Escolar Documentos
Profissional Documentos
Cultura Documentos
www.brasiltechsolucoes.com
Algumas regras importantes
Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
15
m
m
Instalao co Netinstall
Pode ser instalado em PC que boota via rede(configurar
na BIOS)
Pode ser baixado tambm em:
http://www.mikrotik.com/download.ht l
O netinstall um excelente recurso para reinstalar em
routerboards quando o sistema foi danificado ou quando
se perde a senha do equipamento.
16
m
R
Instalao co
Para se instalar em uma
Netinstall
outerBoard,
Coloque na mquina os
pacotes a serem
instalados
Bootar e selecionar os
pacotes a serem
instalados
18
19
Primeiro acesso
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
todas
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
20
t
o
Console no Mikrotik
Mostra um help para o dire rio em que se esteja
?
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para m
disponveis
strar as opes
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
26
Configurao em Modo Seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja
CTRL+D.
Configuraes realizadas em modo seguro no so sofrem marcaes na
lista de historico at serem confirmadas ou desfeitas. A flag U significa
que a ao no ser desfeita. A flag R significa que a ao foi desfeita.
possvel visualizar o histrico de modificaes atravs do menu:
31
q
d
Pacotes
Adicionar novas funcionalidades podem ser feitas
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
40
A
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo M C: 00:0C:42:00:00:00
41
g
Camada III - Rede
Responsvel pelo endereamento lgico dos
pacotes.
Transforma endereos l icos(endereos IPs) em
endereos fsicos de rede.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
42
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip: 200.200.0.1
43
d
Sub Rede
r
Corrigir o problema de conectividade
Diante do cenrio apresentado quais solues
podemos apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Add ess Translation).
60
o
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhemum mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
64
Gerenciamento
Adicione um novo usuri
acesso Full
Mude a permisso do usu
Faa login com seu novo
Gerenciamento de usurios
Adicione um novo usurio com seu nome
acesso Full
e d a ele
Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
65
Atualizando a R
Faa o download dos pac
ftp://172.31.254.2
Faa o upload dos pacote
Reinicie a RouterBoard pa
sejaminstalados
Confira se os novos pacot
sucesso.
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.254.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejaminstalados
Confira se os novos pacotes foram instalados com
sucesso.
66
Wireless no Mikrotik
67
Configuraes Fsicas
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e
68
Padro IEEE Frequncia Tecnologia Velocidades
802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps
802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM De 6.5Mbps at 600 Mbps
802.11b - DSSS
69
z
Canais no interferentes em
2.4 Ghz - DSSS
Canal 1 Canal 6 Canal 11
2.412 GHz 2.437 GH 2.462 GHz
70
e
Configuraes Fsicas 2.4Ghz
2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 11 Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54 Mbps
e utiliza OFDM.
2.4Ghz-B/G: Modo misto 802.11b 802.11g recomendado para ser
usado somente em processo de migrao.
71
Canais do espectro de 5Ghz
Faixa baixa:
Faixa mdia:
Faixa alta:
5150 a 5350 Mhz
5470 a 5725 Mhz
5725 a 5850 Mhz
72
5
Aspectos legais do espectro de 5Ghz
100 Mhz
obrigatria
73
Faixa Baixa Faixa Mdia Faixa Alta
Freqncias 5150-5250 5250-53 0 5470-5725 5725-5850
Largura 100 Mhz 100 Mh 255 Mhz 125 Mhz
Canais 4 canais 4 canai 11 canais 5 canais
Deteco
radar
obrigat
de Deteco de
radar
obrigatria
Configuraes Fsicas 5 Ghz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia d
tx
75
Canalizao em 802.11a Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
76
Padro 802.11n
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
77
u
r
MIMO
MIMO: Multiple Input and M ltiple Output
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas at avs de mltiplas antenas.
Configuraes de
transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
antenas mltiplas para receber e
78
802.11n - Velocidades nominais
79
r
802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia
principal
compatvel com os clientes legados de 20Mhz
Conexo feito no canal principal
Permite utilizar taxas maio es
80
a
o
802.11n Agregao dos frames
Combina mltiplos frames de dados em um simples frame.
O
que diminui o overhead
Agregao de unidade de dados protocolo MAC (AMPDU)
ponto /30.
92
Configuraes da camada fsica Seleo de antena
Em cartes que tem duas saidas
para antenas, possvel escolher:
98
Dispositivo
B
Dispositivo
A
m
n
Configuraes da ca ada fsica ACK
Timeout
Tabela de valores referenciais para ACK
Obs.: Utilize a tabela somente para referncia i icial.
99
Ferramentas de Site Survey - Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
100
Ferramentas de Site Survey Uso de frequncias
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada
wireless.
no menu
101
o
Interface wireless - Alinhamento
Ferramenta de alinhamento com sinal s noro
Colocar o MAC do AP remoto no campo Filter MAC Address
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido
Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
102
e Interface wirel ss - Sniffer
Ferramenta para sniffar o
ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar
ataques do tipo deauth e
monkey jack.
Pode ser arquivado no
prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
103
e
Interface wireless - Snooper
Com a ferramenta snooper possvel monitorar a carga de
em cada canal por estao e por red .
Scaneia as frequncias definidas em scan-list da interface
trfego
104
Interface wireless - Geral
Comportamento do protocolo ARP
enable: Aceita e responde requisies ARP.
disable: No responde a requisies ARP. Clientes
devem acessar atravs de tabelas estticas.
proxy-arp: Passa seu prprio MAC quando h
uma requisio para algum host interno ao
roteador.
reply-only: Somente responde as requisies.
Endereos vizinhos so resolvidos estaticamente.
105
M
a
N
Interface wireless odo de operao
somente um cliente.
station: Modo cliente de um ap.
bridge com outras interfaces.
Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).
- Configurao
Framer Policy
Dynamic size: O Mikrotik determina.
Best fit: Agrupa at o valor em Frame
Limit sem fragmentar.
Exact Size: Agrupa at o valor em Frame
Limit fragmentando se necessrio.
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
118
S
p
a
WDS / WD MESH
WDS Default Bridge: A bridge padro para as
interfaces wds.
c
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID .
Pontos negativos:
SSID deve ser conhecido pelos lientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
127
Falsa segurana
Criptografia WEP:
a chave, como:
Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
128
Evoluo dos padres de segurana
129
r
r
Fundamentos de Segurana
Privacidade
As informaes no podem se legveis para terceiros.
Integridade
As informaes no podem se alteradas quando em transito.
Autenticao
AP
ser.
Cliente: O AP tem que garantir que o cliente quem diz
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
130
a
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo
de Hashing Michael) e WPA2 usa CCMP(Cipher
Chaining Message Authentic tion Check CBC MAC)
131
e
132
Chave WPA e WPA2 - PSK
A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
Thawte, etc...)
Certificados auto-assinad
s.
136
Passos para implementao de EAP-TLS
com certificados auto Assinados
1.
2.
3.
4.
5.
Crie a entidade certificadora(CA)
Crie as requisies de Certificados
Assinar as requisies na CA
Importar os certificados assinados
Se necessrio, criar os certificados
para os Mikrotiks
para mquinas
windows
137
EAP-TLS sem Radius em ambos lados
O mtodo EAP-TLS
tambm pode
usado com
certificados.
ser
138
o
EAP-TLS sem Radius em ambos lados
Metodos TLS
dont verify certificate: Requer um
certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente c m o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
140
WPAx com radius
c
a
EAP-TLS com ertificado
EAP-TLS (EAP Transport Layer Security)
142
No lado do AP selecione o
mtodo EAP passthrough
.
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
143
o
Segurana de EAP-TLS com Radius
Sem dvida este o mtodo mais seguro que podemos
sua chave.
Obs.: Cadastrando as PSK na access list,
voltamos ao problema da chave ser visvel a
usurios do Mikrotik.
147
k
e
Mtodo alternativo com Mikrotik
Por outro lado, o Mikroti permite que essas
canais default.
Aes:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do knock knock
166
d
Firewall Tcnica do knock knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
Normalmente no intenci
em clientes.
nal ou causada por vrus
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas
determinar polticas de roteamento.
para
A utilizao dessas marcas ser abordada no tpico
do roteamento.
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para
de pacotes.
identificar um fluxo continuo
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:
os
Navegao http
FTP
Email
MSN
ICMP
P2P
e https;
Demais servios
206
Dvidas ???
207
e QoS e Control de banda
208
e
o
n
Conceitos bsicos de Largura e Limite
de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de
dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
Emredes de comutao de circuitos, refer -se probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura
oferecer bastantes recursos, suficientes para o pico esperado, com uma margemde
o
d
d
Qualidade de Servio
Os principais termos utilizados em QoS so:
4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pac tes e atribu-los as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
219
o
q
Controle de trfeg Tipos de fila
PFIFOe BFIFO: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
um parmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote ue no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
220
o
A
m
221
Controle de trfeg
RED: RandomEarly Detection Deteco
Tipos de fila
leatria Antecipada um mecanismo de
src-address
dst-address
src-port
dst-port
Os pacotes podemser classificados em 1024 sub-filas, e em seguida o algoritmo
round roubin distribui a banda disponvel para estas sub-filas, a cada rodada
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
222
o Controle de trfeg Tipos de fila
SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas
disponveis.
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ
conexes wireless.
especialmente recomendado em
223
o
m
a
d
224
Controle de trfeg Tipos de fila
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, se a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq-classifier. Cada sub-fila tem uma taxa de
transmisso estabelecida em rate e o tam nho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configura o em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
o
d
a
225
Controle de trfeg Tipos de fila
PCQ: Se os pacotes so classificados pelo en ereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configur do na interface local.
H
m
m
226
QoS - TB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. E
limitar download e upload de usurios e
outras palavras, o HTB muito til para
uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tem filhas so colocadas no
level 0, onde as filas so mantidas e chamadas de
leafs class.
Cada classe na hierarquia pode priorizar e dar
forma ao trfego.
H QoS - TB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
Queue03 ir receber 6Mbps
Queue04 ir receber 2Mbps
Queue05 ir receber 2Mbps
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
227
H QoS - TB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
Queue03 ir receber 2Mbps
Queue04 ir receber 6Mbps
Queue05 ir receber 2Mbps
Obs.: Aps satisfazer todas garantias, o HTB disponibilizar
mais banda, at o mximo permitido para a fila commaior
prioridade. Mas, neste caso, permitir-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receber primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuida.
228
H
s
QoS - TB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que ele sejam colocados nas correspondentes
qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub-
classes(inner class) ou apenas uma e um qdisc(leaf classe).
229
H QoS - TB
Estados das classes HTB:
- Burst
Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:
burst-limit: Limite mximo que o burst alcanar.
burst-time: Tempo que durar o burst.
burst-threshold: Patamar para comear a limitar.
max-limit: MIR
234
n Como funcio a o Burst
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula
taxa mdia de consumo de banda durante o burst-time de 8 segundos.
a
parmetros:
pcq-classifier
pcq-rate
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so
interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-
in e/ou global-out, limitao por cliente na interface de sada. Se configurado
filas simples e rvores de filas no mesmo roteador, as filas simples recebero o
trfego primeiro e em seguida o classficaro.
240
241
Arvores de Fila
As rvores de fila so configuradas em
queue tree.
Dentre as propriedades configurveis
podemos destacar:
Escolher uma marca de trfego feita no
firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.
Arvores d
QUEUE MARCA LIMIT
Q1 C1 10M
Q2 C2 1M
Q3 C3 1M
Q4 C4 1M
Q5 C5 1M
Obs.: O roteador no conseguir garantir band
ORITY
Arvores de Fila
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
242
LIMIT-AT MAX-LIMIT PRI
10M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
Arvores d
Filas com parent (hierarq
Arvores de Fila
Filas com parent (hierarquia).
243
Arvores d
C1 possui maior prioridad
atingir o max-limit. O res
dividida entre as outras l
Arvores de Fila
C1 possui maior prioridade, portanto consegue
atingir o max-limit. O restante da banda
dividida entre as outras leaf-queue.
244
Dvidas???
245
Tneis e VPN
246
g
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de cripto rafia por tunelamento que fornecem
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade das comunicaes requeridas. Quando adequadamente
implementados, estes protocolos podemassegurar comunicaes seguras
250
m
e
s
e
PPP Definies Comuns para os
servios
PMTUD: Se durante uma comunicao algu a estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores interm diarios e a adequao dos
pacotes posteriores chamada Path MTU Di covery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em byt s, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
251
PPP Definies Comuns para os
servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns caso o PMTUD est quebrado ou os
roteadores no conseguem trocar informaes de maneira eficiente e causam uma
srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde possvel interferir e configurar uma diminuio do
MSS dos prximos pacotes atravs do tnel visando resolver o problema.
252
e
O
PPPoE Client e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
mais.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite
criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado.
que o cliente suporte este mtodo.
mtodo MPPE pode ser usado desde
253
e
254
r
o
255
Configurao do Servidor PPPoE
1. P imeiro crie um pool de IPs para o
PPPoE.
/ip po l add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
Adicione um perfil para o PPPoE onde: 2.
Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 name=perfil-
pppoe remote-address=pool-pppoe
5
m
Configurao do Servidor PPPoE
3. Adicione um usurio e senha
/ppp secret add name=usuario password=1234 6
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, adicione em
Caller ID. Esta opo no obrigatria, mas u
parametro a mais para segurana.
256
a
Configurao do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe v
escutar.
i
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-
mru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes service-
name="Servidor PPPoE"
257
e
s
Mais
sobr perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para associar ao
perfil.
DNS Server: Configurao dos servidores DNS a
atribuir ao clientes.
Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
e
n
-
o
Mais sobr perfis
Timeout: Durao mxima de uma
PPPoE.
Sessio
sesso
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit: Limitao da velocidade na forma
rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burst-
rate rx burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
Only One: Permite apenas uma sesso para o
mesm usurio.
259
p
p
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em articular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local (servidor)
e remote(cliente) que podero ser atribudos a um
cliente em articular.
Limits Bytes IN/Out: Quantidade em bytes que o
cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do servidor
para esse cliente especifico. Vrias rotas podemser
adicionadas separadas por vrgula.
260
P
M
m
a
interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em
Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts
atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para
o host que realiza o monitoramento, se
senha como nas VPNs.
a necessidade de criar usurio e
268
6
269
Tneis IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22. 3.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
d
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces criadas.
272
u
s EoIP Tnei
Adicione a interface EoIP a bridge,
j ntamente com a interface que far
parte do mesmo dominio de broadcast.
273
a Dvid s ????
274
HotSpot no Mikrotik
275
f
v
HotSpot
HotSpot um termo utilizado para se re erir a uma rea pblica
onde est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio wi-fi. Aplicaes
tpicas incluemo acesso em Hotis, Aeroportos, Shoppings,
Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atra s de autenticao baseada em nome
de usurio e senha.
Quando em uma rea de cobertura de um HotSpot, um usurio que tente
navegao pela WEB arremetido para uma pgina do HotSpot que pede suas
credencias, normalmente usurio e senha. Ao fornec-las e sendo um cliente
autorizado pelo HotSpot o usurio ganha acesso internet podendo sua
286
HotSpot Perfil de Usurios
Coma opo Advertise possvel enviar de tempos
em tempos popups para os usurios do HotSpot.
Advertise URL: Lista de pginas que sero
endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as prop iedades.
Routes: Rotas que sero adicionadas ao cliente quandose conectar. Sintaxe:
Endereo destino gateway metrica. Vrias rotas separadas por vrgula podemser
adicionadas.
290
U
m
HotSpot surios
Limit Uptime: Limite mximo de tempo de conexo para o
usurio.
Limit Bytes In: Li
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade denominada DAT na AP 2500 e eezee no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede
ou MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede inicialmente. Tambm
possvel fazer bloqueio de endereos.
293
T
S
s
T
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
o Address: Endereo IP o qual o original
deve ser traduzido.
erver: Servidor hotspot o qual a regra
er aplicada.
ype: Tipo do Binding
HotSpot Ports
A facilidade NAT do hotspot causa
problemas com alguns protocolos
incompatveis com NAT. Para que esses
protocolos funcionemde forma
consistente, devem ser usados os
mdulos helpers.
No caso do NAT 1:1 o nico problema
com relao ao mdulo de FTP que
deve ser configurado para usar as
portas 20 e 21.
295
a
o
HotSpot Walled Garden
Configurandoum walled garden possvel oferecer ao usurio o acesso a
de login e senha.
Podemser deletados (-) forando assim o usurio a fazer o login
novamente.
300
o
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
Username/password.
Dst URL original que o usurio requisit u antes do redirecionamento e que ser
aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
301
n
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS
certificado, assin-lo corretamente e
do menu /system certificates.
ecessrio que se crie um
em seguida import-lo atravs
302
a Dvid s ????
303
p
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas
funo da topologia da rede.
elo usurio atravs de inseres pr-definidas em
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path) que um mecanismo
permite rotear pacotes atravs de vrios links e permite balancear cargas.
que
possvel ainda no Mikrotik se estabelecer polticas de roteamento dando
tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
304
o Polticas de R teamento
Existem algumas regras que devem ser seguidas para se estabelecer
uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e
portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-
os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
305
o
m
Polticas de R teamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar
redundncia e balanceamento de links de forma automtica e uma
forma de se fazer uma rede semelhante as redes conhecidas como
Mesh, porm de forma esttica.
319
d
a
n
Roteamento dinmico - BGP
O protocolo BGP destina o a fazer comunicao
entre AS(Autonomos System) diferentes, podendo
considerado como o cora o da internet.
O BGP mantm uma tabela de prefixos de rotas
contendo informaes par se encontrar
determinadas redes entre os ASs.
ser
- Opes
Router ID: Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que xista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se tiver sido
instalada como rota esttica, dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2 se tiver sido
instalada como rota esttica, dhcp ou PPP.
Alw ys (as type 1): Sempre, com mtrica 1.
Alw ys (as type 2): Sempre, com mtrica 2.
325
C
a
S
R
B
OSPF - Opes
Redistribute onnected Routes: Caso habilitado, o
roteador ir distribuir todas as rotas relativas as redes que
estejam diret mente conectadas a ele.
Redistribute tatic Routes: Caso habilitado, distribui as
rotas cadastradas de forma esttica em /ip routes.
Redistribute IP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
Redistribute GP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas que
sero exportadas as diversas rotas.
326
OSP
Considerando nosso diagrama
OSPF em uma s rea e testar
OSPF
Considerando nosso diagrama inicial, vamos aplicar o
OSPF em uma s rea e testar a funcionalidade.
327
a Dvid s ????
328
w
d
m
Web Proxy
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
KiBytes.
Cache On Disk: Indica se o cache ser em Disco ou
em RAM.
330
s
v
s
Web Proxy - Parmetros
Max Client Connections: Nmero mximo de
conexe
Max Ser
conexe
proxy.
simultneas ao proxy.
er Connections: Nmero mximo de
que o proxy far a um outro servidor
clientes.
Always FromCache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
331
Web Proxy - Parmetros
Cache Hit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est usando
335
e
u
Web Proxy
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisi
Action: Permite ou nega a regra
- Access
Nome de exibio
Tipo do dispositivo
352
n
m
The Dude Adiciona do dispositivos
O The Dude possui vrios dispositivos pr-definidos, mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prtica.
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados co suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
n The Dude Adiciona do dispositivos
Quando a rede possui elementos no configurveis
por IP como switchs L2, necessrio criar
dispositivos estticos para fazer as ligaes. Com
isso possvel concluir o diagrama da rede
forma mais realista e parecida com a real.
de
354
a
b
The Dude Cri ndo links
ativos.
g The Dude rficos