2
Faa o upload dos pacotes para sua
Reinicie a RouterBoard para que os pacotes novos
sejam instalados
Confira se os novos pacotes foram instalados com
sucesso.
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.254.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejam instalados
Confira se os novos pacotes foram instalados com
sucesso.
66
Wireless no Mikrotik Wireless no Mikrotik
67
Configuraes Fsicas
Padro IEEE Frequncia Tecnologia
802.11b 2.4 Ghz DSSS
802.11g 2.4 Ghz OFDM
802.11a 5 Ghz OFDM
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM
Configuraes Fsicas
Velocidades
1, 2, 5.5 e 11 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
BQSP, QPSQ e QAM De 6.5Mbps at 600 Mbps
68
802.11b - DSSS
69
Canais no interferentes em
2.4 Ghz -
2.412 GHz 2.437 GHz
Canal 1 Canal 6
Canais no interferentes em
DSSS
70
2.437 GHz 2.462 GHz
Canal 11
Configuraes Fsicas
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser
usado somente em processo de migrao.
Configuraes Fsicas 2.4Ghz
2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 11 Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54 Mbps
e utiliza OFDM.
71
Modo misto 802.11b e 802.11g recomendado para ser
usado somente em processo de migrao.
Canais do espectro de 5Ghz
Em termos regulatrios a frequncia
Faixa baixa: 5150 a 5350 Mhz
Faixa mdia: 5470 a 5725 Mhz
Faixa alta: 5725 a 5850 Mhz
Canais do espectro de 5Ghz
frequncia de 5Ghz dividida em 3 faixas:
72
Aspectos legais do espectro de 5Ghz
Faixa Baixa
Freqncias 5150-5250 5250-5350
Largura 100 Mhz 100 Mhz
Canais 4 canais 4 canais
Deteco de
radar
obrigatria
Aspectos legais do espectro de 5Ghz
73
Faixa Mdia Faixa Alta
5350 5470-5725 5725-5850
Mhz 255 Mhz 125 Mhz
4 canais 11 canais 5 canais
Deteco de
obrigatria
Deteco de
radar
obrigatria
Configuraes Fsicas
O modo 5Ghz permite ainda as variaes
largura de banda que permite selecionar freqncias mais especificas,
porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do
modelo do carto.
Configuraes Fsicas 5 Ghz
5Ghz: Modo 802.11a
opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps.
74
as variaes de uso em 10Mhz e 5Mhz de
que permite selecionar freqncias mais especificas,
porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do
Canalizao em 802.11a
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de
Canalizao em 802.11a Modos 5Mhz e 10Mhz
Menor vulnerabilidade a interferncias
Aumenta o nvel de potncia de tx
75
Canalizao em 802.11a
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
Canalizao em 802.11a Modo Turbo
Maior vulnerabilidade a interferncias
tx
76
Padro 802.11n
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
Padro 802.11n
transparente para links N utilizando MPLS/VPLS
77
MIMO
MIMO: Multiple Input and Multiple
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e
transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
MIMO
Multiple Output
Multiplexing
espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e
78
802.11n - Velocidades nominais Velocidades nominais
79
802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da
principal
compatvel com os clientes legados de 20Mhz
Conexo feito no canal principal
Permite utilizar taxas maiores
dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia
compatvel com os clientes legados de 20Mhz
Conexo feito no canal principal
Permite utilizar taxas maiores
80
802.11n Agregao dos frames
Combina mltiplos frames de dados em um simples frame. O
que diminui o overhead
Agregao de unidade de dados protocolo MAC (AMPDU)
Aggregated MAC Protocol Data
Usa Acknowledgement em bloco
Pode aumentar a latncia. Por padro habilitado somente para
trfego de melhor esforo
Agregao de unidade de dados de servios MAC (AMSDU)
Enviando e recebendo AMSDUs
processamento, pois este processado a nvel de software.
Agregao dos frames
Combina mltiplos frames de dados em um simples frame. O
Agregao de unidade de dados protocolo MAC (AMPDU)
Data Units
em bloco
Pode aumentar a latncia. Por padro habilitado somente para
Agregao de unidade de dados de servios MAC (AMSDU)
AMSDUs causa aumento de
processamento, pois este processado a nvel de software.
81
Configurando no Mikrotik
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena ignorada.
HT AMSDU Limit: Mximo AMSDU
que o dispositivo pode preparar.
HT AMSDU Threshold: Mximo
tamanho de frame que permitido
incluir em AMSDU.
Configurando no Mikrotik
82
Configurando no Mikrotik
HT Guard Interval: Intervalo de guarda.
Any: Longo ou curto, dependendo
da velocidade de transmisso.
Longo: Intervalo longo.
HT Extension Channel: Define se ser
usado a extenso adicional de 20Mhz.
Below: Abaixo do canal principal
Above: Acima do canal principal
HT AMPDU Priorities: Prioridades do
frame para qual o AMPDU deve ser
negociado e utilizado.
Configurando no Mikrotik
83
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso
dobrada.
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso
84
Bridge transparente em enlaces N
WDS no suporta agregao de frames e portanto
no prov a velocidade total da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com velocidades
maiores com menos overhead em enlaces n
devemos utilizar MPLS/VPLS.
transparente em enlaces N
WDS no suporta agregao de frames e portanto
no prov a velocidade total da tecnologia n
transparente com velocidades
maiores com menos overhead em enlaces n
devemos utilizar MPLS/VPLS.
85
Bridge transparente em enlaces N
Para se configurar a bridge transparente em enlaces n, devemos
estabelecer um link AP <-> Station e configure uma rede ponto a
ponto /30.
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(
Habilitar o LDP (Label Distribution Protocol
Adicionar a wlan1 a interface MPLS
transparente em enlaces N
transparente em enlaces n, devemos
e configure uma rede ponto a
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
Protocol) em ambos lados.
86
Bridge transparente em enlaces N
Configurar o tnel VPLS em ambos os lados
Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do tnel VPLS
transparente em enlaces N
Configurar o tnel VPLS em ambos os lados
entre a interface VPLS e a ethernet conectada
87
Bridges VPLS - Consideraes
O tnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de
fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522
ou superior, a fragmentao pode ser evitada
alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das
pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
Consideraes
O tnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de saida, este ser
Se a interface ethernet suportar MPLS MTU de 1522
ou superior, a fragmentao pode ser evitada
alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards
Maximum_Transmission_Unit_on_RouterBoards
88
Setup Outdoor para enlaces n
Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us
mesmo tempo.
Para operao em 2 canais, usar polarizaes
diferentes
Quando utilizar antenas de polarizao dupla, a
isolao mnima recomendada da antena de 25dB.
Setup Outdoor para enlaces n
Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us-los ao
Para operao em 2 canais, usar polarizaes
Quando utilizar antenas de polarizao dupla, a
isolao mnima recomendada da antena de 25dB.
89
Enlaces n
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
Enlaces n
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
90
Configuraes de camada fsica
default: No altera a potncia original do carto
cards rates: Fixa mas respeita as variaes das taxas para cada velocidade
all rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potncias diferentes para cada velocidade
Configuraes de camada fsica - Potncias
: No altera a potncia original do carto
: Fixa mas respeita as variaes das taxas para cada velocidade
: Fixa um valor para todas velocidades
: permite ajustar potncias diferentes para cada velocidade
91
Configuraes de camada fsica
Quando a opo regulatory domain est habilitada, somente as
permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
Configuraes de camada fsica - Potncias
est habilitada, somente as frequncias
permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas,
informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
92
Configuraes da camada fsica
Em cartes que tem duas
para antenas, possvel escolher:
antena a
antena b
rx-a/tx-
tx-a/rx-
Configuraes da camada fsica Seleo de antena
Em cartes que tem duas saidas
para antenas, possvel escolher:
antena a: utiliza antena a(main) para tx e rx
antena b: utiliza antena b(aux) para tx e rx
-b: recepo em a e transmisso em b
-b: transmisso em b e recepo em a
93
Configuraes da camada fsica
no radar
escolhe o canal em que for encontrado
o menor nmero de redes
radar detect
1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
Obs.: O modo DFS obrigatrio no
Brasil para as faixas de 5250
5350-5725
Configuraes da camada fsica DFS
no radar detect: escaneia o meio e
escolhe o canal em que for encontrado
o menor nmero de redes
detect: escaneia o meio e espera
1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
: O modo DFS obrigatrio no
Brasil para as faixas de 5250-5250 e
5725
94
Configuraes da camada fsica
Proprietary
finalidade de dar compatibilidade com
Centrino.
WMM Support
enabled: permite que o outro dispositivo use
required: requer que o outro dispositivo use
disabled: desabilita a funo
Configuraes da camada fsica Prop. Extensions e WMM
Proprietary Extensions: Opo com a nica
finalidade de dar compatibilidade com chipsets
Support: QoS no meio fsico(802.11e)
: permite que o outro dispositivo use wmm
: requer que o outro dispositivo use wmm
: desabilita a funo wmm
95
Configuraes da camada fsica
Client tx rate /
Defaul AP TX Rate: Taxa mxima que o AP pode
transmitir para cada um de seus clientes.
Funciona para qualquer cliente.
Default Client TX Rate: Taxa mxima que o
cliente pode transmitir para o AP. S funciona
para clientes Mikrotik.
Compression: Recurso de compresso em Hardware disponvel
em chipsets Atheros. Melhora o desempenho se o cliente possuir
este recurso e no afeta clientes que no possuam o recurso.
Porm este recurso incompatvel com criptografia.
Configuraes da camada fsica AP e
rate / Compression
: Taxa mxima que o AP pode
transmitir para cada um de seus clientes.
: Taxa mxima que o
cliente pode transmitir para o AP. S funciona
96
: Recurso de compresso em Hardware disponvel
. Melhora o desempenho se o cliente possuir
este recurso e no afeta clientes que no possuam o recurso.
Porm este recurso incompatvel com criptografia.
Configuraes da camada fsica
A velocidade em uma rede wireless
definida pela modulao que os
dispositivos conseguem trabalhar.
Supported Rates: So as velocidades de
dados entre o AP e os clientes.
Basic Rates: So as velocidades que os
dispositivos se comunicam
independentemente do trfego de dados
(beacons, sincronismos, etc...)
Configuraes da camada fsica Data Rates
A velocidade em uma rede wireless
dispositivos conseguem trabalhar.
: So as velocidades de
: So as velocidades que os
independentemente do trfego de dados
97
Configuraes da camada fsica
O ACK timeout o tempo que um dispositivo wireless
espera pelo pacote Ack que deve ser transmitido para
confirmar toda transmisso wireless.
Dynamic: O Mikrotik calcula dinamicamente o
cliente mandando de tempos em tempos sucessivos pacotes
com Ack timeouts diferentes e analisando as respostas.
indoors: Valor constante para redes indoors.
Pode-se tambm fixar valores manualmente.
Dispositivo
A
Dados
ACK
Configuraes da camada fsica ACK
O ACK timeout o tempo que um dispositivo wireless
que deve ser transmitido para
confirmar toda transmisso wireless.
: O Mikrotik calcula dinamicamente o Ack de cada
cliente mandando de tempos em tempos sucessivos pacotes
timeouts diferentes e analisando as respostas.
: Valor constante para redes indoors.
se tambm fixar valores manualmente.
98
Dispositivo
B
Configuraes da camada fsica
Tabela de valores referenciais para ACK Timeout
Obs.: Utilize a tabela somente para referncia inicial.
Configuraes da camada fsica ACK
Tabela de valores referenciais para ACK Timeout
99
Obs.: Utilize a tabela somente para referncia inicial.
Ferramentas de Site
Escaneia o meio.
Obs.: Qualquer operao de site
conexes estabelecidas.
Ferramentas de Site Survey - Scan
Obs.: Qualquer operao de site survey causa queda das
100
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Ferramentas de Site Survey
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
Survey Uso de frequncias
frequncias
em todo o espectro para site
conforme a banda
101
Interface wireless -
Ferramenta de alinhamento com sinal sonoro
Colocar o MAC do AP remoto no campo Filter
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido
Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
- Alinhamento
Ferramenta de alinhamento com sinal sonoro
Filter MAC Address
do ltimo pacote recebido
: Potncia mdia dos pacotes recebidos
: Tempo em segundos do ltimo pacote recebido
: Potncia do ltimo pacote transmitido
: Tempo em segundos do ltimo pacote transmitido
102
Interface wireless Interface wireless - Sniffer
Ferramenta para sniffar o
ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar
ataques do tipo deauth e
monkey jack.
Pode ser arquivado no
prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
103
Interface wireless
Com a ferramenta snooper possvel monitorar a carga de trfego
em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan
Interface wireless - Snooper
possvel monitorar a carga de trfego
em cada canal por estao e por rede.
scan-list da interface
104
Interface wireless
Comportamento do protocolo ARP
enable: Aceita e responde requisies ARP.
disable: No responde a requisies ARP. Clientes
devem acessar atravs de tabelas estticas.
proxy-arp: Passa seu prprio MAC quando h
uma requisio para algum host interno ao
roteador.
reply-only: Somente responde as requisies.
Endereos vizinhos so resolvidos estaticamente.
Interface wireless - Geral
Comportamento do protocolo ARP
: No responde a requisies ARP. Clientes
Endereos vizinhos so resolvidos estaticamente.
105
Interface wireless Modo de operao
ap bridge: Modo de ponto de acesso. Repassa os
wireless de forma transparente para a rede
bridge: O mesmo que o o modo ap
somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em
bridge com outras interfaces.
Modo de operao
: Modo de ponto de acesso. Repassa os MACs do meio
wireless de forma transparente para a rede cabeada.
ap bridge porm aceitando
: Modo cliente de um ap. No pode ser colocado em
106
Interface wireless Modo de operao
station pseudobridge: Estao que pode ser colocada em modo
bridge, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone: Modo idntico ao anterior, porm
passa ao AP um MAC pr determinado anteriormente.
station wds: Modo estao que pode ser colocado em
com a interface ethernet e que passa os
transparente. necessrio que o AP esteja em modo wds.
Modo de operao
: Estao que pode ser colocada em modo
, porm sempre passa ao AP seu prprio MAC.
: Modo idntico ao anterior, porm
passa ao AP um MAC pr determinado anteriormente.
: Modo estao que pode ser colocado em bridge
com a interface ethernet e que passa os MACs de forma
transparente. necessrio que o AP esteja em modo wds.
107
Interface wireless Modo de operao
alignment only: Modo utilizado para efetuar alinhamento de
antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Adqua suas configuraes conforme outro AP com
mesmo SSID.
nstreme dual slave: Ser visto no tpico especifico de
Modo de operao
: Modo utilizado para efetuar alinhamento de
antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
: Adqua suas configuraes conforme outro AP com
: Ser visto no tpico especifico de nstreme.
108
Interface wireless
Com as interfaces virtuais podemos montar
vrias redes dando perfis de servio diferentes
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as de
um AP.
Interface wireless AP Virtual
Com as interfaces virtuais podemos montar
vrias redes dando perfis de servio diferentes.
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as de
um AP.
109
Camada Fsica Camada Fsica - Wireless
Como trabalha o CSMA?
Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).
Redes wireless 802.11
utilizam o mtodo
CSMA/CA (Colision
Avoidance).
110
Protocolo Nstreme
Enable Nstreme: Habilita o nstreme.
Enable Polling: Habilita o mecanismo de
Disable CSMA: Desabilita o Carrier Sense
Framer Limit: Tamanho mximo do pacote em bytes.

- Configurao
: Habilita o mecanismo de polling. Recomendado.
Sense. Recomendado.
: Tamanho mximo do pacote em bytes.
111
Framer Policy
Dynamic size: O Mikrotik determina.
Best fit: Agrupa at o valor em Frame
Limit sem fragmentar.
Exact Size: Agrupa at o valor em Frame
Limit fragmentando se necessrio.
Protocolo Nstreme Dual
1 Colocar a interface em modo
nstreme dual slave.
2 Adicionar uma interface Nstreme
Dual e definir quem ser TX e quem
ser RX.
Obs.: Utilize sempre canais distantes.
Dual - Configurao
112
Protocolo Nstreme Dual
3 Verifique o MAC escolhido pela
interface Nstreme e informe no lado
oposto.
4 Criar uma bridge e adicionar as
interfaces ethernet e a interface
Nstreme Dual
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
Dual - Configurao
113
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
WDS & WDS MESH WDS & WDS MESH
114
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma garantir uma grande rea de
cobertura wireless utilizando vrios
mobilidade sem a necessidade de re
Para tanto, todos os APs devem ter o mesmo SSID e mesmo
canal.
WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma garantir uma grande rea de
cobertura wireless utilizando vrios APs e prover
mobilidade sem a necessidade de re-conexo dos usurios.
devem ter o mesmo SSID e mesmo
115
WDS e o protocolo STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o
looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
O RSTP inicialmente elege uma root bridge
search que quando encontra um MAC pela primeira vez, torna o link ativo. Se
encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados. No
entanto possvel interferir no comportamento padro, modificando custos,
prioridades e etc...
WDS e o protocolo STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o
na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
bridge e utiliza o algoritmo breadth-first
search que quando encontra um MAC pela primeira vez, torna o link ativo. Se
encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados. No
entanto possvel interferir no comportamento padro, modificando custos,
116
WDS e o protocolo STP
Quanto menor a prioridade, maior a
chance de ser eleita como
Quando os custos so iguais eleita a
porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
WDS e o protocolo STP
Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.
Quando os custos so iguais eleita a
porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
117
WDS e o protocolo STP
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
WDS e o protocolo STP
usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
fiquem variando, possvel atribuir um MAC
118
WDS / WDS MESH
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
static: As interfaces wds devem ser adicionadas manualmente apontando o
MAC da outra ponta.
(mesh): WDS com um algoritmo proprietrio para melhoria do link. S possui
compatibilidade com outros dispositivos Mikrotik.
WDS / WDS MESH
WDS Default Bridge: A bridge padro para as
interfaces wds.
WDS Default Cost: Custo da porta bridge do
link wds.
WDS Cost Range: Margem de custo que pode
ser ajustada com base no troughtput do link.
119
: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
: As interfaces wds devem ser adicionadas manualmente apontando o
WDS com um algoritmo proprietrio para melhoria do link. S possui
compatibilidade com outros dispositivos Mikrotik.
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge
WDS: Selecione o modo wds
dynamic-mesh.
WDS Default Bridge: Selecione
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge
WDS: Selecione o modo wds
dynamic-mesh.
WDS Default Bridge: Selecione
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
120
Interface Wireless Controle de Acesso
A Access List utilizada pelo AP para restringir
associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.
A comunicao entre clientes da mesma interface, virtual
ou real, tambm controlada na Access
Controle de Acesso
utilizada pelo AP para restringir
associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.
A comunicao entre clientes da mesma interface, virtual
ou real, tambm controlada na Access List.
121
Interface Wireless Controle de Acesso
O processo de associao ocorre
da seguinte forma:
1. Um cliente tenta se associar a uma interface
2. Seu MAC procurado na access
3. Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou
no;
Fowarding: Define se os clientes podero se comunicar.
Controle de Acesso
O processo de associao ocorre
Um cliente tenta se associar a uma interface wlan;
access list da interface wlan;
Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou
: Define se os clientes podero se comunicar.
122
Interface Wireless
MAC Address: Endereo MAC a ser liberado
ou bloqueado.
Interface: Interface real ou virtual onde ser
feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado para o
cliente.
Client Tx Limit: Limite de trfego enviado do
cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de
desautenticao. Somente compatvel com outros
Interface Wireless Access List
: Endereo MAC a ser liberado
: Interface real ou virtual onde ser
: Limite de trfego enviado para o
: Limite de trfego enviado do
123
: Chave usada para evitar ataques de
. Somente compatvel com outros Mikrotiks.
Interface Wireless
A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix: String para conexo com AP de mesma rea
Security Profile: Definido nos perfis de segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
Interface Wireless Connect List
tem a finalidade de listar
que o Mikrotik configurado como
: String para conexo com AP de mesma rea
: Definido nos perfis de segurana.
: Essa uma boa opo para evitar que o cliente se associe a um AP
124
Segurana de Acesso em redes sem fio Segurana de Acesso em redes sem fio
125
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request
clientes.
Falsa segurana
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
. Este comportamento
pode ser modificado no Mikrotik
SSID.
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
request dos
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
Falsa segurana
que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
um MAC bem simples. Tanto usando
ou Mikrotik.
127
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
Falsa segurana
Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
Hoje com essas ferramentas bem simples quebrar a WEP.
128
Evoluo dos padres de segurana Evoluo dos padres de segurana
129
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
Fundamentos de Segurana
As informaes no podem ser legveis para terceiros.
As informaes no podem ser alteradas quando em transito.
AP Cliente: O AP tem que garantir que o cliente quem diz
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
130
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza
Para a integridade dos dados WPA usa TKIP(Algoritmo
de Hashing Michael) e WPA2 usa CCMP(
Chaining Message Authentication
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo
Michael) e WPA2 usa CCMP(Cipher
Authentication Check CBC MAC)
131
Chave WPA e WPA2
A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
Configure o modo de chave
dinmico e a chave pr-combinada
para cada tipo de autenticao.
Obs.: As chaves so alfanumricas de
8 at 64 caracteres.
Chave WPA e WPA2 - PSK
combinada
Obs.: As chaves so alfanumricas de
132
Segurana de WPA / WPA2
Atualmente a nica maneira conhecida para se quebrar a
WPA-PSK somente por ataque de dicionrio.
Como a chave mestra PMK combina uma contra
com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente impossvel.
A maior fragilidade paras os WISPs
encontra em texto plano nos computadores dos clientes
ou no prprio Mikrotik.
Segurana de WPA / WPA2
Atualmente a nica maneira conhecida para se quebrar a
PSK somente por ataque de dicionrio.
Como a chave mestra PMK combina uma contra-senha
com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente impossvel.
WISPs que a chave se
encontra em texto plano nos computadores dos clientes
133
Configurando EAP-TLS
Crie o perfil EAP-TLS e associe a
interface Wireless cliente.
Sem Certificados
134
Segurana de EAP-TLS sem certificados
O resultado da negociao annima resulta em uma
chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configurao e negociar a chave normalmente
como se fosse um cliente.
Uma idia para utilizar essa configurao de forma
segura criando um tnel criptografado
entre os equipamentos depois de fechado o enlace.
TLS sem certificados
O resultado da negociao annima resulta em uma
chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configurao e negociar a chave normalmente
Uma idia para utilizar essa configurao de forma
segura criando um tnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados
Certificado digital um arquivo que identifica de
forma inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras
chamadas de CA (Certificate
Os certificados podem ser:
Assinados por uma instituio acreditada (
Thawte, etc...)
Certificados auto-assinados.
Trabalhando com certificados
Certificado digital um arquivo que identifica de
forma inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras
Certificate Authorities).
Os certificados podem ser:
Assinados por uma instituio acreditada (Verisign,
assinados.
136
Passos para implementao de EAP
com certificados auto Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisies de Certificados
3. Assinar as requisies na CA
4. Importar os certificados assinados para os
5. Se necessrio, criar os certificados para mquinas
windows
Passos para implementao de EAP-TLS
com certificados auto Assinados
Crie a entidade certificadora(CA)
Crie as requisies de Certificados
Importar os certificados assinados para os Mikrotiks
Se necessrio, criar os certificados para mquinas
137
EAP-TLS sem Radius em ambos lados
O mtodo EAP
tambm pode ser
usado com
certificados.
em ambos lados
O mtodo EAP-TLS
tambm pode ser
usado com
certificados.
138
EAP-TLS sem Radius em ambos lados
Metodos TLS
dont verify certificate: Requer um
certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
em ambos lados
: Requer um
certificado, porm no verifica.
: Certificados so
negociados dinamicamente com o
certificado e verifica se foi assinado
139
WPAx com com radius
140
EAP-TLS com certificado
EAP-TLS (EAP Transport Layer
O Mikrotik suporta EAP-TLS tanto como cliente como AP e
ainda repassa esse mtodo para um Servidor
Prover maior nvel de segurana e necessita de certificados em
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor
pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius
mikrotik
TLS com certificado
Layer Security)
TLS tanto como cliente como AP e
ainda repassa esse mtodo para um Servidor Radius.
Prover maior nvel de segurana e necessita de certificados em
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
linux.org/wiki/Tutoriais/Wireless/freeradius-
141
EAP-TLS com Radius
A configurao da parte do
cliente bem simples.
Selecione o mtodo EAP-TLS
Certifique-se que os
certificados esto instalados
e assinados pela CA.
Associe o novo perfil de
segurana a interface
wireless correspondente.
em ambos lados
A configurao da parte do
TLS
certificados esto instalados
142
EAP-TLS com Radius
No lado do AP selecione o
mtodo EAP passthrough.
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
em ambos lados
.
143
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
Segurana de EAP-TLS com
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Se um atacante tem acesso fsico ao link entre o AP e o
ele pode tentar um ataque de fora bruta para descobrir a
PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
TLS com Radius
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
Se um atacante tem acesso fsico ao link entre o AP e o Radius
ele pode tentar um ataque de fora bruta para descobrir a
Uma forma de proteger este trecho usando um tnel L2TP.
144
Ponto de fragilidade
Resumo dos metodos
implantao e seus problemas.
WPA-PSK
Chaves presentes nos clientes e acessveis aos operadores.
Mtodo sem certificados
Passvel de invaso por equipamento que tambm opere
nesse modo.
Problemas com processador.
Mikrotik com Mikrotik com EAP
Mtodo seguro porm invivel economicamente e de
implantao praticamente impossvel em redes existentes.
metodos de
implantao e seus problemas.
Chaves presentes nos clientes e acessveis aos operadores.
Passvel de invaso por equipamento que tambm opere
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS
Mtodo seguro porm invivel economicamente e de
implantao praticamente impossvel em redes existentes.
145
Resumo dos mtodos de
implantao e seus problemas.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homem do meio e pouco disponvel
em equipamentos atuais.
EPA-TLS
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
implement-lo.
Resumo dos mtodos de
implantao e seus problemas.
Sujeito ao ataque do homem do meio e pouco disponvel
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
146
Mtodo alternativo com Mikrotik
A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access
e vinculada ao MAC Address do cliente, possibilitando que cada um tenha
sua chave.
Mtodo alternativo com Mikrotik
A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
do cliente, possibilitando que cada um tenha
147
Obs.: Cadastrando as PSK na access list,
voltamos ao problema da chave ser visvel a
usurios do Mikrotik.
Mtodo alternativo com Mikrotik
Por outro lado, o Mikrotik permite que essas
chaves sejam distribudas por
esse mtodo muito interessante.
Para isso necessrio:
Criar um perfil WPA2 qualquer;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como
no Radius.
Mtodo alternativo com Mikrotik
Por outro lado, o Mikrotik permite que essas
chaves sejam distribudas por Radius, o que torna
esse mtodo muito interessante.
Criar um perfil WPA2 qualquer;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como
148
Mtodo alternativo com Mikrotik
Configurando o perfil:
Mtodo alternativo com Mikrotik
149
Configurando o
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password
# Mikrotik-Wireless
000C42000001 Cleartext-Password
Mikrotik-Wireless
000C42000002 Cleartext-Password
Mikrotik-Wireless
Configurando o Radius
Password:=MAC
Wireless-Psk = Chave_Psk
Password:=000C42000001
Wireless-Psk = 12341234
Password:=000C43000002
Wireless-Psk = 2020202020ABC
150
Corrigindo o dicionrio de atributos
VENDOR Mikrotik
ATTRIBUTE Mikrotik-Recv-Limit 1
ATTRIBUTE Mikrotik-Xmit-Limit
ATTRIBUTE Mikrotik-Group
ATTRIBUTE Mikrotik-Wireless-Forward
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x
ATTRIBUTE Mikrotik-Wireless-Enc-Algo
ATTRIBUTE Mikrotik-Wireless-Enc-Key
ATTRIBUTE Mikrotik-Rate-Limit
ATTRIBUTE Mikrotik-Realm
ATTRIBUTE Mikrotik-Host-IP
ATTRIBUTE Mikrotik-Mark-Id
ATTRIBUTE Mikrotik-Advertise-URL
ATTRIBUTE Mikrotik-Advertise-Interval
ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords
ATTRIBUTE Mikrotik-Wireless-Psk
(/usr/share/freeradius/dictionary
Corrigindo o dicionrio de atributos
14988
integer
2 integer
3 string
4 integer
5 integer
6 integer
7 string
8 string
9 string
10 ipaddr
11 string
12 string
13 integer
integer
15 integer
16 string
151
dictionary.mikrotik)
Firewall no Mikrotik Firewall no Mikrotik
152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
Filter Rules: Regras para filtro de pacotes.
NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
Opes
: Regras para filtro de pacotes.
: Onde feito a traduo de endereos e portas.
: Marcao de pacotes, conexo e roteamento.
: Onde so localizados os NAT Helpers.
: Onde so localizadas as conexes existentes.
inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
154
Firewall Canais default
O Firewall opera por meio de regras. Uma regra uma
expresso lgica que diz ao roteador o que fazer com
um tipo particular de pacote.
Regras so organizadas em canais(
canais default.
INPUT: Responsvel pelo trfego que
OUTPUT: Responsvel pelo trfego que
FORWARD: Responsvel pelo trfego que
Canais default
O Firewall opera por meio de regras. Uma regra uma
expresso lgica que diz ao roteador o que fazer com
um tipo particular de pacote.
Regras so organizadas em canais(chain) e existem 3
: Responsvel pelo trfego que CHEGA no router;
: Responsvel pelo trfego que SAI do router;
: Responsvel pelo trfego que PASSA pelo router.
155
Firewall Fluxo de pacotes
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Interface de
Entrada
Filtro Forward
Processo Local IN
Filtro Input
Deciso de
Roteamento
Fluxo de pacotes
Packet_Flow
156
Interface de
Saida
Forward
Processo Local
OUT
Filtro Output
Deciso de
Roteamento
Firewall Princpios gerais
1. As regras de firewall so sempre processadas por canal,
na ordem que so listadas de cima pra baixo.
2. As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
3. Se um pacote no atende TODAS
ele passa para a regra seguinte.
Princpios gerais
As regras de firewall so sempre processadas por canal,
na ordem que so listadas de cima pra baixo.
As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
TODAS condies de uma regra,
ele passa para a regra seguinte.
157
Firewall Princpios gerais
4. Quando um pacote atende
regra, uma ao tomada com ele no importando
as regras que estejam abaixo nesse canal, pois elas
no sero processadas.
5. Algumas excees ao critrio acima devem ser
consideradas como as aes de:
add to address list.
6. Um pacote que no se enquadre em qualquer regra
do canal, por padro ser aceito.
Princpios gerais
Quando um pacote atende TODAS as condies da
regra, uma ao tomada com ele no importando
as regras que estejam abaixo nesse canal, pois elas
Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough, log e
Um pacote que no se enquadre em qualquer regra
do canal, por padro ser aceito.
158
Firewall Filters
As regras de filtro pode ser organizadas e
mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
Filters Rules
As regras de filtro pode ser organizadas e
mostradas da seguinte forma:
: Regras criadas dinamicamente por servios.
: Regras referente a cada canal.
: Regras criadas estaticamente pelos usurios.
159
Firewall Filters
Algumas aes que podem ser tomadas nos filtros de firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
aloca recursos.
Filters Rules
Algumas aes que podem ser tomadas nos filtros de firewall:
: Contabiliza e passa adiante.
: Descarta o pacote silenciosamente.
: Descarta o pacote e responde com uma mensagem de icmp ou
: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
160
Filter Rules Canais criados pelo usurio
Alm dos canais padro o administrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
atravs de uma ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
Canais criados pelo usurio
Alm dos canais padro o administrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
161
Firewall Filters
Aes relativas a canais criados
pelo usurio:
jump: Salta para um canal
definido em jump-target
jump target: Nome do canal para
onde se deve saltar
return: Retorna para o canal que
chamou o jump
Filters Rules
Aes relativas a canais criados
: Salta para um canal
: Nome do canal para
: Retorna para o canal que
162
Como funciona o canal criado pelo usurio
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
Como funciona o canal criado pelo usurio
163
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Canal criado
pelo usurio
Como funciona o canal criado pelo usurio
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
Como funciona o canal criado pelo usurio
164
REGRA
REGRA
REGRA
RETURN
REGRA
REGRA
REGRA
REGRA
Caso exista alguma
regra de RETURN, o
retorno feito de
forma antecipada e
as regras abaixo
sero ignoradas.
Firewall Address
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica usando o filtro ou
conforme abaixo:
Aes:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Porque quanto tempo a entrada permanecer na lista.
Address List
contm uma lista de endereos IP que pode ser utilizada em
se adicionar entradas de forma dinmica usando o filtro ou mangle
: Adiciona o IP de destino lista.
: Adiciona o IP de origem lista.
: Nome da lista de endereos.
: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do Tcnica do knock knock
166
Firewall Tcnica do
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address
Neste exemplo iremos restringir o acesso ao
estejam na lista libera_winbox
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address
address-list=libera_winbox address-list-timeout=15m comment
add chain=input protocol=tcp dst-port=8291 src-address
add chain=input protocol=tcp dst-port=8291 action=drop
Tcnica do knock knock
consiste em permitir acesso ao roteador somente aps ter
address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
add-src-to-address-list address-list=knock \
address-list=knock action= add-src-to-address-list \
comment="" disabled=no
address-list=libera_winbox action=accept disabled=no
drop disbled=no
167
Firewall Connection
Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection
statefull e so mais seguros que os que fazem processamentos
stateless.
Connection Track
se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection track so chamados de
e so mais seguros que os que fazem processamentos
168
Firewall Connection
O sistema de connection track
firewall. Ele obtm e mantm informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit
Connection Track
track o corao do
firewall. Ele obtm e mantm informaes sobre
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
exigente de recursos de
hardware. Quando o equipamento trabalha somente
aconselhvel desabilit-la.
169
Localizao da Connection
Interface de
Entrada
Filtro Forward
Processo Local IN
Filtro Input
Deciso de
Roteamento
Conntrack
Localizao da Connection Tracking
170
Interface de
Saida
Forward
Processo Local
OUT
Filtro Output
Deciso de
Roteamento
Conntrack
Firewall Connection
Estado das conexes:
established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
Connection Track
: Significa que o pacote faz parte de uma conexo j
: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
171
Firewall
Protegendo o Roteador e os Clientes
Firewall
Protegendo o Roteador e os Clientes
172
Princpios bsicos de proteo
Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador
Proteo da rede interna
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes.
Princpios bsicos de proteo
Tratamento das conexes e eliminao de trfego
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador.
Tratamento das conexes e eliminao de trfego
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes.
173
Firewall Tratamento de conexes
Regras do canal input
Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
Firewall Tratamento de conexes
Regras do canal input
Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
174
Firewall Controle de servios
Regras do canal input
Permitir acesso externo ao winbox
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
Firewall Controle de servios
Regras do canal input
Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
175
Firewall Filtrando trfego
prejudicial/intil
Bloquear portas mais comuns utilizadas por vrus.
Baixar lista com portas e protocolos utilizados por vrus.
ftp://172.31.254.1/virus.rsc
Importar o arquivo virus.rsc
as regras funcionem.
Firewall Filtrando trfego
prejudicial/intil
Bloquear portas mais comuns utilizadas por vrus.
Baixar lista com portas e protocolos utilizados por vrus.
ftp://172.31.254.1/virus.rsc
Importar o arquivo virus.rsc e criar um jump para que
as regras funcionem.
176
Firewall Filtrando trfego indesejvel e
possveis ataques.
Controle de ICMP
Internet Control Message Protocol
ferramenta para diagnstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
Filtrando trfego indesejvel e
possveis ataques.
Protocol basicamente uma
ferramenta para diagnstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
Mensagens (0:0) e (8:0)
Mensagens (11:0) e (3:3)
Os outros tipos de ICMP podem ser bloqueados.
177
Firewall Filtrando trfego indesejvel
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
Uma lista atualizada de IPs bogons
http://www.team-cymru.org/Services/Bogons/bogon
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr
Filtrando trfego indesejvel
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
bogons pode ser encontrada em:
cymru.org/Services/Bogons/bogon-dd.html
Muitos aplicativos mal configurados geram pacotes destinados a
privados e uma boa prtica filtr-los.
178
Firewal Proteo bsica
Ping Flood:
Ping Flood consiste no envio
de grandes volumes de
mensagens ICMP aleatrias.
possvel detectar essa
condio no Mikrotik criando
uma regra em firewall filter e
podemos associ-la a uma
regra de log para monitorar a
origem do ataque.
Proteo bsica
consiste no envio
condio no Mikrotik criando
e
para monitorar a
179
Firewal Proteo bsica
Port Scan:
Consiste no scaneamento de portas TCP e/ou UDP.
A deteco de ataques somente possvel para o protocolo
TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)
Proteo bsica
de portas TCP e/ou UDP.
A deteco de ataques somente possvel para o protocolo
180
Firewal Proteo bsica
Ataques DoS:
O principal objetivo do ataque de
recursos de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
Proteo bsica
O principal objetivo do ataque de DoS o consumo de
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK e
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
com mais de 15 conexes com o roteador
podem ser considerados atacantes.
181
Firewal Proteo bsica
Ataques DoS:
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a
proteo em dois estgios:
Deteco Criar uma lista de atacantes
connection limit.
Supresso Aplicando restries aos que forem detectados.
Proteo bsica
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a
Criar uma lista de atacantes DoS com base em
Aplicando restries aos que forem detectados.
182
Firewal Proteo para ataques Proteo para ataques DoS
Criar a lista de atacantes
para posteriormente
aplicarmos a supresso
adequada.
183
Firewal Proteo para ataques
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.
Essa regra deve ser
colocada antes da regra de
deteco ou ento a
address list ir reescrev-la
todo tempo.
Proteo para ataques DoS
184
184
Firewal Proteo bsica
Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS,
porm partem de um grande
nmero de hosts infectados.
A nica medida que podemos
tomar habilitar a opo TCP
SynCookie no Connection
Track do firewall.
Proteo bsica
so bastante
porm partem de um grande
nmero de hosts infectados.
A nica medida que podemos
tomar habilitar a opo TCP
185
Firewall -
NAT Network Address Translation
vrios hosts em uma LAN usem um conjunto de endereos
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT.
Src NAT: Quando o roteador reescreve o IP ou porta de origem.
Dst NAT: Quando o roteador reescreve o IP ou porta de destino.
SRC DST SRC NAT
DST NAT SRC DST
- NAT
Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
NAT: Quando o roteador reescreve o IP ou porta de origem.
NAT: Quando o roteador reescreve o IP ou porta de destino.
186
Novo SRC DST
SRC Novo DST
Firewall -
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em
INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.
- NAT
As regras de NAT so organizadas em canais:
: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em
: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.
187
Firewall NAT Fluxo de pacotes
Interface de
Entrada
Filtro Forward
Processo Local IN
Filtro Input
Deciso de
Roteamento
Conntrack
dstnat
Fluxo de pacotes
188
Interface de
Saida
Forward
Processo Local
OUT
Filtro Output
Deciso de
Roteamento
Conntrack srcnat
Firewall -
Source NAT: A ao mascarade troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se temos,
por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma
rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
Desta forma, todos os endereos
vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
- NAT
troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se temos,
por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma
rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
189
Desta forma, todos os endereos IPs da rede local
vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
Firewall -
NAT (1:1): Serve para dar acesso bi-direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice
- NAT
direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
190
Firewall -
Redirecionamento de portas: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma
podemos dar acesso a servios de clientes sem utilizao de endereo IP
pblico.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
- NAT
: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma
podemos dar acesso a servios de clientes sem utilizao de endereo IP
191
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
Firewall -
NAT (1:1) com netmap: Com o netmap
bi-direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
- NAT
netmap podemos criar o mesmo acesso
direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Firewall NAT
Hosts atrs de uma rede nateada no possuem conectividade
fimverdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT
tm a funo de auxiliar nesses servios.
NAT Helpers
no possuem conectividade fim-a-
verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers que
tm a funo de auxiliar nesses servios.
193
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a introduo de
marcas em pacotes IP ou em conexes, com base em um determinado
comportamento especifico.
As marcas introduzidas pelo mangle
futuro e delas fazem uso o controle de banda,
existem somente no roteador e portanto no so passadas para fora.
Com o mangle tambm possvel manipular o determinados campos
do cabealho IP como o ToS, TTL, etc...
Mangle
no Mikrotik uma facilidade que permite a introduo de
marcas em pacotes IP ou em conexes, com base em um determinado
mangle so utilizadas em processamento
futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas
existem somente no roteador e portanto no so passadas para fora.
tambm possvel manipular o determinados campos
, TTL, etc...
194
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
quanto a sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:
prerouting: Marca antes da fila Global
postrouting: Marca antes da fila
input: Marca antes do filtro input;
output: Marca antes do filtro output;
forward: Marca antes do filtro
Mangle
so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
Tambm possvel criar canais pelo prprio usurio.
: Marca antes da fila Global-in;
: Marca antes da fila Global-out;
: Marca antes do filtro input;
: Marca antes do filtro output;
: Marca antes do filtro forward;
195
Firewall Diagrama do
Interface de
Entrada
Mangle
Forward
Processo Local IN
Processo Local
Mangle Input Mangle
Deciso de
Roteamento
Mangle
Prerouting
Diagrama do Mangle
196
Interface de
Saida
Mangle
Forward
Processo Local
OUT
Mangle Output
Deciso de
Roteamento
Mangle
Postrouting
Firewall Mangle
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo
tempo. Porm no pode conter 2 marcas iguais.
Mangle
As opes de marcaes incluem:
: Marca apenas o primeiro pacote.
: Marca todos os pacotes.
: Marca pacotes para poltica de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo
tempo. Porm no pode conter 2 marcas iguais.
197
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou um grupo
de conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a
uma conexo especfica.
Mangle
para identificar uma ou um grupo
de conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
facilita na associao de cada pacote a
198
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no tpico
do roteamento.
Mangle
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no tpico
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo continuo
de pacotes.
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de
Mangle
para identificar um fluxo continuo
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexo previamente
criadas. Esta a forma mais rpida e eficiente.
Diretamente: Sem o uso da connection
necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
Mangle
: Usando a facilidade da connection
, com base em marcas de conexo previamente
criadas. Esta a forma mais rpida e eficiente.
: Sem o uso da connection tracking no
necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
Firewall Estrutura Estrutura
202
Firewall Fluxo de pacotes Fluxo de pacotes
203
Firewall - Mangle
Um bom exemplo da utilizao do
marcando pacotes de conexes P2P.
Aps marcar a conexo, agora
precisamos marcar os pacotes
provenientes desta conexo.
Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes de conexes P2P.
204
Aps marcar a conexo, agora
precisamos marcar os pacotes
provenientes desta conexo.
Firewall - Mangle
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os programas
que usam criptografia.
Mangle
205
Com base na conexo j
marcada anteriormente,
podemos fazer as marcaes
dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os programas
Firewall - Mangle
possvel disponibilizar um modelo simples de
utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:
Navegao http e https;
FTP
Email
MSN
ICMP
P2P
Demais servios
Firewall - Mangle
possvel disponibilizar um modelo simples de QoS
utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:
Navegao http e https;
FTP
Email
MSN
ICMP
P2P
Demais servios
206
Dvidas ??? Dvidas ???
207
QoS e Controle de banda e Controle de banda
208
Conceitos bsicos de Largura e Limite
de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de
dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
Conceitos bsicos de Largura e Limite
de banda
: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de
de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
(7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre
de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
209
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo,
Os programas de traffic shaping podem ainda fazer
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
Shaping
um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
podem ainda fazer logs dos hbitos de utilizadores,
acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
210
Qualidade de Servio
No campo das telecomunicaes e redes de computadores
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
Em redes de comutao de circuitos, refere
estabelecer uma ligao a um destino. Em redes de
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias
oferecer bastantes recursos, suficientes para o
segurana substancial. simples e eficaz, mas na prtica assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto:
reservar recursos gasta tempo. O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo
monetrio associado!
Qualidade de Servio
redes de computadores, o termo Qualidade de
) pode tender para duas interpretaes relacionadas, mas distintas.
, refere-se probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura
recursos, suficientes para o pico esperado, com uma margem de
segurana substancial. simples e eficaz, mas na prtica assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto:
O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
las com confiabilidade. Naturalmente, as reservas podem ter um custo
211
Qualidade de Servio
Os mecanismos para prover
Limitar banda para certos IPs
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
IPs, subredes, protocolos,
servios e outros parmetros.
Priorizar certos fluxos de dados em relao a outros.
para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Wireless Multimdia.
Switch
212
Qualidade de Servio
Os principais termos utilizados em
Queuing discipline(qdisc): Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reorden-los, e determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information
dados que ser fornecida. Ou seja, limite a partir do qual os
pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.
Qualidade de Servio
Os principais termos utilizados em QoS so:
: Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
los, e determina quais pacotes sero descartados.
Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os
: a ordem de importncia que o trfego processado.
se determinar qual tipo de trfego ser processado
213
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
roteador. Ou seja: As filas so aplicadas na interface onde o
fluxo est saindo.
A limitao de banda feita mediante o descarte de pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam deixando o
roteador. Ou seja: As filas so aplicadas na interface onde o
A limitao de banda feita mediante o descarte de pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
214
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma
disciplina de filas(queue types). Por padro as disciplinas de filas so
colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da
interface, definida em queue interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
interface com prioridade mxima.
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma
). Por padro as disciplinas de filas so
interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da
interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas
so: PFIFO, BFIFO, SFQ, PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
: Tambm fazem limitao. Esses so: PCQ e HTB.
216
Controle de trfego Controle de trfego
217
Controle de trfego
O controle de trfego implementado atravs de
dois mecanismos:
Pacotes so policiados na entrada
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada
Pacotes podem ser atrasados, descartados ou priorizados.
Controle de trfego
O controle de trfego implementado atravs de
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:
Pacotes podem ser atrasados, descartados ou priorizados.
218
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um
Filters:
Utilizados para classificar os pacotes e atribu
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
Controle de trfego
O controle de trfego implementado internamente por 4
Algoritmos que controlam o enfileiramento e envio de pacotes.
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Utilizados para classificar os pacotes e atribu-los as classes.
Utilizados para evitar que o trfego associado a cada filtro
219
Controle de trfego
PFIFO e BFIFO: Estas disciplinas de filas so baseadas no algoritmo FIFO(
First-out), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
um parmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
Controle de trfego Tipos de fila
: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in
), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
220
Controle de trfego
RED: RandomEarly Detection Deteco Aleatria Antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em
threshould, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
real da fila muito maior que o max threshould
excederem o min threshould sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
Controle de trfego Tipos de fila
Deteco Aleatria Antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min
, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
threshould ento todos os pacotes que
sero descartados.
indicado em links congestionados com altas taxas de dados. Como muito
221
Controle de trfego
SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia
uma disciplina que tem justia assegurada por algoritmos de
roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
src-address
dst-address
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub
round roubin distribui a banda disponvel para estas sub
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
Controle de trfego Tipos de fila
Enfileiramento Estocstico com justia
uma disciplina que tem justia assegurada por algoritmos de hashing e round
. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo
distribui a banda disponvel para estas sub-filas, a cada rodada
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
222
Controle de trfego
SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub
disponveis.
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ especialmente recomendado em
conexes wireless.
Controle de trfego Tipos de fila
: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ especialmente recomendado em
223
Controle de trfego
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq
transmisso estabelecida em rate e o tamanho mximo igual a
de uma fila PCQ fica limitado ao configurado em
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
Controle de trfego Tipos de fila
Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm
pcq-classifier. Cada sub-fila tem uma taxa de
e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
224
Controle de trfego
PCQ: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub
a limitao ou equalizao para cada sub-fila com o parmetro
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configurado na interface local.
Controle de trfego Tipos de fila
: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas diferentes. Nesse caso possvel fazer
fila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
e configurado na interface local.
225
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
limitar download e upload de usurios em uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tem filhas so colocadas no
level 0, onde as filas so mantidas e chamadas de
leafs class.
Cada classe na hierarquia pode priorizar e dar
forma ao trfego.
HTB
uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
de usurios em uma rede. Desta forma no existe
da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
226
QoS - HTB
Exemplo de HTB
HTB
227
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 ir receber 6Mbps
Queue04 ir receber 2Mbps
Queue05 ir receber 2Mbps
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
QoS - HTB
Exemplo de HTB
HTB
228
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 ir receber 2Mbps
Queue04 ir receber 6Mbps
Queue05 ir receber 2Mbps
Obs.: Aps satisfazer todas garantias, o HTB disponibilizar
mais banda, at o mximo permitido para a fila com maior
prioridade. Mas, neste caso, permitir-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receber primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuida.
QoS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub
classes(inner class) ou apenas uma e um
HTB
: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
, sem atravessar a rvore HTB. Se um pacote no est classificado
, enviado a interface diretamente, por isso nenhuma
: Posio de uma classe na hierarquia.
: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub-
) ou apenas uma e um qdisc(leaf classe).
229
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde: de 0% a 50% da banda disponvel est em
uso.
Amarelo: de 51% a 75% da banda disponvel est
em uso.
Vermelho: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o
HTB
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
: de 0% a 50% da banda disponvel est em
: de 51% a 75% da banda disponvel est
: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global-
roteador, antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma
limitao feita em ambas direes. Por exemplo se configurarmos um
max-limit de 300kbps, teremos um total de download+
podendo haver assimetria.
Interface X: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
: Representa todas as interfaces de entrada em geral(INGRESS
-in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
: Representa todas as interfaces de saida em geral(EGRESS queue).
recebem todo trfego que sai do roteador.
: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um total-
de 300kbps, teremos um total de download+upload de 300kbps,
: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
231
Interfaces virtuais e o
Interface de
Entrada
Mangle
Forward
Processo Local IN
Processo Local
Mangle Input Mangle
Deciso de
Roteamento
Mangle
Prerouting
Global-in
Interfaces virtuais e o Mangle
232
Interface de
Saida
Mangle
Forward
Processo Local
OUT
Mangle Output
Deciso de
Roteamento
Mangle
Posrouting
Global-out
Filas simples
As principais propriedades configurveis de uma fila simples so:
Limite por direo de IP de origem ou destino
Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e
Horrio.
Filas simples
As principais propriedades configurveis de uma fila simples so:
Limite por direo de IP de origem ou destino
para download e upload
233
Filas simples

Os parmetros que controlam o burst


burst-limit: Limite mximo que o burst
burst-time: Tempo que durar o burst
burst-threshold: Patamar para comear a limitar.
max-limit: MIR
Filas simples - Burst
Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
234
so:
burst alcanar.
burst.
: Patamar para comear a limitar.
Como funciona o
Inicialmente dado ao cliente a banda burst
taxa mdia de consumo de banda durante o
Com 1 segundo a taxa mdia de 64kbps. Abaixo do
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o
A partir deste momento a taxa mxima do cliente passa a ser o
Como funciona o Burst
burst-limit=512kbps. O algoritmo calcula a
taxa mdia de consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.
235
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento
Devem ainda ser escolhidos os seguintes
parmetros:
pcq-classifier
pcq-rate
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
236
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as
limitadas, ou seja, elas podero usar a largura mxima de banda
disponvel em max-limit.
Caso 2: Se configurarmos um rate
limitadas nesse rate, at o total de
Caso 1 Caso 2
Utilizao do PCQ
configurado como zero, as subqueues no so
limitadas, ou seja, elas podero usar a largura mxima de banda
rate para a PCQ as subqueues sero
limitadas nesse rate, at o total de max-limit.
237
Caso 1 Caso 2
Utilizao do PCQ
Nesse caso, com o rate da fila 128k, no
existe limit-at e tem um max-limit de 512k,
os clientes recebero a banda da seguinte
forma:
Utilizao do PCQ
238
Utilizao do PCQ
Nesse caso, com o rate da fila 0, no existe
limit-at e tem um max-limit de 512k, os
clientes recebero a banda da seguinte
forma:
Utilizao do PCQ
239
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao
outros, determinando assim uma poltica de
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo
enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego
in e/ou global-out, limitao por cliente na interface de sada. Se configurado
filas simples e rvores de filas no mesmo roteador, as filas simples recebero o
trfego primeiro e em seguida o classficaro
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao
outros, determinando assim uma poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so
faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-
, limitao por cliente na interface de sada. Se configurado
filas simples e rvores de filas no mesmo roteador, as filas simples recebero o
classficaro.
240
Arvores de Fila
As rvores de fila so configuradas em
queue tree.
Dentre as propriedades configurveis
podemos destacar:
Escolher uma marca de trfego feita no
firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.
Arvores de Fila
241
Arvores de Fila
QUEUE MARCA LIMIT-
Q1 C1 10M
Q2 C2 1M
Q3 C3 1M
Q4 C4 1M
Q5 C5 1M
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
Arvores de Fila
LIMIT-AT MAX-LIMIT PRIORITY
10M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
242
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
Arvores de Fila
Filas com parent (hierarquia).
Arvores de Fila
Filas com parent (hierarquia).
243
Arvores de Fila
C1 possui maior prioridade, portanto consegue
atingir o max-limit. O restante da banda
dividida entre as outras leaf
Arvores de Fila
C1 possui maior prioridade, portanto consegue
atingir o max-limit. O restante da banda
dividida entre as outras leaf-queue.
244
Dvidas??? Dvidas???
245
Tneis e VPN Tneis e VPN
246
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade das comunicaes requeridas. Quando adequadamente
implementados, estes protocolos podem assegurar comunicaes seguras
atravs de redes inseguras.
VPN
Uma Rede Privada Virtual uma rede de
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
247
seguras usam protocolos de criptografia por tunelamento que fornecem
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade das comunicaes requeridas. Quando adequadamente
implementados, estes protocolos podem assegurar comunicaes seguras
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo
segurana definidos.
A base da formao das VPNs
pontos, porm tunelamento no sinnimo de VPN.
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
248
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
249
PPP Definies Comuns para os
servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve
se definir valores menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o qual o
roteador comea a mandar pacotes de keepalive
reposta recebida pelo perodo de 2 vezes o definido em
cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap: Usurio e senha em texto plano sem
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
Definies Comuns para os
servios
: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-
se definir valores menores para evitar fragmentao.
250
: Define o perodo de tempo em segundos aps o qual o
keepalive por segundo. Se nenhuma
reposta recebida pelo perodo de 2 vezes o definido em keepalive timeout o
As formas de autenticao permitidas so:
: Usurio e senha em texto plano sem criptografica.
Usurio e senha com criptografia.
da Microsoft conf. RFC 2433
da Microsoft conf. RFC 2759
PPP Definies Comuns para os
servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
Definies Comuns para os
servios
: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
251
PPP Definies Comuns para os
servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns caso o PMTUD est quebrado ou os
roteadores no conseguem trocar informaes de maneira eficiente e causam uma
srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde possvel interferir e configurar uma diminuio do
MSS dos prximos pacotes atravs do tnel visando resolver o problema.
Definies Comuns para os
servios
, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
lo. Em alguns caso o PMTUD est quebrado ou os
roteadores no conseguem trocar informaes de maneira eficiente e causam uma
srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde possvel interferir e configurar uma diminuio do
MSS dos prximos pacotes atravs do tnel visando resolver o problema.
252
PPPoE Cliente e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
mais.
Muito usado para autenticao de clientes com base em
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de
criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde
que o cliente suporte este mtodo.
Cliente e Servidor
uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor
(concentrador) normalmente operando em conjunto com um servidor
. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite
criao e gerenciamento de usurios e senhas em uma tabela local.
por padro no criptografado. O mtodo MPPE pode ser usado desde
253
PPPoE Cliente e Servidor
O cliente descobre o servidor atravs do protocolo
pppoe discovery que tem o nome do servio a ser
utilizado.
Precisa estar no mesmo barramento fsico ou os
dispositivos passarem pra frente as requisies
PPPoE usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na
maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.
Cliente e Servidor
O cliente descobre o servidor atravs do protocolo
que tem o nome do servio a ser
Precisa estar no mesmo barramento fsico ou os
dispositivos passarem pra frente as requisies
254
Timeout 10, e funcionar bem na
Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.
Configurao do Servidor
1. Primeiro crie um pool de
PPPoE
/ip pool add name=pool
ranges=172.16.0.2
2. Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 name=perfil-
pppoe remote-address=pool-pppoe
Configurao do Servidor PPPoE
Primeiro crie um pool de IPs para o
PPPoE.
pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
255
-
Configurao do Servidor
3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, adicione em
Caller ID. Esta opo no obrigatria, mas um
parametro a mais para segurana.
Configurao do Servidor PPPoE
password=123456
, adicione em
ID. Esta opo no obrigatria, mas um
256
Configurao do Servidor
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-
mru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes service-
name="Servidor PPPoE"
Configurao do Servidor PPPoE
vai
257
Mais sobre perfis
Bridge: Bridge
Incoming/Outgoing
firewall para pacotes entrando/saindo.
Address List
perfil.
DNS Server: Configurao dos servidores DNS a
atribuir aos clientes.
Use Compression
caso estejam em default, vo associar ao valor que
est configurado no perfil
Mais sobre perfis
Bridge para associar ao perfil
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
List: Lista de endereos IP para associar ao
DNS Server: Configurao dos servidores DNS a
atribuir aos clientes.
Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
Mais sobre perfis
Session
sesso
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit
rx-rate/
forma rx
rate rx-
burst-time
Only One
mesmo usurio.
Mais sobre perfis
Session Timeout: Durao mxima de uma
sesso PPPoE.
Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Limit: Limitao da velocidade na forma
/tx-rate. Pode ser usado tambm na
rx-rate/tx-rate rx-burst-rate/tx-burst-
-burst-threshould/tx-burst-threshould
time priority rx-rate-min/tx-rate-min.
One: Permite apenas uma sesso para o
mesmo usurio.
259
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.
Caller ID: MAC
Local/Remote
e remote(cliente) que podero ser atribudos a um
cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes que o
cliente pode trafegar por sesso
Routes: Rotas que so criadas do lado do servidor
para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.
ID: MAC Address do cliente.
Remote Address: Endereo IP Local (servidor)
(cliente) que podero ser atribudos a um
cliente em particular.
Bytes IN/Out: Quantidade em bytes que o
cliente pode trafegar por sesso PPPoE.
: Rotas que so criadas do lado do servidor
para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
260
Mais sobre o PPoE
O concentrador PPPoE
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o
1480 bytes. Em uma rede sem fio, o servidor
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
PPoE Server
PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
em 1500 bytes.
261
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
Per Host permite somente uma sesso por host(MAC
define o nmero mximo de sesses que o concentrador
Segurana no

Segurana no PPPoE
Para assegurar um servidor PPPoE pode-
se utilizar Filtros de Bridge, configurando
a entrada ou repasse dos protocolos
pppoe-discovery e pppoe-session e
descartando os demais.
Mesmo que haja somente uma interface,
ainda sim possvel utilizar os Filtros de
Bridge, bastando para tal, criar uma
Bridge e associar em Ports apenas esta
interface. Em seguida alterar no PPPoE
Server a interface de esculta.
262
Configurando o PPPoE
AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um.
Service: Nome do servio designado no servidor
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
PPPoE Client
: Nome do concentrador. Deixando em branco conecta em qualquer um.
: Nome do servio designado no servidor PPPoE.
: Disca sempre que gerado trfego de sada.
: Adiciona um rota padro(default).
.
263
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 um
protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O
protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite
enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers
NAT.
L2TP e PPTP possuem as mesma funcionalidades.
PPTP e L2TP
: Protocolo de tunelamento em camada 2 um
protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O
protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite
enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
Routers, funcionando tambm atravs de
L2TP e PPTP possuem as mesma funcionalidades.
264
Configurao do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em
e habilite o servidor PPTP conforme as figuras.
Configurao do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets
e habilite o servidor PPTP conforme as figuras.
265
Configurao do Servidor PPTP e L2TP
Configure os servidores
PPTP e L2TP.
Atente para utilizar o perfil
correto.
Configure nos hosts locais
um cliente PPTP e realize
conexo com um servidor
da outra rede.
Ex.: Hosts do Setor1 conectam
em Servidores do Setor2 e vice-
versa.
Configurao do Servidor PPTP e L2TP
266
Configurao do Cliente PPTP e L2TP
As configuraes para o cliente PPTP e L2TP so
bem simples, conforme observamos nas imagens.
Configurao do Cliente PPTP e L2TP
As configuraes para o cliente PPTP e L2TP so
bem simples, conforme observamos nas imagens.
267
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP
baseado na RFC 2003. um protocolo simples que pode ser usado pra
interligar duas intranets atravs da internet usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse uma
interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em
Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts
atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para
o host que realiza o monitoramento, sem a necessidade de criar usurio e
senha como nas VPNs.
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP
baseado na RFC 2003. um protocolo simples que pode ser usado pra
interligar duas intranets atravs da internet usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse uma
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts
atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para
o host que realiza o monitoramento, sem a necessidade de criar usurio e
268
Tneis IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
Tneis IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
269
Tneis IPIP
Agora precisamos atribuir os IPs
Aps criado o tnel IPIP as redes fazem parte do mesmo
domnio de broadcast.
Tneis IPIP
IPs as interfaces criadas.
Aps criado o tnel IPIP as redes fazem parte do mesmo
270
Tneis EoIP
EoIP(Ethernet over IP) um protocolo
proprietrio Mikrotik para encapsula mento de
todo tipo de trfego sobre o protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de
um tnel EoIP, todo o trfego passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vrios protocolos.
O protocolo EoIP possibilita:
Interligao em bridge de LANs remotas atravs da internet.
Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
EoIP
proprietrio Mikrotik para encapsula mento de
271
dos roteadores que esto interligados atravs de
, todo o trfego passado de uma lado para o outro de forma
pela internet e por vrios protocolos.
remotas atravs da internet.
atravs de tneis criptografados.
suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
encapsula frames ethernet atravs do protocolo GRE.
Tneis Tneis EoIP
Criando um tnel EoIP entre as redes por
trs dos roteadores 10.0.0.1 e
22.63.11.6.
Os MACs devem ser diferentes e estar
entre o rage: 00-00-5E-80-00-00 e 00-00-
5E-FF-FF-FF, pois so endereos
reservados para essa aplicao.
O MTU deve ser deixado em 1500 para
evitar fragmentao.
O tnel ID deve ser igual para ambos.
272
Tneis
Adicione a interface
juntamente com a interface que far
parte do mesmo
Tneis EoIP
Adicione a interface EoIP a bridge,
juntamente com a interface que far
parte do mesmo dominio de broadcast.
273
Dvidas ???? Dvidas ????
274
HotSpot no Mikrotik no Mikrotik
275
HotSpot
HotSpot um termo utilizado para se referir
onde est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings,
Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome
de usurio e senha.
Quando emuma rea de cobertura de um
navegao pela WEB arremetido para uma pgina do
credencias, normalmente usurio e senha. Ao fornec
autorizado pelo HotSpot o usurio ganha acesso internet podendo sua
atividade ser controlada e bilhetada.
HotSpot
referir a uma rea pblica
est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio wi-fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings,
276
pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome
uma rea de cobertura de um HotSpot, um usurio que tente
navegao pela WEB arremetido para uma pgina do HotSpot que pede suas
credencias, normalmente usurio e senha. Ao fornec-las e sendo um cliente
o usurio ganha acesso internet podendo sua
HotSpot
Setup do HotSpot:
1. Escolha a interface que vai ouvir
o hotspot.
2. Escolha o IP em que vai rodar o
hotspot e indique se a rede ser
mascarada.
3. D um pool de endereos que
sero distribudos para os usurios
do hotspot.
4. Selecione um certificado, caso
queira usar.
HotSpot
277
HotSpot
Setup do HotSpot(cont.):
5. Indique o endereo IP do seu
servidor smtp, caso queira.
6. D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
7. D o nome do DNS que ir
responder aos clientes ao invs
do IP.
8. Adicione um usurio padro.
Feito. O HotSpot j est pronto para
ser usado.
HotSpot
278
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
especifica para o HotSpot.
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
279
HotSpot Detalhes do Servidor
Keepalive Timeout: Utilizado para detectar se o computador do cliente est ativo e
respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de
hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando
em considerao o momento da desconexo menos o tempo configurado.
Address Per MAC: Nmero de IPs permitidos para um
determinado MAC.
Idle Timeout: Mximo perodo de tempo de inatividade
para clientes autorizados. utilizado para detectar os
clientes que esto conectados mas no esto trafegando
dados. Atingindo o tempo configurado, o cliente
retirado da lista dos hosts autorizados. O tempo
contabilizado levando em considerao o momento da
desconexo menos o tempo configurado.
Detalhes do Servidor
: Utilizado para detectar se o computador do cliente est ativo e
respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de
hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando
em considerao o momento da desconexo menos o tempo configurado.
280
permitidos para um
Mximo perodo de tempo de inatividade
para clientes autorizados. utilizado para detectar os
to conectados mas no esto trafegando
dados. Atingindo o tempo configurado, o cliente
retirado da lista dos hosts autorizados. O tempo
contabilizado levando em considerao o momento da
HotSpot Perfil do Servidor
HTML Directory: Diretrio onde so colocadas as
pginas desse hotspot.
HTTP Proxy/Port: Endereo e porta do servidor de
web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples para
todo o hotspot. Esta fila vai aps as filas dinmicas dos
usurios.
Perfil do Servidor
: Diretrio onde so colocadas as
: Endereo e porta do servidor de
: Usado para criar uma fila simples para
. Esta fila vai aps as filas dinmicas dos
281
HotSpot Perfil do Servidor
Login by:
MAC: Usa o MAC dos clientes primeiro como nome do usurio.
Se existir na tabela de usurios local ou em um Radius
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se tiver
expirado ele de usar outro mtodo.
HTTPS: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
roteador.
Trial: No requer autenticao por um determinado tempo.
Split User Domain: Corta o domnio do usurio no caso de usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies.
Perfil do Servidor
: Usa o MAC dos clientes primeiro como nome do usurio.
Radius, o cliente
para autenticar sem pedir
ou se tiver
: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
: No requer autenticao por um determinado tempo.
282
: Corta o domnio do usurio no caso de usuario@hotspot.com
.
HotSpot Perfil do Servidor
Use Radius: Utiliza servidor Radius para autenticao
dos usurios do hotspot.
Location ID e Location Name: Podem ser atribudos
aqui ou no Radius. Normalmente deixado em branco.
Accounting: Usado para registrar o histrico de
trfego, desconexes, etc...
Interim Update: Freqncia do envio de informaes
de accounting. 0 significa assim que ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.
Informao meramente para referncia.
Perfil do Servidor
para autenticao
: Podem ser atribudos
. Normalmente deixado em branco.
: Usado para registrar o histrico de logins,
: Freqncia do envio de informaes
. 0 significa assim que ocorre o evento.
: Wireless, ethernet ou cabo.
283
HotSpot Perfil de Usurios
O Use Profile
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session
Idle Timeout/
anterior, no entanto agora somente para este
perfil de usurios.
Status Autorefresh
de Status do
Shared
o mesmo username.
Perfil de Usurios
Profile serve para dar tratamento
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo permitido.
Timeout/Keepalive: Mesma explicao
anterior, no entanto agora somente para este
perfil de usurios.
Autorefresh: Tempo de refresh da pgina
de Status do HotSpot.
Users: Nmero mximo de clientes com
o mesmo username.
284
HotSpot Perfil de Usurios
Os perfis de usurio podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx-
burst-threshold
time] [priority] [
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload
256k de upload
96k threshould
8 segundos de
6 de prioridade
32k de garantia de
Perfil de Usurios
Os perfis de usurio podem conter os limites de velocidade de
forma completa.
-limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rx-
threshold/tx-burst-threshold] [rx-burst-time/tx-burst-
] [rx-limit-at/tx-limit-at]
: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
upload / 256k de download
upload burst / 512k de download burst
threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download
285
HotSpot Perfil de Usurios
Incoming Filter
pacotes que chegam do usurio deste perfil.
Outgoing Filter
pacotes vo para o usurio deste perfil.
Incoming Packet
em pacotes oriundos de usurios deste perfil.
Outgoing Packet
em pacotes que vo para usurios deste perfil.
Open Status Page
http-login: para usurios que
always: para todos usurios inclusive por MAC.
Tranparent Proxy
Perfil de Usurios
Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Filter: Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.
Packet Mark: Marca colocada automaticamente
em pacotes oriundos de usurios deste perfil.
Packet Mark: Marca colocada automaticamente
em pacotes que vo para usurios deste perfil.
Open Status Page: Mostra a pgina de status
: para usurios que logampela WEB.
: para todos usurios inclusive por MAC.
Proxy: Se deve usar proxy transparente.
286
HotSpot Perfil de Usurios
Com a opo Advertise possvel enviar de tempos
em tempos popups para os usurios do
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima
mostrada, comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de
sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser mostrado,
antes de bloquear o acesso a rede.
Pode ser configurado um tempo.
Nunca bloquear.
Bloquear imediatamente.
Perfil de Usurios
possvel enviar de tempos
para os usurios do HotSpot.
: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima
se novamente pela primeira.
287
: Intervalo de tempo de exibio de popups. Depois da
terminada, usa sempre o intervalo.
: Quanto tempo deve esperar para o anncio ser mostrado,
HotSpot Perfil de Usurios
O Mikrotik possui uma linguagem interna de scripts
que podem ser adicionados para serem executados
em alguma situao especifica.
No HotSpot possvel criar scripts que executem
comandos a medida que um usurio desse perfil
conecta ou desconecta do HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot
On Logout: Quando o cliente desconecta do
Os scripts so adicionados no menu:
/system script
Perfil de Usurios
O Mikrotik possui uma linguagem interna de scripts
que podem ser adicionados para serem executados
possvel criar scripts que executem
comandos a medida que um usurio desse perfil
Os parmetros que controlam essa execuo so:
HotSpot.
: Quando o cliente desconecta do HotSpot.
288
HotSpot Usurios Usurios
289
HotSpot Usurios
Server: all para todos
Name: Nome do usurio. Se o modo Trial estiver ativado o
hotspot colocar automaticamente o nome
MAC_Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio a um
endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe:
Endereo destino gateway metrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
Usurios
para todos hotspots ou para um especfico.
: Nome do usurio. Se o modo Trial estiver ativado o
colocar automaticamente o nome T-
. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
: Endereo IP caso queira vincular esse usurio a um
: Caso queira vincular esse usurio a um
endereo MAC especifico.
290
: Perfil onde o usurio herda as propriedades.
: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe:
. Vrias rotas separadas por vrgula podem ser
HotSpot Usurios
Limit Uptime: Limite mximo de tempo de conexo para o
usurio.
Limit Bytes In: Limite mximo de
Limit Bytes Out: Limite mximo de download para o
usurio.
Limit Bytes Total: Limite mximo considerando o
download + upload
Na aba das estatsticas possvel acompanhar a utilizao
desses limites.
Usurios
: Limite mximo de tempo de conexo para o
: Limite mximo de upload para o usurio.
: Limite mximo de download para o
: Limite mximo considerando o
upload.
Na aba das estatsticas possvel acompanhar a utilizao
291
HotSpot
Mostra dados gerais e estatsticas de cada usurio conectado.
Active
Mostra dados gerais e estatsticas de cada usurio conectado.
292
HotSpot IP
O Mikrotik por default tem habilitado o universal
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade denominada DAT na AP 2500 e
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede
ou MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que
possvel fazer bloqueio de endereos.
IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade denominada DAT na AP 2500 e eezee no StarOS.
tambm fazer tradues NAT estticas com base no IP original, ou IP da rede
ou MAC do cliente. possvel tambm permitir certos endereos contornarem a
. Ou seja, sem ter que logar na rede inicialmente. Tambm
293
HotSpot IP
MAC
Address
To
deve ser traduzido.
Server
ser aplicada.
Type
IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original
deve ser traduzido.
Server: Servidor hotspot o qual a regra
ser aplicada.
Type: Tipo do Binding
Regular: faz traduo regular 1:1
Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e todos os
pacotes sero bloqueados.
294
HotSpot
A facilidade NAT do hotspot causa
problemas com alguns protocolos
incompatveis com NAT. Para que esses
protocolos funcionem de forma
consistente, devem ser usados os
mdulos helpers.
No caso do NAT 1:1 o nico problema
com relao ao mdulo de FTP que
deve ser configurado para usar as
portas 20 e 21.
Ports
295
HotSpot Walled
Configurando um walled garden possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do
gateway no intercepta e, no caso do http, redireciona a requisio para o destino ou
um proxy.
Para implementar o walled garden para requisies
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de
por hora. Notar tambm que esse proxy faz parte do pacote
pacote web-proxy.
Walled Garden
possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente possa
requisita um servio do walled garden o
, redireciona a requisio para o destino ou
para requisies http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
embarcado no Mikrotik no tem a funo de cache, pelo menos
faz parte do pacote system e no requer o
296
HotSpot Walled
importante salientar que o
garden
servio WEB, mas qualquer servio
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros servios e protocolos.
Walled Garden
importante salientar que o walled
garden no se destina somente a
servio WEB, mas qualquer servio
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros servios e protocolos.
297
HotSpot Walled
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
Src.Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
Walled Garden
garden vale.
: Endereo IP do usurio requisitante.
server.
: Nome do domnio do servidor de destino.
298
Nos nomes dos domnios necessrio o nome completo, podendo ser usado
possvel utilizar expresses regulares devendo essas ser
HotSpot Walled
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
Src. Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser requisitada.
Dst. Host: Nome do domnio do servidor de destino.
Walled Garden
: Aceita, descarta ou rejeita o pacote.
garden vale.
: Endereo IP do usurio requisitante.
: Protocolo a ser escolhido na lista.
: Porta TCP ou UDP que ser requisitada.
: Nome do domnio do servidor de destino.
299
HotSpot Cookies
Quando configurado o login por cookies, estes ficam armazenados no
hotspot com nome do usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento
de login e senha.
Podem ser deletados (-) forando assim o usurio a fazer o
novamente.
Cookies
, estes ficam armazenados no
com nome do usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento
) forando assim o usurio a fazer o login
300
Personalizando o
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica.
login.html pgina de login que pede usurio e senha ao cliente. Esta pgina
tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que ser
aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se
Personalizando o HotSpot
so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
para vrios perfis de usurios especificando
As principais pginas que so mostradas aos usurios so:
redireciona o usurio a uma pgina especifica.
que pede usurio e senha ao cliente. Esta pgina
URL original que o usurio requisitou antes do redirecionamento e que ser
quando o usurio se logar com sucesso.
301
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS necessrio que se crie um
certificado, assin-lo corretamente e em seguida import
do menu /system certificates.
com HTTPS
com HTTPS necessrio que se crie um
lo corretamente e em seguida import-lo atravs
302
Dvidas ???? Dvidas ????
303
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr
funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal
permite rotear pacotes atravs de vrios links e permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de roteamento dando
tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr-definidas em
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
Equal Cost Multi Path) que um mecanismo que
permite rotear pacotes atravs de vrios links e permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de roteamento dando
tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
304
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer
uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e
portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo
os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer
As polticas podem ser por marca de pacotes, por classes de endereos IP e
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-
possvel utilizar poltica de roteamento quando se utiliza NAT.
305
Polticas de Roteamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
A estrtegia nesse caso colocar como gateway default um link menos
nobre, marcar o trfego nobre (http
nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos
nobre.
Polticas de Roteamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
nesse caso colocar como gateway default um link menos
http, dns, pop, etc.) e desvia-lo pelo link
nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos
306
Polticas de Roteamento
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e check-
gateway. Dessa forma o trfego ser
balanceado e ir garantir o failover
da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 check-gateway=ping
Polticas de Roteamento
-
. Dessa forma o trfego ser
failover
gateway=ping
307
Ex. de Poltica de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24 action=
routing new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=
routing new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e
os pacotes da rede lan2 para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 check
gateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 check
gateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway
Ex. de Poltica de Roteamento
lan1 e
da seguinte forma:
=192.168.10.0/24 action=mark-
=192.168.20.0/24 action=mark-
para o gateway 10.1110.0.1 e
para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
check-
check-
gateway=ping
308
192.168.10.0/24
192.168.20.0/24
Balanceamento de Carga com PCC Balanceamento de Carga com PCC
309
Balanceamento de Carga com PCC
O PCC uma forma de balancear o trfego de acordo com um critrio de
classificao pr-determinado das conexo. Os
Classificador Denominador
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.
Balanceamento de Carga com PCC
O PCC uma forma de balancear o trfego de acordo com um critrio de
determinado das conexo. Os parametros de configurao so:
Denominador Contador
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.
310
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Primeiro vamos marcar as conexes. Atente
para a interface de entrada(clientes), o
denominador(links) e o contador que inicia
em zero.
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
311
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
312
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
313
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
314
Agora vamos marcar as rotas com base nas
marcaes de conexes j feitas
anteriormente.
Atente agora para desmarcar a opo
passthrough.
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
315
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
316
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
317
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
30.30.30.1
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operao para as demais interfaces.
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
318
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar
redundncia e balanceamento de links de forma automtica e uma
forma de se fazer uma rede semelhante as redes conhecidas como
Mesh, porm de forma esttica.
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
O uso de protocolos de roteamento dinmico permite implementar
redundncia e balanceamento de links de forma automtica e uma
forma de se fazer uma rede semelhante as redes conhecidas como
319
Roteamento dinmico
O protocolo BGP destinado a fazer comunicao
entre AS(Autonomos System) diferentes, podendo ser
considerado como o corao da internet.
O BGP mantm uma tabela de prefixos de rotas
contendo informaes para se encontrar
determinadas redes entre os
A verso corrente do BGP no Mikrotik a 4,
especificada na RFC 1771.
Roteamento dinmico - BGP
O protocolo BGP destinado a fazer comunicao
System) diferentes, podendo ser
considerado como o corao da internet.
O BGP mantm uma tabela de prefixos de rotas
contendo informaes para se encontrar
determinadas redes entre os ASs.
A verso corrente do BGP no Mikrotik a 4,
320
Roteamento Dinmico
O protocolo Open Shortest Path First, um protocolo do tipo link
usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os
destinos.
O OSPF distribui informaes de roteamento entre os roteadores que
participem de um mesmo AS(Autonomous
OSPF habilitado.
Para que isso acontea, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de
redes. As rotas so aprendidas e instaladas nas tabelas de roteamento dos
roteadores.
Roteamento Dinmico - OSPF
, um protocolo do tipo link state. Ele
para calcular o caminho mais curto para todos os
O OSPF distribui informaes de roteamento entre os roteadores que
Autonomous System) e que tenha o protocolo
Para que isso acontea, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
O protocolo OSPF iniciado depois que adicionado um registro na lista de
redes. As rotas so aprendidas e instaladas nas tabelas de roteamento dos
321
Roteamento Dinmico
Tipos de roteadores em OSPF:
Roteadores internos a uma rea
Roteadores de backbone (rea 0)
Roteadores de borda de rea (ABR)
OS ABRs devem ficar entre dois roteadores e devem tocar a
rea 0
Roteadores de borda Autonomous
So roteadores que participam do OSPF mas fazem
comunicao com um AS.
Roteamento Dinmico - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma rea
(rea 0)
Roteadores de borda de rea (ABR)
devem ficar entre dois roteadores e devem tocar a
Autonomous System (ASBR)
So roteadores que participam do OSPF mas fazem
322
OSPF
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
para os participantes desta, o trfego sensvelmente
previne o recalculo das distncias por reas que no participam da rea que
promoveu alguma mudana de estado.
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
OSPF - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
sensvelmente reduzido. Isso tambm
previne o recalculo das distncias por reas que no participam da rea que
utilizar no entre 50 e 60 roteadores em cada rea.
323
OSPF - Redes
Aqui definimos as redes OSPF com os seguintes
parmetros:
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente podem ser
adicionadas aqui.
Area: rea do OSPF associada.
Redes
Aqui definimos as redes OSPF com os seguintes
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente podem ser
324
OSPF - Opes
Router ID
no seja especificado o roteador usar o maior
IP que exista na interface.
Redistribute
Never
If installed
instalada como rota esttica,
If installed
instalada como rota esttica,
Always
Always
Opes
ID: Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
installed (as type 1): Envia com mtrica 1 se tiver sido
instalada como rota esttica, dhcp ou PPP.
installed (as type 2): Envia com mtrica 2 se tiver sido
instalada como rota esttica, dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
325
OSPF - Opes
Redistribute Connected
roteador ir distribuir todas as rotas relativas as redes que
estejam diretamente conectadas a ele.
Redistribute Static
rotas cadastradas de forma esttica em /
Redistribute RIP
rotas aprendidas por RIP.
Redistribute BGP
rotas aprendidas por BGP.
Na aba Metrics
sero exportadas as diversas rotas.
Opes
Connected Routes: Caso habilitado, o
roteador ir distribuir todas as rotas relativas as redes que
estejam diretamente conectadas a ele.
Static Routes: Caso habilitado, distribui as
rotas cadastradas de forma esttica em /ip routes.
RIP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
BGP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
Metrics possvel modificar as mtricas que
sero exportadas as diversas rotas.
326
OSPF
Considerando nosso diagrama inicial, vamos aplicar o
OSPF em uma s rea e testar a funcionalidade.
OSPF
Considerando nosso diagrama inicial, vamos aplicar o
OSPF em uma s rea e testar a funcionalidade.
327
Dvidas ???? Dvidas ????
328
Web Proxy
O web proxy uma tima ferramenta para fazer
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web
contedo sem a necessidade de fazer
Como o web proxy escuta todos
importante assegurar que somente clientes da rede local
iro acess-lo.
A boa prtica recomenda o uso de 20GB de
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
seu equipamento.
Web Proxy
uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web proxy como filtro de
contedo sem a necessidade de fazer cache.
escuta todos ips do router, muito
importante assegurar que somente clientes da rede local
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
329
Web Proxy - Parmetros
Src. Address
voc possua vrios
Port: Porta onde o servidor ir escuta.
Parent Proxy:
sistema de hierarquia de
Parent Proxy
Cache Administrator
administrador do
Max Cache
KiBytes.
Cache On
em RAM.
Parmetros
Address: Endero IP do servidor proxy caso
voc possua vrios ips no mesmo roteador.
Porta onde o servidor ir escuta.
Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
Proxy Port: Porta o parent proxy escuta.
Administrator: Identificao do
administrador do proxy.
Cache Size: Tamanho mximo do cache em
On Disk: Indica se o cache ser em Disco ou
em RAM.
330
Web Proxy - Parmetros
Max Client
conexes simultneas ao
Max Server Connections:
conexes que o
proxy.
Max Fresh
no possuem tempo padro definidos, sero
considerados atuais.
Serialize Connections:
ao servidor para mltiplas conexes para os
clientes.
Always From
atualizao dos clientes caso o objeto ser
considerado atual.
Parmetros
Client Connections: Nmero mximo de
conexes simultneas ao proxy.
Max Server Connections: Nmero mximo de
conexes que o proxy far a um outro servidor
Fresh Time: Tempo mximo que os objetos que
no possuem tempo padro definidos, sero
considerados atuais.
Serialize Connections: Habilita mltiplas conexes
ao servidor para mltiplas conexes para os
FromCache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
331
Web Proxy - Parmetros
Cache Hit DSCP (TOS):
valor configurado a pacotes que deram hit no
Cache Drive:
para armazenamento dos objetos. Esses discos
podem ser acessados no menu: /system
Parmetros
Hit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
Drive: Exibe o disco que o proxy est usando
para armazenamento dos objetos. Esses discos
podem ser acessados no menu: /system stores.
332
Web Proxy -
Uptime: Tempo que o
Requests
Hits: Nmero de pedidos que foram atendidos pelo
cache do
Cache Used
pelo cache
Total RAM
Received FromServers: Total de dados em Kibytes
externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes
clientes.
- Status
Tempo que o proxy est rodando.
Requests: Total de requisies ao proxy.
Nmero de pedidos que foram atendidos pelo
do proxy.
Used: Espao usado em disco ou RAM usado
cache do proxy.
Total RAM Used: Total de RAM usada pelo proxy.
333
Kibytes recebidos de servidores
enviados ao clientes.
Kibytes enviados do cache hits aos
Web Proxy - Conexes
Aqui podemos a lista de conexes ativas no
Src. Address: Endereo IP das conexes remotas
Dst. Address: Endereo destino que est sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexo
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente
Conexes
Aqui podemos a lista de conexes ativas no proxys
334
Endereo IP das conexes remotas
Endereo destino que est sendo requisitado
utilizado pelo navegador
remotamente
Web Proxy -
A lista de acesso permite controlar
contedo que ser permitido ou no
para armazenamento no cache do proxy.
As regras adicionadas nesta lista so
processadas de forma semelhante que
as regras do firewall. Neste caso as
regras iro processar as conexes e caso
alguma conexo receba um match ela
no ser mais processada pelas demais
regras.
- Access
335
Web Proxy -
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisies
Action: Permite ou nega a regra
Redirect To: URL ao qual o usurio ser redirecionado
caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofreu
- Access
336
Mtodo HTTP usado nas requisies
URL ao qual o usurio ser redirecionado
Quantidade de vezes que a regra sofreu macth
Web Proxy -
A lista de cache define como as requisies sero armazenadas ou no no
cache do proxy.
Esta lista manipulada da mesma forma que a lista de acesso.
De forma anloga ao firewall, qualquer requisio que no esteja na lista de
regras, ser armazenada no cache.
Os parmetros de configurao das regras so idnticas as regras da lista de
acesso.
- Cache
337
define como as requisies sero armazenadas ou no no
Esta lista manipulada da mesma forma que a lista de acesso.
De forma anloga ao firewall, qualquer requisio que no esteja na lista de
Os parmetros de configurao das regras so idnticas as regras da lista de
Web Proxy -
A lista de acesso direto utilizada quando um
configurado. Desta forma possvel passar a requisio ao mesmo ou
tentar encaminhar a requisio diretamente ao servidor de destino.
Esta lista manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisio que no esteja na lista de
regras, ser por padro negada.
Os parmetros de configurao das regras so idnticas as regras da lista de
acesso.
- Direct
338
A lista de acesso direto utilizada quando um Parent Proxy est
configurado. Desta forma possvel passar a requisio ao mesmo ou
tentar encaminhar a requisio diretamente ao servidor de destino.
Esta lista manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisio que no esteja na lista de
Os parmetros de configurao das regras so idnticas as regras da lista de
Web Proxy Regras de Firewall
Para que o proxy funcione de forma correta e segura, necessrio criar
algumas regras no firewall nat e no firewall
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta
80 para o servidor web proxy.
Em seguida precisamos garantir que somente os clientes da rede local tero
acesso ao servidor web proxy.
Regras de Firewall
339
funcione de forma correta e segura, necessrio criar
e no firewall filter.
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta
Em seguida precisamos garantir que somente os clientes da rede local tero
Web Proxy Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol
action=redirect to-ports=8080
Protegendo o proxy contra acessos externos no autorizados
/ip firewall filter add chain=input protocol
interface=wan action=drop
Regras de Firewall
340
protocol=tcp dst-port=80
contra acessos externos no autorizados
protocol=tcp dst-port=8080 in-
Exerccio final
Abra um New Terminal
Digite: /system reset-configuration
Exerccio final
Terminal
configuration
341
Dvidas ???? Dvidas ????
342
The Dude O cara
343
The Dude
The Dude uma ferramenta de monitoramento que:
Fornece informaes acerca de quedas e restabelecimentos de
redes, servios, assim como uso de recursos de equipamentos.
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
Notificaes via udio/video/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de respostas de
DNS, utilizao de banda, informaes fsicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo
SNMP.
O cara
uma ferramenta de monitoramento que:
Fornece informaes acerca de quedas e restabelecimentos de
redes, servios, assim como uso de recursos de equipamentos.
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de respostas de
DNS, utilizao de banda, informaes fsicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo
344
The Dude
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik atravs do
Armazenamento de histrico de eventos(
rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para tomada de
decises atravs do SNMP Set.
(Vide: MUM Czech Republic 2009
O cara
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik atravs do winbox.
Armazenamento de histrico de eventos(logs) de toda a
rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para tomada de
decises atravs do SNMP Set.
2009 Andrea Coppini)
345
Instalando o The
No Windows:
Fazer o download, clicar no executvel e responder sim para
todas as perguntas.
No Linux:
Instalar o wine e a partir da proceder como no
Em Routerboard ou PC com Mikrotik:
Baixar o pacote referente a arquitetura
o Mikrotik via FTP ou Winbox
The Dude
Fazer o download, clicar no executvel e responder sim para
e a partir da proceder como no windows.
ou PC com Mikrotik:
Baixar o pacote referente a arquitetura especifca, enviar para
Winbox e rebootar o roteador.
346
The Dude em Routerboards
O espao em disco consumido pela The Dude
devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em
Routerboards aconselhvel o uso daquelas que possuam armazenamento
adicional como:
RB 433UAH Aceita HD externo via USB
RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento tambm devem ser considerados.
Routerboards
Dude considervel, entre outras coisas,
a serem armazenados. Assim, no caso de instalao em
aconselhvel o uso daquelas que possuam armazenamento
No aconselhvel a instalao em outras Routerboards por problemas de
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento tambm devem ser considerados.
347
The Dude - Comeando
A instalao do The Dude sempre instala o cliente e o servidor e no
primeiro uso ele sempre ir tentar usar o Servidor Local(
queira se conectar em outro servidor clique no raio.
Comeando
sempre instala o cliente e o servidor e no
primeiro uso ele sempre ir tentar usar o Servidor Local(localhost). Caso
queira se conectar em outro servidor clique no raio.
348
The Dude - Comeando
O auto discovery permite que o servidor
segmento de rede, atravs de provas de
tambm.
Os outros segmentos de rede que tenham
seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
Comeando
permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
The Dude Adicionando dispositivos
O The Dude tem um wizard para criao de
dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opo
Adicionando dispositivos
tem um wizard para criao de
dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opo Router OS.
350
The Dude Adicionando dispositivos
Em seguida descubra os servios que esto rodando nesse equipamento. Aps
isso o dispositivo estar criado.
Adicionando dispositivos
Em seguida descubra os servios que esto rodando nesse equipamento. Aps
351
The Dude Adicionando dispositivos
Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:
Nome de exibio
Tipo do dispositivo
Adicionando dispositivos
Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:
352
The Dude Adicionando dispositivos
O The Dude possui vrios dispositivos pr
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prtica.
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
Adicionando dispositivos
possui vrios dispositivos pr-definidos, mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
The Dude Adicionando dispositivos
Quando a rede possui elementos no configurveis
por IP como switchs L2, necessrio criar
dispositivos estticos para fazer as ligaes. Com
isso possvel concluir o diagrama da rede de
forma mais realista e parecida com a real.
Adicionando dispositivos
Quando a rede possui elementos no configurveis
L2, necessrio criar
dispositivos estticos para fazer as ligaes. Com
isso possvel concluir o diagrama da rede de
forma mais realista e parecida com a real.
354
The Dude Criando links
Para criar links entre os dispositivos basta clicar no mapa com o boto
direito, selecionar Add Link e ligar os dois dispositivos informando:
Device: Dispositivo que ir fornece as informaes do link.
Mastering type: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um
interface que deseja monitorar a velocidade e estado do link.
Speed: Informando a velocidade do link, ativado a sinalizao do estado do
mesmo baseando-se em cores.
Type: Tipo de conexo fsica entre os dispositivos.
Criando links
Para criar links entre os dispositivos basta clicar no mapa com o boto
Link e ligar os dois dispositivos informando:
: Dispositivo que ir fornece as informaes do link.
: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a
interface que deseja monitorar a velocidade e estado do link.
: Informando a velocidade do link, ativado a sinalizao do estado do
: Tipo de conexo fsica entre os dispositivos.
355
The Dude Notificaes
Efetue um duplo clique no dispositivo e v na guia
voc pode informar o tipo de notificao que deseja receber.
Notificaes
Efetue um duplo clique no dispositivo e v na guia Notifications. Nela
voc pode informar o tipo de notificao que deseja receber.
356
The Dude Servios indesejveis
Com o The Dude podemos monitorar servios que no desejamos que estejam
ativos.
Servios indesejveis
podemos monitorar servios que no desejamos que estejam
357
The Dude grficos
Podemos manipular a forma como os grficos iro ser apresentados para
identificar servios, estado dos links etc...
grficos
Podemos manipular a forma como os grficos iro ser apresentados para
identificar servios, estado dos links etc...
358
The Dude Efetuando Backups
As configuraes so salvas automaticamente na
medida em que so feitas. Para se ter um backup
externo use o export para gerar um arquivo .
todas as configuraes que podero ser importadas
sempre que necessrio.
Efetuando Backups
As configuraes so salvas automaticamente na
medida em que so feitas. Para se ter um backup
para gerar um arquivo .xml com
todas as configuraes que podero ser importadas
359
Dvidas ???? Dvidas ????
360
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration
defaults=yes
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration no-
defaults=yes
361
Contatos
Leonardo Rosa
leonardo.'rauser.com.'r /01234talk5
leonardoro6a /sk7pe5