Você está na página 1de 361

TREINAMENTO MIKROTIK

www.brasiltechsolucoes.com
Algumas regras importantes

Por ser um curso oficial, o mesmo no poder ser filmado


ou gravado

Procure deixar seu aparelho celular desligado ou em modo


silencioso

Durante as explanaes evite as conversas paralelas. Elas


sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G
em seu laptop
3
s

Algumas regras importantes

Perguntas so sempre bem vindas. Muitas vezes a sua


dvida a dvida de todos.
O acesso a internet ser di ponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participa o somente ser concedido a
quem obtiver presena igual ou superior a 75%.
4
Apresente-se a turma

Diga seu nome;


Sua
Seu
Seu
empresa;
conhecimento
conhecimento
sobre o RouterOS;
com redes;
do curso;
O que voc espera
5
o
b
e
Objetivos d curso
Prover um viso geral so
as RouterBoards.
re o Mikrotik RouterOS e
Mostrar de um modo geral todas ferramentas que o
Mikrotik RouterOS disp
solues.
para prover boas
6
M Onde est a ikrotik ?
7
r
RouterBoards

So hardwares criados pela Mikrotik;


Atualmente existe
RouterBoards.
umag ande variedade de
8
b
Mikrotik RouterOS
RouterOS o sistema operacional das
RouterBoards e que pode ser configurado como:

Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n

Alm das RouterBoards ele tam


PCs.
m pode ser instalado em
9
Instalao do RouterOS
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem
Via rede com utilitrio Netinstall
10
m
Onde obter o Mikrotik RouterOS
Para obter os ltimos pacotes do Mikrotik RouterOS
basta acessar:
http://www.mikrotik.com/download.html
L voc poder baixar as i agens .iso
Os pacotes combinados
E os pacotes individuais
11
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
w
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..

DHCP: Cliente e Servidor DHCP


Advanced-tools: Ferramentas de diagnstico, net atch e outros ultilitrios
Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial
13
Pacotes do RouterOS

Radiolan: Suporte a placa RadioLan


RouterBoard: Utilitrio para RouterBoards
Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet
14
Instalando pelo CD
Pode-se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
configuraes pode-se mant-las pressionando y.

15
m
m
Instalao co Netinstall
Pode ser instalado em PC que boota via rede(configurar
na BIOS)
Pode ser baixado tambm em:
http://www.mikrotik.com/download.ht l
O netinstall um excelente recurso para reinstalar em
routerboards quando o sistema foi danificado ou quando
se perde a senha do equipamento.
16
m
R
Instalao co
Para se instalar em uma
Netinstall
outerBoard,

inicialmente temos que entrar via serial, com


cabo null modem e os seguintes parmetros:

Velocidade: 115.200 bps


Bits de dados: 8
Bits de parada: 1
Controle de fluxo: hardware
17
m Instalao
Atribuir um IP para o Net
Booting na mesma faixa
da placa de rede da
mquina
co Netinstall

Coloque na mquina os
pacotes a serem
instalados

Bootar e selecionar os
pacotes a serem
instalados
18
19
Primeiro acesso
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:

Direto no console (em pcs)


Via terminal
Via telnet de MAC, atravs de outro
Mikrotik ou sistema que suporte
telnet de MAC e esteja no mesmo
barramento fsico de rede
Via Winbox

Console no Mikrotik
Atravs do console do Mikrotik possvel acessar
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
todas
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
20
t
o
Console no Mikrotik
Mostra um help para o dire rio em que se esteja
?
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para m
disponveis
strar as opes
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:

[admin@MikroTik] > interface ethernet> print


Flags: X - disabled, R - running, S - slave
# NAME MTU
1500
MAC-ADDRESS
00:0C:42:34:F7:02
ARP
enabled
MASTER-PORT SWITCH
0 R ether1
[admin@MikroTik] > interface ethernet> print detail
0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0C:42:34:F7:02
auto-negotiation=yes full-duplex=yes speed=100Mbps
arp=enabled
22
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando:

[guilherme@MKT] > interface wireless monitor wlan1


status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik
Comandos para manipular regras

add, set, remove: adiciona, muda e remove regras;


disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Comando Export

Exporta todas as configuraes do diretoria acima;


Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
do emulador Wine. A comunicao feita pela porta TCP 8291 e caso voc

habilite a opo Secure Mode a comunicao ser criptografada.


Para baixar o winbox acesse o link:
http://www.mikrotik.com/download.html
25
Acessando pel
possvel acessar o Mikrotik inicialm
do MAC da interface do dispositivo q
fsico que o usurio. Para isso basta c
MAC que aparecer.
s
Acessando pelo WINBOX
possvel acessar o Mikrotik inicialmente sem endereo IP, atrav do
MAC da interface do dispositivo que est no mesmo barramento

fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
26
Configurao em Modo Seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja

perdida de forma automtica. Para habilitar o modo seguro pressione


CTRL+X.
27
r
Configurao em Modo Seguro
Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagemser dada:
Hijacking Safe Mode from someone unroll/ elease/dont take it [u/r/d]

u desfaz todas as configuraes anteriores feitas em modo


seguro e pe a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
mensagem:
Safe Mode Released by another user
28
m
Configurao em Modo Seguro
Todas configuraes so desfeitas caso voc perca comunicao com o
roteador, o terminal seja fechado clicando no x ou pressionando

CTRL+D.
Configuraes realizadas em modo seguro no so sofrem marcaes na
lista de historico at serem confirmadas ou desfeitas. A flag U significa
que a ao no ser desfeita. A flag R significa que a ao foi desfeita.
possvel visualizar o histrico de modificaes atravs do menu:

/system history print


Obs.: O nmero mximo de registros e modo seguro de 100.
29
Manuteno do Mikrotik
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento
30
Atualizaes

As atualizaes podem ser feitas a


partir de um conjunto de pacotes
combinados ou individuais.

Os arquivo tem extenso .npk e para


atualizar a verso basta fazer o
upload para o diretrio raiz e efetuar
um reboot.
O upload pode ser feito por FTP ou
copiando e colando pelo Winbox.

31
q
d
Pacotes
Adicionar novas funcionalidades podem ser feitas

atravs de alguns pacotes ue no fazem parte do


conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk
para instal-los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
Alguns pacotes como User Manager e
e

Multicast so exemplos e pacotes adicionais


que no fazem parte do pacote padro.
32
a
Pacotes
Alguns pacotes podem ser h bilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
Pacote marcado para ser
desabilitado
Pacote marcado para ser
habilitado
33
a
n
Backup

Para efetuar o backup


basta ir em Files e clicar no
boto Backup.

Para restaurar o backup


basta selecionar o arquivo
e clicar em Restore.

Este tipo de backup pode caus r problemas de MAC caso


seja restaurado em outro hardware. Para efetuar um
backup por partes use o coma do export.
34
m Licencia ento
A chave gerada sobre
um software-id fornecido
pelo sistema.
A licena fica vinculada ao
HD ou Flash e/ou placa
me.
A formatao com outras
ferramentas muda o
software-id causa a perda
da licena.
35
Dvidas ???
36
Nivelamento de conhecimentos TCP/IP
37
n
Modelo OSI
(Open System Interconnection)
CAMADA 6 Apresentao: Camada de traduo
CAMADA 3 Rede: Associa endereo fsico ao en
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
38
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
CAMADA 4 Transporte: Controle de fluxo, orde ao dos pacotes e correo de erros
CAMADA 3 Rede: Associa endereo fsico ao endereo lgico
CAMADA 2 Enlace: Endereamento fsico. Dete
CAMADA 1 Fsica: Bits de dados
m
Camada I Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
nesse nvel que so definidas as
especificaes de cabea ento estruturado,
fibras pticas, etc... No caso da wireless a
camada I que define as modulaes,
frequncias e largura de banda das portadores.
39
Camada II - Enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da

camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
40
A
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo M C: 00:0C:42:00:00:00
41
g
Camada III - Rede
Responsvel pelo endereamento lgico dos

pacotes.
Transforma endereos l icos(endereos IPs) em
endereos fsicos de rede.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
42
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip: 200.200.0.1
43
d
Sub Rede

uma faixa de endereos IP que ivide as redes em segmentos


Exemplo de
O endereo
O endereo
sub rede: 255.255.255.0 ou /24
de REDE o primeiro IP da sub rede
de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
44
End. IP/Mscara End. de Rede End. Broadcast
192.168.1.0/23 192.168.0.0 192.168.1.255
192.168.1.1/24 192.168.1.0 192.168.1.255
192.168.1.1/25 192.168.1.0 192.168.1.127
192.168.1.1/26 192.168.1.0 192.168.1.63
Endereamento CIDR
45
a
Protocolo ARP Address Resolution Protocol

Utilizado para associar IPs com endereos fsicos.


Faz a intermediao entre a c
seguinte forma:
mada II e a camada III da
1. O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
O host que tem o IP de destino responde fornecendo seu MAC.
Para minimizar o broadcast, o S.O mantmum tabela ARP
2.
3.
constando o par (IP MAC).
46
a
c
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camad s superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.

No lado do destinatrio pega pega os pacotes


recebidos da camada de rede, remonta os dados
originais e os envia para amada superior.
Esto na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
m
Caractersticas do protocolo TCP

Garante a entrega de data gramas IP.


Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqencia
dados segmentados.
ento adequado e a entrega ordenada de
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.
49
e Diferenas bsicas ntre TCP e UDP
Servio sem conexo. No estabelecida
Servio orientado por conexo.
confirmao e entrega seqenciada dos
dos dados.
responsveis pela confiabilidade dos
de transporte confivel de dados.
comunicao ponto a ponto e
50
TCP UDP
Servio orientado por conexo.
conexo entre os hosts.
Garante a entrega atravs do uso de
No garante ou no confirma entrega
dados.
Programas que usam TCP tem garantia
Programas que usam UDP so
dados.
Mais lento, usa mais recursos e somente
d suporte a ponto a ponto.
Rpido, exige poucos recursos e oferece
multiponto.
Estado das conexes
possvel observar o estado das conexes no MikroTik no menu Connections.
51
m
Portas TCP
O uso de portas, permite o funciona ento de vrios servios, ao
mesmo tempo, no mesmo computador, trocando informaes com um
ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais.
52
Dvidas ????
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
Obs.: Atente para selecionar as interfaces corretas.
55
3
1
4
2
Configurao do Router
Adicione a rota padro
56
1
2
4
Configurao do Router
Adicione o servidor DNS
3
57
e
Configurao do Router
Configurao da interfac wireless
58
Teste de cone
Pingar a partir da RouterBo
192.168.X.254
Pingar a partir da RouterBo
www.mikrotik.com;
Pingar a partir do noteboo
192.168.X.254
Pingar a partir do noteboo
www.mikrotik.com;
Analisar os resultados
Teste de conectividade
Pingar a partir da RouterBoard o seguinte
192.168.X.254
Pingar a partir da RouterBoard o seguinte
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
ip:
endereo:

Pingar a partir do notebook o seguinte endereo:


www.mikrotik.com;
Analisar os resultados
59

r
Corrigir o problema de conectividade
Diante do cenrio apresentado quais solues
podemos apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Add ess Translation).
60
o
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhemum mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.

Todo e qualquer pacote de dados de uma rede possui


um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca d endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
61
3
1
2
4
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
62
o
Teste de conectividade

Efetuar os testes de ping a partir do notebook;


Analisar os resultados;
Efetuar os eventuais repar s.
Aps a confirmao de que tudo est funcionando, faa
o backup da routerboard e armazene-o no notebook.
Ele ser usado ao longo do curso.
63
1
2
Gerenciando usurios
O acesso ao roteador pode ser controlado;
Pode-se criar usurios e/ou grupos diferentes;

64
Gerenciamento
Adicione um novo usuri
acesso Full
Mude a permisso do usu
Faa login com seu novo
Gerenciamento de usurios
Adicione um novo usurio com seu nome
acesso Full
e d a ele
Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
65
Atualizando a R
Faa o download dos pac
ftp://172.31.254.2
Faa o upload dos pacote
Reinicie a RouterBoard pa
sejaminstalados
Confira se os novos pacot
sucesso.
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.254.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejaminstalados
Confira se os novos pacotes foram instalados com
sucesso.

66
Wireless no Mikrotik
67
Configuraes Fsicas
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e
68
Padro IEEE Frequncia Tecnologia Velocidades
802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps
802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM De 6.5Mbps at 600 Mbps
802.11b - DSSS
69
z
Canais no interferentes em
2.4 Ghz - DSSS
Canal 1 Canal 6 Canal 11
2.412 GHz 2.437 GH 2.462 GHz
70
e
Configuraes Fsicas 2.4Ghz
2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 11 Mbps e utiliza
espalhamento espectral.

2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54 Mbps
e utiliza OFDM.
2.4Ghz-B/G: Modo misto 802.11b 802.11g recomendado para ser
usado somente em processo de migrao.
71
Canais do espectro de 5Ghz

Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:

Faixa baixa:
Faixa mdia:
Faixa alta:
5150 a 5350 Mhz
5470 a 5725 Mhz
5725 a 5850 Mhz
72
5
Aspectos legais do espectro de 5Ghz
100 Mhz
obrigatria
73
Faixa Baixa Faixa Mdia Faixa Alta
Freqncias 5150-5250 5250-53 0 5470-5725 5725-5850
Largura 100 Mhz 100 Mh 255 Mhz 125 Mhz
Canais 4 canais 4 canai 11 canais 5 canais
Deteco
radar
obrigat
de Deteco de
radar
obrigatria
Configuraes Fsicas 5 Ghz

5Ghz: Modo 802.11a


opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps.
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e 5Mhz de
largura de banda que permite selecionar freqncias mais especificas,
porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do
modelo do carto.
74
e
Canalizao em 802.11a Modos 5Mhz e 10Mhz

Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia d
tx
75
Canalizao em 802.11a Modo Turbo

Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
76
Padro 802.11n

INDICE:

MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
77
u
r
MIMO
MIMO: Multiple Input and M ltiple Output
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas at avs de mltiplas antenas.

Configuraes de
transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
antenas mltiplas para receber e
78
802.11n - Velocidades nominais
79
r
802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia
principal
compatvel com os clientes legados de 20Mhz
Conexo feito no canal principal
Permite utilizar taxas maio es
80
a
o
802.11n Agregao dos frames
Combina mltiplos frames de dados em um simples frame.
O
que diminui o overhead
Agregao de unidade de dados protocolo MAC (AMPDU)

Aggregated MAC Protocol Dat Units


Usa Acknowledgement em bloco
Pode aumentar a latncia. Por padro habilitado somente para
trfego de melhor esforo
Agregao de unidade de dados de servios MAC (AMSDU)
Enviando e recebendo AMSDUs causa aumento de
processamento, pois este pr cessado a nvel de software.
81
n Configurando
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena ignorada.
o Mikrotik

HT AMSDU Limit: Mximo AMSDU


que o dispositivo pode preparar.

HT AMSDU Threshold: Mximo


tamanho de frame que permitido
incluir em AMSDU.
82
n Configurando
HT Guard Interval: Intervalo de guarda.
Any: Longo ou curto, dependendo
da velocidade de transmisso.
Longo: Intervalo longo.
o Mikrotik

HT Extension Channel: Define se ser


usado a extenso adicional de 20Mhz.
Below: Abaixo do canal principal
Above: Acima do canal principal
HT AMPDU Priorities: Prioridades do
frame para qual o AMPDU deve ser
negociado e utilizado.
83
n Configurando o Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso
84
dobrada.
Bridge transparente em enlaces N
WDS no suporta agregao
no prov a velocidade total
de
da
frames e portanto
tecnologia n
EoIP incremente overhead
Para fazer bridge transparente
maiores com menos overhead
devemos utilizar MPLS/VPLS.
com velocidades
em enlaces n
85
Bridge transparente em enlaces N
Para se configurar a bridge transparente em enlaces n, devemos
estabelecer um link AP <-> Station e configure uma rede ponto a

ponto /30.

Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)


Habilitar o LDP (Label Distribution Protocol) em ambos lados.
Adicionar a wlan1 a interface MPLS
86
d
87
Bridge transparente em enlaces N
Configurar o tnel VPLS em ambos os la os
Crie uma bridge entre a interface VPLS e a ethernet conectada

Confira o status do LDP e do tnel VPLS


o Bridges VPLS - C nsideraes
O tnel VPLS incrementa o pacote. Se este pacote

excede o MPLS MTU da interface de saida, este ser


fragmentado.

Se a interface ethernet suportar MPLS MTU de 1522


ou superior, a fragmentao pode ser evitada
alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards
pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
88
Setup Outdoor para enlaces n
Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us-los ao
mesmo tempo.
Para operao em 2 canais, usar polarizaes
diferentes
Quando utilizar antenas de polarizao dupla, a
isolao mnima recomendada da antena de 25dB.
89
Enlaces
Estabelea um link N co
Teste a performance com
Crie uma bridge transpar
Enlaces n
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
90
m
a
Configuraes de ca ada fsica - Potncias

default: No altera a potncia original do carto


cards rates: Fixa mas respeita as variaes das taxas para cada velocidade
all rates fixed: Fixa um valor para tod s velocidades
manual: permite ajustar potncias diferentes para cada velocidade
91
m Configuraes de ca ada fsica - Potncias
Quando a opo regulatory domain est habilitada, somente as frequncias
permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13

92
Configuraes da camada fsica Seleo de antena
Em cartes que tem duas saidas
para antenas, possvel escolher:

antena a: utiliza antena a(main) para tx e rx


antena b: utiliza antena b(aux) para tx e rx
rx-a/tx-b: recepo em a e transmisso em b
tx-a/rx-b: transmisso em b e recepo em a
93
7
Configuraes da camada fsica DFS

no radar detect: escaneia o meio e


escolhe o canal em que for encontrado
o menor nmero de redes
radar detect: escaneia o meio e espera
1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal

Obs.: O modo DFS obrigatrio no


Brasil para as faixas de 5250-5250 e
5350-5 25
94
c Configuraes da camada fsi a Prop. Extensions e WMM

Proprietary Extensions: Opo com a nica


finalidade de dar compatibilidade com chipsets
Centrino.

WMM Support: QoS no meio fsico(802.11e)

enabled: permite que o outro dispositivo use wmm


required: requer que o outro dispositivo use wmm
disabled: desabilita a funo wmm
95
u
s
Configuraes da camada fsica
Client tx rate / Compression
Defaul AP TX Rate: Taxa mxima q e o AP pode
transmitir para cada um de seus clientes.
AP e

Funciona para qualquer cliente.

Default Client TX Rate: Taxa mxima que o


cliente pode transmitir para o AP. S funciona
para clientes Mikrotik.
Compression: Recurso de compre so em Hardware disponvel
em chipsets Atheros. Melhora o desempenho se o cliente possuir
este recurso e no afeta clientes que no possuam o recurso.
Porm este recurso incompatvel com criptografia.
96
Configuraes da camada fsica Data Rates

A velocidade em uma rede wireless


definida pela modulao que os
dispositivos conseguem trabalhar.

Supported Rates: So as velocidades de


dados entre o AP e os clientes.

Basic Rates: So as velocidades que os


dispositivos se comunicam
independentemente do trfego de dados
(beacons, sincronismos, etc...)
97
m
e
e
Configuraes da ca ada fsica ACK
Dados
ACK
O ACK timeout o tempo que
espera pelo pacote Ack que d
um dispositivo wireless
ve ser transmitido para
confirmar toda transmisso wireless.

Dynamic: O Mikrotik calcula dinamicamente o Ack de cada


cliente mandando de tempos m tempos sucessivos pacotes
com Ack timeouts diferentes e analisando as respostas.
indoors: Valor constante para redes indoors.
Pode-se tambmfixar valores manualmente.

98
Dispositivo
B
Dispositivo
A
m
n
Configuraes da ca ada fsica ACK
Timeout
Tabela de valores referenciais para ACK
Obs.: Utilize a tabela somente para referncia i icial.
99
Ferramentas de Site Survey - Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
100
Ferramentas de Site Survey Uso de frequncias
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada
wireless.
no menu
101
o
Interface wireless - Alinhamento
Ferramenta de alinhamento com sinal s noro
Colocar o MAC do AP remoto no campo Filter MAC Address
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido
Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
102
e Interface wirel ss - Sniffer
Ferramenta para sniffar o
ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar
ataques do tipo deauth e
monkey jack.
Pode ser arquivado no
prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
103
e
Interface wireless - Snooper
Com a ferramenta snooper possvel monitorar a carga de
em cada canal por estao e por red .
Scaneia as frequncias definidas em scan-list da interface
trfego

104
Interface wireless - Geral
Comportamento do protocolo ARP
enable: Aceita e responde requisies ARP.
disable: No responde a requisies ARP. Clientes
devem acessar atravs de tabelas estticas.
proxy-arp: Passa seu prprio MAC quando h
uma requisio para algum host interno ao
roteador.
reply-only: Somente responde as requisies.
Endereos vizinhos so resolvidos estaticamente.
105
M
a
N
Interface wireless odo de operao

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio


wireless de forma transparente p ra a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando

somente um cliente.
station: Modo cliente de um ap.
bridge com outras interfaces.

o pode ser colocado em


106
M
o
m
p
o
Interface wireless odo de operao

station pseudobridge: Estao que pode ser colocada em modo


bridge, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone: M
passa ao AP um MAC pr deter
do idntico ao anterior, porm
inado anteriormente.

station wds: Modo estao que pode ser colocado em bridge


com a interface ethernet e que assa os MACs de forma
transparente. necessrio que AP esteja em modo wds.
107
M
n
Interface wireless odo de operao

alignment only: Modo utilizado para efetuar alinhamento de


antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so ma dados a ela por outros
dispositivos trabalhando no mesmo canal.

wds slave: Adqua suas configuraes conforme outro AP com


mesmo SSID.

nstreme dual slave: Ser visto no tpico especifico de nstreme.


108
Interface wireles
Com as interfaces virtuais podemos mo
vrias redes dando perfis de servio dife
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo A
Obs.: As demais configuraes so idnticas
umAP.
109
Interface wireless AP Virtual
Com as interfaces virtuais podemos montar
vrias redes dando perfis de servio diferentes.
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as de
um AP.
Camada Fsica - Wireless
Como trabalha o CSMA?

Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).

Redes wireless 802.11


utilizamo mtodo
CSMA/CA (Colision
Avoidance).
110
o
Protocolo Nstreme

- Configurao
Framer Policy
Dynamic size: O Mikrotik determina.
Best fit: Agrupa at o valor em Frame
Limit sem fragmentar.
Exact Size: Agrupa at o valor em Frame
Limit fragmentando se necessrio.

Enable Nstreme: Habilita o nstreme.


Enable Polling: Habilita o mecanism de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense. Recomendado.
Framer Limit: Tamanho mximo do pacote em bytes.
111
u Protocolo Nstreme D al - Configurao
1 Colocar a interface em modo
nstreme dual slave.
2 Adicionar uma interface Nstreme
Dual e definir quem ser TX e quem
ser RX.
Obs.: Utilize sempre canais distantes.
112
u Protocolo Nstreme D
3 Verifique o MAC escolhido pela
interface Nstreme e informe no lado
oposto.
al - Configurao
4 Criar uma bridge e adicionar as
interfaces ethernet e a interface
Nstreme Dual
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
113
W WDS & DS MESH
114
v
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma garantir uma grande rea de
cobertura wireless utilizando rios APs e prover
mobilidade sem a necessidade de re-conexo dos usurios.
Para tanto, todos os APs devem ter o mesmo SSID e mesmo
canal.
115
WDS e o protocolo STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o
looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
O RSTP inicialmente elege uma root bridge e utiliza o algoritmo breadth-first
search que quando encontra um MAC pela primeira vez, torna o link ativo. Se
encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados. No

entanto possvel interferir no comportamento padro, modificando custos,


prioridades e etc...
116
WDS e o protocolo STP
Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.
Quando os custos so iguais eleita a
porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
117
WDS e o protocolo STP

A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
118
S
p
a
WDS / WD MESH
WDS Default Bridge: A bridge padro para as
interfaces wds.

WDS Default Cost: Custo da porta bridge do


link wds.
WDS Cost Range: Margem de custo que pode
ser ajustada com base no troughtput do link.
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro com atvel.
static: As interfaces wds devem ser
MAC da outra ponta.
dicionadas manualmente apontando o
(mesh): WDS com um algoritmo proprietrio para melhoria do link. S possui
compatibilidade com outros dispositivos Mikrotik.
119
WDS / M
Altere o modo de operao
da wireless para: ap-bridge
WDS: Selecione o modo wds
dynamic-mesh.
WDS Default Bridge: Selecion
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge

WDS: Selecione o modo wds


dynamic-mesh.
WDS Default Bridge: Selecione
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
120
Interface Wireless Controle de Acesso
A Access List utilizada pelo AP para restringir
associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.

A comunicao entre clientes da mesma interface, virtual


ou real, tambm controlada na Access List.
121
a
e
Interface Wireless Controle de Acesso
O processo de associao ocorre
da seguinte forma:
1.
2.
3.
Um cliente tenta se associar uma interface wlan;
Seu MAC procurado na access list da interface wlan;
Caso encontrado, a ao esp cifica ser tomada:

Authentication: Define se o cliente poder se associar ou


no;

Fowarding: Define se os clientes podero se comunicar.


122
d
Interface Wireless
MAC Address: Endereo MAC a ser libera o
Access List
ou bloqueado.
Interface: Interface real ou virtual onde ser
feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado para o
cliente.
Client Tx Limit: Limite de trfego enviado do
cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de
desautenticao. Somente compatvel com outros Mikrotiks.
123
o
d
Interface Wireless Connect
A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado c mo
List
cliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix: String para conexo com AP e mesma rea
Security Profile: Definido nos perfis de segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
124
o Segurana de Acess em redes sem fio
125

c
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID .
Pontos negativos:
SSID deve ser conhecido pelos lientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
127
Falsa segurana
Criptografia WEP:

Wired Equivalent Privacy Foi o sistema de criptografia


inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar

a chave, como:
Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
128
Evoluo dos padres de segurana
129
r
r
Fundamentos de Segurana
Privacidade
As informaes no podem se legveis para terceiros.
Integridade
As informaes no podem se alteradas quando em transito.
Autenticao
AP
ser.
Cliente: O AP tem que garantir que o cliente quem diz
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
130
a
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo
de Hashing Michael) e WPA2 usa CCMP(Cipher
Chaining Message Authentic tion Check CBC MAC)
131
e
132
Chave WPA e WPA2 - PSK

A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.

Configure o modo de chave


dinmico e a chave pr-combinada
para cada tipo de autenticao.
Obs.: As chaves so alfanumricas d
8 at 64 caracteres.
W
u
o
W
c
Segurana de PA / WPA2
Atualmente a nica maneira conhecida para se quebrar a
WPA-PSK somente por ataq e de dicionrio.
Como a chave mestra PMK combina uma contra-senha
com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente imp ssvel.
A maior fragilidade paras os
encontra em texto plano nos
ou no prprio Mikrotik.
ISPs que a chave se
omputadores dos clientes
133
134
Configurando EAP-TLS Sem Certificados
Crie o perfil EAP-TLS e associe a
interface Wireless cliente.
S
r
o
Segurana de EAP-TL sem certificados

O resultado da negociao annima resulta em uma


chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com

a mesma configurao e negociar a chave normalmente


como se fosse um cliente.

Uma idia para utilizar essa configurao de forma


segura criando um tnel c iptografado PPtP ou L2TP
entre os equipamentos dep is de fechado o enlace. 135
m
o
Trabalhando co certificados
Certificado digital um arquivo que identifica de
forma inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras
chamadas de CA (Certificate Authorities).
Os certificados podem ser:
Assinados por uma instituio acreditada (Verisign,

Thawte, etc...)
Certificados auto-assinad
s.
136
Passos para implementao de EAP-TLS
com certificados auto Assinados
1.
2.
3.
4.
5.
Crie a entidade certificadora(CA)
Crie as requisies de Certificados
Assinar as requisies na CA
Importar os certificados assinados
Se necessrio, criar os certificados
para os Mikrotiks
para mquinas
windows
137
EAP-TLS sem Radius em ambos lados
O mtodo EAP-TLS
tambm pode
usado com
certificados.
ser
138
o
EAP-TLS sem Radius em ambos lados
Metodos TLS
dont verify certificate: Requer um
certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente c m o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
140
WPAx com radius
c

a
EAP-TLS com ertificado
EAP-TLS (EAP Transport Layer Security)

O Mikrotik suporta EAP-TLS tanto como cliente como AP e


ainda repassa esse mtodo para um Servidor Radius.

Prover maior nvel de seguran a e necessita de certificados em


ambos lados(cliente e servidor).

O passo a passo completo par


pode ser encontrado em:
configurar um servidor Radius
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-
mikrotik
141
EAP-TLS com Radius em ambos lados
A configurao da parte do
cliente bem simples.

Selecione o mtodo EAP-TLS


Certifique-se que os
certificados esto instalados
e assinados pela CA.
Associe o novo perfil de
segurana a interface
wireless correspondente.

142

EAP-TLS com Radius em ambos lados

No lado do AP selecione o
mtodo EAP passthrough
.

Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
143
o
Segurana de EAP-TLS com Radius
Sem dvida este o mtodo mais seguro que podemos

obter. Entretanto existe um p nto que podemos levantar


como possvel fragilidade:
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius
ele pode tentar um ataque de fora bruta para descobrir a
PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
144
e
e
m
Resumo dos metodos de
implantao e s
WPA-PSK
Chaves presentes nos client
us problemas.
s e acessveis aos operadores.
Mtodo sem certificados
Passvel de invaso por equipamento que tambm opere
nesse modo.
Problemas com processador.
Mikrotik com Mikrotik co EAP-TLS
Mtodo seguro porminvivel economicamente e de
implantao praticamente impossvel em redes existentes.
145
Resumo dos mtodos de
implantao e seus problemas.
Mikrotik comRadius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homemdo meio e pouco disponvel
em equipamentos atuais.
EPA-TLS
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
implement-lo.
146
Mtodo alternativo com Mikrotik
A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um tenha

sua chave.
Obs.: Cadastrando as PSK na access list,
voltamos ao problema da chave ser visvel a
usurios do Mikrotik.
147
k
e
Mtodo alternativo com Mikrotik
Por outro lado, o Mikroti permite que essas

chaves sejam distribudas por Radius, o que torna


esse mtodo muito inter ssante.
Para isso necessrio:

Criar um perfil WPA2 qualquer;


Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como
no Radius.
148
Mtodo alternativo com Mikrotik
Configurando o perfil:
149
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
#
Cleartext-Password:=MAC
Mikrotik-Wireless-Psk = Chave_Psk
000C42000001 Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234
000C42000002 Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
150
Corrigindo o dicionrio de atributos
(/usr/share/freeradius/dictionary.mikrotik)
VENDOR Mikrotik 14988
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
Mikrotik-Recv-Limit
Mikrotik-Xmit-Limit
Mikrotik-Group
Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x
Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key
Mikrotik-Rate-Limit
Mikrotik-Realm
Mikrotik-Host-IP
Mikrotik-Mark-Id
Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval
1 integer
2
3
4
5
6
7
8
9
10
11
12
13
integer
15
integer
string
integer
integer
integer
string
string
string
ipaddr
string
string
integer
Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords integer
ATTRIBUTE Mikrotik-Wireless-Psk 16 string
151
Firewall no Mikrotik
152
e
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de

entrada, de sada e passante.


Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no fir wall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
O
r
Firewall - pes

Filter Rules: Regras para filtro de pacotes.


NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inse idos de forma dinmica ou esttica e
que podemser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
154
t
Firewall Canais default
O Firewall opera por meio de regras. Uma regra uma
expresso lgica que diz ao roteador o que fazer com
um tipo particular de pacote.
Regras so organizadas em canais(chain) e existem 3

canais default.

INPUT: Responsvel pelo trfego que CHEGA no router;


OUTPUT: Responsvel pelo rfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo router.
155
Firewall Fluxo de pacotes
OUT
Deciso de
Roteamento
Deciso de
Roteamento
Filtro Forward
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
156
Filtro For
Filtro Input Filtro Output
Processo Local
Processo Local IN
Interface de
Saida
Interface de
Entrada
t
Firewall Princpios gerais
1. As regras de firewall so sempre processadas por
na ordem que so listadas de cima pra baixo.
As regras de firewall funcionam como expresses
canal,
2. lgicas
condicionais, ou seja: se <condio> ento <ao>.
Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguin e.
3.
157
e
q
Firewall Princpios gerais
4. Quando um pacote atend TODAS as condies da
regra, uma ao tomada com ele no importando
as regras que estejam abaixo nesse canal, pois elas
no sero processadas.
5. Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough, log e
add to address list.
6. Um pacote que no se en uadre em qualquer regra
do canal, por padro ser aceito.
158
m
Firewall Filters Rules
As regras de filtro pode ser organizadas e
mostradas da seguinte for a:

all: Mostra todas as regras.


dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
159
o
o
160
Firewall Filters Rules
Algumas aes que podemser t madas nos filtros de firewall:

passthrough: Contabiliza e passa adiante.


drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de icmp ou
tcp reset.
tarpit: Responde com SYN/ACK a
aloca recursos.
pacote TCP SYN entrante, mas no
m
v
Filter Rules Canais criados pelo usurio
Alm dos canais padro o ad inistrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado de emos desviar o fluxo

atravs de uma ao JUMP.

No exemplo acima podemos ver 3 novos canais criados.


Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
161
n
n
Firewall Filters Rules
Aes relativas a canais criados
pelo usurio:
jump: Salta para um canal
definido em jump-target
jump target: Nome do ca
onde se deve saltar
al para
return: Retorna para o ca
chamou o jump
al que
162
a Como funciona o can l criado pelo usurio
Canal criado
pelo usurio
163
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
a Como funciona o can l criado pelo usurio
Caso exista alguma
regra de RETURN, o
retorno feito de
forma antecipada e
as regras abaixo
sero ignoradas.
164
REGRA
REGRA
REGRA
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
Firewall Address List
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:

Aes:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Porque quanto tempo a entrada permanecer na lista.

165
Firewall Tcnica do knock knock
166
d
Firewall Tcnica do knock knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que

estejam na lista libera_winbox


/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=a d-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list \
address-list=libera_winbox address-list-timeout=15m comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
167
o
Firewall Connection Track
Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection track so chamados de statefull e so mais seguros que s que fazem processamentos
stateless.
168

Firewall Connection Track


O sistema de connection track o corao do
firewall. Ele obtm e mant m informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit-la.
169
n Localizao da Con ection Tracking
Saida
Deciso de
Roteamento
Deciso de
Roteamento
Filtro Forward
170
Filtro For
Filtro Output Filtro Input
Conntrack
Conntrack
Processo Local IN
Interface de
Processo Local
OUT
Interface de
Entrada
Firewall Connection Track

Estado das conexes:


established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.

related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo

existente e nem est iniciando outra.


171
Firewall
Roteador Protegendo o e os Clientes
172
m
a
m
e
a
Princpios bsicos de proteo

Proteo do prprio roteador


Tratamento das conexes e eli
prejudicial/intil.
inao de trfego
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e cessos no autorizado ao roteador.

Proteo da rede interna


Tratamento das conexes e eli
prejudicial/intil.
Permitir somente os servios n
Prevenir e controlar ataques e
inao de trfego
cessrios nos clientes.
cesso no autorizado em clientes.
173
Firewall Tratamen
Regras do canal input
Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede in
Descartar o restante.
Firewall Tratamento de conexes

Regras do canal input

Descarta conexes invlidas.


Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
174
Firewall Contro
Regras do canal input
Permitir acesso externo ao winbo
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
Firewall Controle de servios

Regras do canal input

Permitir acesso externo ao winbox.


Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
175
Firewall Filtra
prejudicial
Bloquear portas mais comu
Baixar lista com portas e pr
ftp://172.31.254.1/virus.rsc
Importar o arquivo virus.rs
as regras funcionem.
Firewall Filtrando trfego
prejudicial/intil
Bloquear portas mais comuns utilizadas por vrus.

Baixar lista com portas e protocolos utilizados por vrus.


ftp://172.31.254.1/virus.rsc
Importar o arquivo virus.rsc
as regras funcionem.
e criar um jump para que
176
t
0
Firewall Filtrando rfego indesejvel
possveis ataques.
e
Controle de ICMP

Internet Control Message Protocol basicamente uma


ferramenta para diagnstico da rede e alguns tipos de
ICMP devemser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de

ICMP(type:code), que so:

Ping Mensagens (0:0) e (8:0)


Traceroute Mensagens (11: ) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
177
Firewall Filtrando trfego indesejvel
IPs Bogons:

Existem mais de 4 milhes de endereos IPV4.


Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
178
e Firewal Prot
Ping Flood:
o bsica

Ping Flood consiste no envio


de grandes volumes de
mensagens ICMP aleatrias.

possvel detectar essa


condio no Mikrotik criando
uma regra em firewall filter e
podemos associ-la a uma
regra de log para monitorar a
origem do ataque.
179
e Firewal Prot
Port Scan:
o bsica

Consiste no scaneamento de portas TCP e/ou UDP.


A deteco de ataques somente possvel para o protocolo
TCP.
Portas baixas (0 1023)

Portas altas (1024 65535)


180
e
u
o
Firewal Prot
Ataques DoS:
o bsica

O principal objetivo do ataque de DoS o consumo de


recursos de CPU ou banda.

Usualmente o roteador in ndado com requisies de


conexes TCP/SYNcausando resposta de TCP/SYN-ACKe
a espera do pacote TCP/ACK.

Normalmente no intenci
em clientes.
nal ou causada por vrus

Todos os IPs com mais de 15 conexes com o roteador


podemser considerados atacantes.
181
e Firewal Prot
Ataques DoS:
o bsica

Se simplesmente descartamos as conexes,


permitiremos que o atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a
proteo em dois estgios:
Deteco Criar uma lista de atacantes DoS com base em
connection limit.
Supresso Aplicando restries aos que forem detectados.
182
Firewal Proteo para ataques DoS
Criar a lista de atacantes
para posteriormente
aplicarmos
adequada.
a supresso
183
Firewal Proteo para ataques DoS

Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.

Essa regra deve ser


colocada antes da regra de
deteco ou ento a
address list ir reescrev-la
todo tempo.
184
e
o
Firewal Prot
Ataque dDoS:
o bsica

Ataque de dDoS so bastante


parecidos com os de DoS,
pormpartem de um grande
nmero de hosts infectados.

A nica medida que podem s


tomar habilitar a opo TCP
SynCookie no Connection
Track do firewall.
185
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.

Existem dois tipos de NAT.

Src NAT: Quando o roteador reescreve o IP ou porta de origem.


SRC DST SRC NAT Novo SRC DST

Dst NAT: Quando o roteador reescreve o IP ou porta de destino.


SRC DST DST NAT SRC Novo DST
186
a
Firewall - NAT
As regras de NAT so org nizadas em canais:
dstnat: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em
INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.
187
Firewall NAT Fluxo de pacotes
Deciso de
Roteamento
Deciso de
Roteamento
Filtro Forward
188
Filtro For
Filtro Output Filtro Input
srcnat Conntrack dstnat
Conntrack
Processo Local IN
Processo Local
OUT
Interface de
Saida
Interface de
Entrada
e
Firewall - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se temos,
por exemplo, a interface ether2 com ndereo IP 185.185.185.185 e uma
rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:

Desta forma, todos os endereos IPs da rede local


vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
189
e
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a um determinado
endereo IP. Dessa forma, um ender o IP de rede local pode ser

acessado atravs de um IP pblico e vice-versa.


190
Firewall - NAT
Redirecionamento de portas: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma

podemos dar acesso a


pblico.
servios de clientes sem utilizao de endereo IP
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
191
Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional de rede para rede. Com isso podemos mapear, por

exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:


192
Firewall NAT Helpers

Hosts atrs de uma rede nateada no possuem conectividade fim-a-


fim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers que
tm a funo de auxiliar nesses servios.
193
m
Firewall Mangle

O mangle no Mikrotik uma facilidade que permite a introduo de


marcas em pacotes IP ou em conexes, com base em um determinado
comportamento especifico.

As marcas introduzidas pelo mangle so utilizadas em processamento


futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas
existem somente no roteador e portanto no so passadas para fora.

Com o mangle tambm possvel anipular o determinados campos


do cabealho IP como o ToS, TTL, etc...
194
a
Firewall Mangle
As regras de mangle so organizadas em canais e

obedecem as mesma regras gerais das regras de filtro


quanto a sintaxe.

Tambm possvel criar canais pelo prprio usurio.


Existem 5 canais padro:

prerouting: Marca antes da


postrouting: Marca antes d
input: Marca antes do filtro
fila Global-in;
fila Global-out;
input;
output: Marca antes do filtro output;
forward: Marca antes do filtro forward;
195
P
Firewall Diagrama do Mangle
Saida
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Forward
196
Mangl
Forwar
Mangle
Postrouting
Mangle
Prerouting
Mangle Output Mangle Input
Processo Local IN
Interface de
rocesso Local
OUT
Interface de
Entrada
n
p
Firewall Mangle
As opes de marcaes i
mark-connection: Marca a
mark-packet: Marca todos
cluem:
enas o primeiro pacote.
os pacotes.
mark-routing: Marca pacotes para poltica de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo
tempo. Porm no pode conter 2 marcas iguais.
197
Firewall Mangle
Marcando conexes:

Use mark-connection para identificar uma ou um grupo


de conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a
uma conexo especfica.
198

Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas
determinar polticas de roteamento.
para
A utilizao dessas marcas ser abordada no tpico
do roteamento.
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para
de pacotes.
identificar um fluxo continuo
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:

Indiretamente: Usando a facilidade da connection


tracking, com base em marcas de conexo previamente
criadas. Esta a forma mais rpida e eficiente.

Diretamente: Sem o uso da connection tracking no


necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
Firewall Estrutura
202
Firewall Fluxo de pacotes
203
n
Firewall - Mangle
Um bom exemplo da utilizao do mangle

marcando pacotes de co exes P2P.
Aps marcar a conexo, agora
precisamos marcar os pacotes
provenientes desta conexo.
204
M
Firewall - Mangle
Com base na conexo j
marcada anteriormente,
podemos fazer as marcaes
dos pacotes.
Obs.: A marcao de P2P disponibilizada no
que usam criptografia.
ikrotik no inclui os programas
205
Firewall -
possvel disponibilizar um
utilizando o mangle. Para is
seguintes fluxos:
Navegao http e https;
FTP
Email
MSN
ICMP
P2P
Demais servios
QoS
Firewall - Mangle
possvel disponibilizar um modelo simples de
utilizando o mangle. Para isso precisamos marcar
seguintes fluxos:

os

Navegao http
FTP
Email
MSN
ICMP
P2P
e https;
Demais servios
206
Dvidas ???
207
e QoS e Control de banda
208
e

o
n
Conceitos bsicos de Largura e Limite
de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de
dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56

kbps), na chamada conexo discada.


Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode t r uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transfer ncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mxim 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Tra sferncia de aproximadamente entre 25kbps a
30,7kbps
209
a
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao

do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o


uso da largura de banda disponvel.

O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de


tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de

determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,


bloqueando redes peer-to-peer (P2P) ou FTP.
210
e
m
n
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de

Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
Emredes de comutao de circuitos, refer -se probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura
oferecer bastantes recursos, suficientes para o pico esperado, com uma margemde

segurana substancial. simples e eficaz, as na prtica assumido como


dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto:
reservar recursos gasta tempo. O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalme te, as reservas podemter um custo
monetrio associado!
211
e
212
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:

Limitar banda para certos IPs, subredes, protocolos,


servios e outros parmetros.

Limitar trfego P2P.


Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenhoweb.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendoda carga do canal.
Utilizao de WMM Wirel ss Multimdia.
MPLS Multi Protocol Layer Switch

o
d
d
Qualidade de Servio
Os principais termos utilizados em QoS so:

Queuing discipline(qdisc): Disciplina de enfileiramento. um


algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reorden-los, e determina quais pacotes sero descartados.
Limit At ou CIR(Commited Inf rmation Rate): Taxa de dados

garantida. a garantia de ban a fornecida a um circuito ou link.


Max Limit ou MIR(Maximal Information Rate): Taxa mxima de

dados que ser fornecida. Ou seja, limite a partir do qual os


pacotes sero descartados.

Priority: a ordem de importncia que o trfego processado.


Pode-se determinar qual tipo e trfego ser processado
primeiro.
213
a
d
c
Filas - Queues

Para ordenar e controlar o fluxo de dados, aplicada uma


poltica de enfileiramento aos p cotes que estejam deixando o
roteador. Ou seja: As filas so aplicadas na interface onde o
fluxo est saindo.

A limitao de banda feita me iante o descarte de pacotes.


No caso do protocolo TCP, os pa otes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
214
p
a
m
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma

disciplina de filas(queue types). Por


colocadas sob queue interface par
adro as disciplinas de
cada interface fsica.
filas so
Uma vez adicionada uma fila para u a interface fsica, a fila padro da
interface, definida em queue interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
interface com prioridade mxima.
215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de

pacotes da seguinte forma:


Schedulers: (Re) ordenampacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadramna disciplina. As disciplinas schedulers
so: PFIFO, BFIFO, SFQ, PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
216
Controle de trfego
217
a
d
Controle de trfego
O controle de trfego implementado
atravs de
dois mecanismos:
Pacotes so policiados n entrada:
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:
Pacotes podem ser atrasa os, descartados ou priorizados.
218
o
Controle de trfego
O controle de trfego implementado internamentepor

4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pac tes e atribu-los as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
219
o
q
Controle de trfeg Tipos de fila
PFIFOe BFIFO: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
um parmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote ue no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
220
o
A
m
221
Controle de trfeg
RED: RandomEarly Detection Deteco
Tipos de fila
leatria Antecipada um mecanismo de

enfileiramento que tenta evitar o congestionamento do link controlando o tamanho


mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na edida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
real da fila muito maior que o max threshould ento todos os pacotes que
excederem o min threshould sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
o Controle de trfeg Tipos de fila
SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia
uma disciplina que tem justia assegurada por algoritmos de hashing e round
roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:

src-address
dst-address
src-port
dst-port
Os pacotes podemser classificados em 1024 sub-filas, e em seguida o algoritmo
round roubin distribui a banda disponvel para estas sub-filas, a cada rodada
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
222
o Controle de trfeg Tipos de fila
SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas
disponveis.
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ
conexes wireless.
especialmente recomendado em
223
o
m
a
d
224
Controle de trfeg Tipos de fila
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, se a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq-classifier. Cada sub-fila tem uma taxa de
transmisso estabelecida em rate e o tam nho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configura o em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
o
d
a
225
Controle de trfeg Tipos de fila
PCQ: Se os pacotes so classificados pelo en ereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configur do na interface local.
H
m
m
226
QoS - TB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. E
limitar download e upload de usurios e
outras palavras, o HTB muito til para
uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tem filhas so colocadas no
level 0, onde as filas so mantidas e chamadas de
leafs class.
Cada classe na hierarquia pode priorizar e dar
forma ao trfego.
H QoS - TB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
Queue03 ir receber 6Mbps
Queue04 ir receber 2Mbps
Queue05 ir receber 2Mbps
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
227
H QoS - TB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
Queue03 ir receber 2Mbps
Queue04 ir receber 6Mbps
Queue05 ir receber 2Mbps
Obs.: Aps satisfazer todas garantias, o HTB disponibilizar
mais banda, at o mximo permitido para a fila commaior
prioridade. Mas, neste caso, permitir-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receber primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuida.
228
H
s
QoS - TB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que ele sejam colocados nas correspondentes
qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub-
classes(inner class) ou apenas uma e um qdisc(leaf classe).
229
H QoS - TB
Estados das classes HTB:

Cada classe HTB pode estar em um dos 3


estados, dependendo da banda que est
consumindo:
Verde: de 0% a 50% da banda disponvel est em
uso.
Amarelo: de 51% a 75% da banda disponvel est
em uso.

Vermelho: de 76% a 100% da banda disponvel


est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
230
H
e
m
a
QoS - TB

No Mikrotik as estruturas do HTB pode ser anexadas a quatro


locais diferentes.
Interfaces:

Global-in: Representa todas as interfaces de entrada em geral(INGRESS


queue). As filas atreladas Global-in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas dire s. Por exemplo se configurarmos um total-

max-limit de 300kbps, teremos u total de download+upload de 300kbps,


podendo haver assimetria.

Interface X: Representa uma interface particular. Somente o trfego que


configurado para sair atravs dest interface passar atravs da fila HTB.
231
P
Interfaces virtuais e o Mangle
Saida
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Forward
232
Mangl
Forwar
Global-in
Mangle
Posrouting
Global-out
Mangle
Prerouting
Mangle Output Mangle Input
Processo Local IN
Interface de
rocesso Local
OUT
Interface de
Entrada
Filas simples
As principais propriedades configurveis de uma fila simples so:

Limite por direo de IP de origem ou destino


Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio. 233
Filas simples

- Burst
Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:
burst-limit: Limite mximo que o burst alcanar.
burst-time: Tempo que durar o burst.
burst-threshold: Patamar para comear a limitar.
max-limit: MIR
234
n Como funcio a o Burst
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula
taxa mdia de consumo de banda durante o burst-time de 8 segundos.
a

Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.


Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.
235
a
236
Utilizao do PCQ
PCQ utilizado para equ
conexo em particular.
lizar cada usurio ou
Para utilizar o PCQ, um novo tipo de fila deve
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
ser

parmetros:
pcq-classifier
pcq-rate
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so

limitadas, ou seja, elas podero usar a largura mxima de banda


disponvel em max-limit.

Caso 2: Se configurarmos um rate para a PCQ as subqueues sero


limitadas nesse rate, at o total de max-limit.
Caso 1 Caso 2
237
Utilizao do PCQ

Nesse caso, com o rate da fila 128k, no


existe limit-at e tem um max-limit de 512k,
os clientes recebero a banda da seguinte
forma:
238
239
Utilizao do PCQ

Nesse caso, com o rate da fila 0, no existe


limit-at e tem um max-limit de 512k, os
clientes recebero a banda da seguinte
forma:
e
Arvores de Fila
Trabalhar com rvores de fila uma man ira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao
outros, determinando assim uma poltica de QoS para cada fluxo do roteador. Os
filtros de rvores de filas so aplicados na interface especifica. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma

interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-
in e/ou global-out, limitao por cliente na interface de sada. Se configurado
filas simples e rvores de filas no mesmo roteador, as filas simples recebero o
trfego primeiro e em seguida o classficaro.
240
241
Arvores de Fila
As rvores de fila so configuradas em
queue tree.
Dentre as propriedades configurveis
podemos destacar:
Escolher uma marca de trfego feita no
firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.

Arvores d
QUEUE MARCA LIMIT
Q1 C1 10M
Q2 C2 1M
Q3 C3 1M
Q4 C4 1M
Q5 C5 1M
Obs.: O roteador no conseguir garantir band
ORITY
Arvores de Fila
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
242
LIMIT-AT MAX-LIMIT PRI
10M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
Arvores d
Filas com parent (hierarq
Arvores de Fila
Filas com parent (hierarquia).
243
Arvores d
C1 possui maior prioridad
atingir o max-limit. O res
dividida entre as outras l
Arvores de Fila
C1 possui maior prioridade, portanto consegue
atingir o max-limit. O restante da banda
dividida entre as outras leaf-queue.
244
Dvidas???
245
Tneis e VPN
246
g
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de cripto rafia por tunelamento que fornecem
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade das comunicaes requeridas. Quando adequadamente
implementados, estes protocolos podemassegurar comunicaes seguras

atravs de redes inseguras.


247
s
b
b
N
VPN
As principais caracterstica da VPN so:

Promover acesso seguro so re meios fsicos pblicos


como a internet por exemplo.

Promover acesso seguro so


wireless, etc...
re linhas dedicadas,

Promover acesso seguro a servios em ambiente


corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da

rede corporativa remota recebendo IPs desta e perfis de


segurana definidos.

A base da formao das VP s o tunelamento entre dois


pontos, porm tunelamento no sinnimo de VPN.
248
Tunelam
A definio de tunelamento a capa
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipo
tanto servidor como cliente desses p
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over E
PPTP (Point to Point Tunneling Proto
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
249
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:

PPP (Point to Point Protocol)


PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
p
PPP Definies Comuns para
servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Emservios PPP que precisamencapsular os pacotes, deve-
se definir valores menores para evitar fragmentao.
os

Keepalive Timeout: Define o perodo de tempo em segundos aps o qual o


roteador comea a mandar pacotes de kee alive por segundo. Se nenhuma
reposta recebida pelo perodo de 2 vezes o definido em keepalive timeout o
cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759

250
m
e
s
e
PPP Definies Comuns para os
servios
PMTUD: Se durante uma comunicao algu a estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores interm diarios e a adequao dos
pacotes posteriores chamada Path MTU Di covery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em byt s, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
251
PPP Definies Comuns para os
servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns caso o PMTUD est quebrado ou os
roteadores no conseguem trocar informaes de maneira eficiente e causam uma
srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde possvel interferir e configurar uma diminuio do
MSS dos prximos pacotes atravs do tnel visando resolver o problema.
252
e
O
PPPoE Client e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
mais.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite
criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado.
que o cliente suporte este mtodo.
mtodo MPPE pode ser usado desde
253
e

PPPoE Client e Servidor


O cliente descobre o servidor atravs do protocolo
pppoe discovery que tem o nome do servi o a ser
utilizado.
Precisa estar no mesmo barramento fsico ou os
dispositivos passarempra frente as requisies
PPPoE usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na
maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.

254
r
o
255
Configurao do Servidor PPPoE
1. P imeiro crie um pool de IPs para o
PPPoE.
/ip po l add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
Adicione um perfil para o PPPoE onde: 2.
Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 name=perfil-
pppoe remote-address=pool-pppoe
5
m
Configurao do Servidor PPPoE
3. Adicione um usurio e senha
/ppp secret add name=usuario password=1234 6
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, adicione em
Caller ID. Esta opo no obrigatria, mas u
parametro a mais para segurana.
256
a
Configurao do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe v
escutar.
i
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-
mru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes service-
name="Servidor PPPoE"
257
e
s
Mais

sobr perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para associar ao
perfil.
DNS Server: Configurao dos servidores DNS a
atribuir ao clientes.
Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
e
n
-
o
Mais sobr perfis
Timeout: Durao mxima de uma
PPPoE.
Sessio
sesso
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit: Limitao da velocidade na forma
rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burst-
rate rx burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
Only One: Permite apenas uma sesso para o

mesm usurio.
259
p
p
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em articular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local (servidor)
e remote(cliente) que podero ser atribudos a um
cliente em articular.
Limits Bytes IN/Out: Quantidade em bytes que o
cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do servidor
para esse cliente especifico. Vrias rotas podemser
adicionadas separadas por vrgula.
260
P
M
m
a

Mais sobre o PPoE Server


O concentrador P PoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/ RU inicialmente recomendado para o PPPoE
1480 bytes. Em u a rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configur da com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero m ximo de sesses que o concentrador
suportar.
261
Segurana no PPPoE
Para assegurar um servidor PPPoE pode-
se utilizar Filtros de Bridge, configurando
a entrada ou repasse dos protocolos
pppoe-discovery e pppoe-session e
descartando os demais.
Mesmo que haja somente uma interface,
ainda sim possvel utilizar os Filtros de
Bridge, bastando para tal, criar uma
Bridge e associar em Ports apenas esta
interface. Em seguida alterar no PPPoE
Server a interface de esculta.
262
Configurando o PPPoE Client

AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um.


Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
263
a
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 um
protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O
protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite
enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada par o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers, funcionando tambm atravs de
NAT.
L2TP e PPTP possuem as mesma funcionalidades.
264
Configurao do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets
e habilite o servidor PPTP conforme as figuras.
265
Configurao do Serv
Configure os servidores
PPTP e L2TP.
Atente para utilizar o perfil
correto.
Configure nos hosts locais
umcliente PPTP e realize
conexo com um servidor
da outra rede.
Ex.: Hosts do Setor1 conectam
em Servidores do Setor2 e vice-
versa.
P Configurao do Servidor PPTP e L2T
266
Configurao do Cliente PPTP e L2TP
As configuraes para o cliente PPTP e L2TP so
bem simples, conforme observamos nas imagens.
267
t
m
Tneis IPIP
IPIP um protocolo que encapsula paco es IP sobre o prprio protocolo IP
baseado na RFC 2003. um protocolo simples que pode ser usado pra
interligar duas intranets atravs da internet usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse uma

interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em
Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts
atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para
o host que realiza o monitoramento, se
senha como nas VPNs.
a necessidade de criar usurio e
268
6
269
Tneis IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22. 3.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
d
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces criadas.

Aps criado o tnel IPIP as re


domnio de broadcast.
es fazem parte do mesmo
270
a
Tneis EoIP
EoIP(Ethernet over IP) um protocolo
proprietrio Mikrotik para encapsula mento de
todo tipo de trfego sobre o protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de
um tnel EoIP, todo o trfego passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vrios protocolos.

O protocolo EoIP possibilita:


Interligao em bridge de LANs remotas atravs da internet.
Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O

protocolo EoIP encapsula frames ethernet travs do protocolo GRE.


271
s EoIP Tnei
Criando um tnel EoIP entre as redes por
trs dos roteadores 10.0.0.1 e
22.63.11.6.
Os MACs devem ser diferentes e estar
entre o rage: 00-00-5E-80-00-00 e 00-00-
5E-FF-FF-FF, pois so endereos
reservados para essa aplicao.
O MTU deve ser deixado em 1500 para
evitar fragmentao.
O tnel ID deve ser igual para ambos.

272
u
s EoIP Tnei
Adicione a interface EoIP a bridge,
j ntamente com a interface que far
parte do mesmo dominio de broadcast.
273
a Dvid s ????
274
HotSpot no Mikrotik
275
f
v
HotSpot
HotSpot um termo utilizado para se re erir a uma rea pblica
onde est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio wi-fi. Aplicaes
tpicas incluemo acesso em Hotis, Aeroportos, Shoppings,

Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atra s de autenticao baseada em nome

de usurio e senha.
Quando em uma rea de cobertura de um HotSpot, um usurio que tente
navegao pela WEB arremetido para uma pgina do HotSpot que pede suas
credencias, normalmente usurio e senha. Ao fornec-las e sendo um cliente
autorizado pelo HotSpot o usurio ganha acesso internet podendo sua

atividade ser controlada e bilhetada.


276
HotSpot
Setup do HotSpot:
1. Escolha a interface que vai ouvir
o hotspot.
2. Escolha o IP em que vai rodar o
hotspot e indique se a rede ser
mascarada.
3. D um pool de endereos que
sero distribudos para os usurios
do hotspot.
4. Selecione um certificado, caso
queira usar.
277
HotSpot
Setup do HotSpot(cont.):
5. Indique o endereo IP do seu
servidor smtp, caso queira.
D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
D o nome do DNS que ir
responder aos clientes ao invs
do IP.
Adicione um usurio padro.
6.
7.
8.
Feito. O HotSpot j est pronto para
ser usado.
278
279
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila

especifica para o HotSpot.


HotSpot Detalhes do Servidor
Address Per MAC: Nmero de IPs permitidos para um
determinado MAC.

Idle Timeout: Mximo perodo de tempo de inatividade


para clientes autorizados. utilizado para detectar os
clientes que esto conectados mas no esto trafegando
dados. Atingindo o tempo configurado, o cliente
retirado da lista dos hosts autorizados. O tempo
contabilizado levando em considerao o momento da
desconexo menos o tempo configurado.

Keepalive Timeout: Utilizado para detectar se o computador do cliente est ativo e


respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de
hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando
em considerao o momento da desconexo menos o tempo configurado.
280
HotSpot Perfil do Servidor
HTML Directory: Diretrio onde so colocadas as

pginas desse hotspot.


HTTP Proxy/Port: Endereo e porta do servidor de
web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples para
todo o hotspot. Esta fila vai aps as filas dinmicas dos
usurios.
281
e
o
a
HotSpot Perfil do Servidor
Login by:
MAC: Usa o MAC dos clientes primeiro como nome do usurio.
Se existir na tabela de usurios local ou em um Radius, o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.

HTTP PAP: Usa autenticao em texto plano.


Cookie: Usa HTTP cookies para autenticar sem p dir
credenciais. Se o cliente no tiver mais o cookie
expirado ele de usar outro mtodo.
u se tiver
HTTPS: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
roteador.
Trial: No requer autenticao por um determin do tempo.
Split User Domain: Corta o domnio do usurio no caso de usuario@hotspot.com

HTTP Cookie Lifetime: Tempo de vida dos cookies.


282
HotSpot Perfil do Servidor
Use Radius: Utiliza servidor Radius para autenticao

dos usurios do hotspot.


Location ID e Location Name: Podem ser atribudos
aqui ou no Radius. Normalmente deixado em branco.
Accounting: Usado para registrar o histrico de logins,
trfego, desconexes, etc...
Interim Update: Freqncia do envio de informaes
de accounting. 0 significa assim que ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.
Informao meramente para referncia.
283
m
m
HotSpot Perfil de Usurios
O Use Profile serve para dar tratamento
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo permitido.

Idle Ti eout/Keepalive: Mesma explicao


anterior, no entanto agora somente para este
perfil de usurios.
Status Autorefresh: Tempo de refresh da pgina
de Status do HotSpot.
Shared Users: Nmero mximo de clientes com
o mes o username.
284
-
d
HotSpot Perfil de Usurios
Os perfis de usurio podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rx-
burst-threshold/tx-burst-threshold] [rx-burst-time/tx-burst-
time] [priority] [rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download


256k de upload burst / 512k de download burst
96k threshoul de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download
285
h
a
HotSpot Perfil de Usurios
Incoming Filter: Nome do firewall chain aplicado aos
pacotes que c egam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos

pacotes vo p ra o usurio deste perfil.


Incoming Packet Mark: Marca colocada automaticamente

em pacotes oriundos de usurios deste perfil.


Outgoing Packet Mark: Marca colocada automaticamente

em pacotes que vo para usurios deste perfil.


Open Status Page: Mostra a pgina de status

http-login: para usurios que logam pela WEB.


always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.

286
HotSpot Perfil de Usurios
Coma opo Advertise possvel enviar de tempos
em tempos popups para os usurios do HotSpot.
Advertise URL: Lista de pginas que sero

anunciadas. A lista cclica, ou seja, quando a ltima


mostrada, comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de popups. Depois da
sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser mostrado,

antes de bloquear o acesso a rede.


Pode ser configurado um tempo.
Nunca bloquear.
Bloquear imediatamente.
287
HotSpot Perfil de Usurios
O Mikrotik possui uma linguageminterna de scripts
que podemser adicionados para serem executados

em alguma situao especifica.


No HotSpot possvel criar scripts que executem
comandos a medida que um usurio desse perfil
conecta ou desconecta do HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do HotSpot.
Os scripts so adicionados no menu:
/system script
288
U HotSpot surios
289
U
o
u
c
r
HotSpot surios
s hotspots ou para um especfico.
rio. Se o modo Trial estiver ativado o

Server: all para tod


Name: Nome do us
hotspot colocar automaticamente o nome T-
MAC_Address. No aso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio a um

endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as prop iedades.
Routes: Rotas que sero adicionadas ao cliente quandose conectar. Sintaxe:
Endereo destino gateway metrica. Vrias rotas separadas por vrgula podemser
adicionadas.
290
U
m
HotSpot surios
Limit Uptime: Limite mximo de tempo de conexo para o
usurio.
Limit Bytes In: Li

ite mximo de upload para o usurio.


Limit Bytes Out: Limite mximo de download para o
usurio.
Limit Bytes Total: Limite mximo considerando o
download + upload.
Na aba das estatsticas possvel acompanhar a utilizao
desses limites.
291
292
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.

HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade denominada DAT na AP 2500 e eezee no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede
ou MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede inicialmente. Tambm
possvel fazer bloqueio de endereos.
293
T
S
s
T
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
o Address: Endereo IP o qual o original
deve ser traduzido.
erver: Servidor hotspot o qual a regra
er aplicada.
ype: Tipo do Binding

Regular: faz traduo regular 1:1


Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e todos os
pacotes sero bloqueados.
294

HotSpot Ports
A facilidade NAT do hotspot causa
problemas com alguns protocolos
incompatveis com NAT. Para que esses
protocolos funcionemde forma
consistente, devem ser usados os
mdulos helpers.
No caso do NAT 1:1 o nico problema
com relao ao mdulo de FTP que
deve ser configurado para usar as
portas 20 e 21.
295
a
o
HotSpot Walled Garden
Configurandoum walled garden possvel oferecer ao usurio o acesso a

determinados servios sem necessidade de utenticao. Por exemplo em um


aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestad res de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do walled garden o
gateway no intercepta e, no caso do http, redireciona a requisio para o destino ou
um proxy.
Para implementar o walled garden para requisies http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
passemde fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos
por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o
pacote web-proxy.
296
m
v
HotSpot Walled Garden
i portante salientar que o walled
garden no se destina somente a
ser io WEB, mas qualquer servio
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros servios e protocolos.
297
HotSpot Walled Garden

Action: Permite ou nega.


Server: Hotspot para o qual o walled garden vale.
Src.Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
298
HotSpot Walled Garden
Action: Aceita, descarta ou rejeita o pacote.

Server: Hotspot para o qual o walled garden vale.


Src. Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser requisitada.
Dst. Host: Nome do domnio do servidor de destino.
299
C HotSpot ookies
Quando configurado o login por cookies, estes ficam armazenados no
hotspot com nome do usurio, MAC e tempo de validade.
Enquantoestiverem vlidos o usurio no precisa efetuar o procedimento

de login e senha.
Podemser deletados (-) forando assim o usurio a fazer o login
novamente.
300
o
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:

redirect.html redireciona o usurio a uma pgina especifica.


login.html pgina de login que pede usurio e senha ao cliente. Esta pgina
tem os seguintes parmetros:

Username/password.
Dst URL original que o usurio requisit u antes do redirecionamento e que ser
aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
301
n
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS
certificado, assin-lo corretamente e
do menu /system certificates.
ecessrio que se crie um
em seguida import-lo atravs
302
a Dvid s ????
303
p
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas
funo da topologia da rede.
elo usurio atravs de inseres pr-definidas em
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path) que um mecanismo
permite rotear pacotes atravs de vrios links e permite balancear cargas.
que
possvel ainda no Mikrotik se estabelecer polticas de roteamento dando
tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
304
o Polticas de R teamento
Existem algumas regras que devem ser seguidas para se estabelecer
uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e
portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-
os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
305
o
m
Polticas de R teamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.

A estrtegia nesse caso colocar co o gateway default um link menos


nobre, marcar o trfego nobre (http, dns, pop, etc.) e desvia-lo pelo link
nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos
nobre.
306
o
n
Polticas de R teamento
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e check-
gateway. Dessa forma o trfego ser
balanceado e ir garantir o failover
da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 check-gateway=pi g
307
u
c
c
w
amento
e
Ex. de Poltica de
Rote
Marcar pacotes da rede 192.168.10.0/24 como lan1 e
1.
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24 action=mark-
routing new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=mark-
routing new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1
os pacotes da rede lan2 para o gateway 10.112.0.1 sando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 che
gateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 che
gateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gate
k-
192.168.20.0/24
k-
192.168.10.0/24
ay=ping
308
Balanceamento de Carga com PCC
309
o
Balanceamento de Carga com PCC
O PCC uma forma de balancear o trfego de acordo com um critrio de
classificao pr-determinado das conex . Os parametros de configurao so:
Classificador Denominador Contador
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.
310
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Primeiro vamos marcar as conexes. Atente
para a interface de entrada(clientes), o
denominador(links) e o contador que inicia
em zero.
311
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
312
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
313
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Agora vamos marcar as rotas com base nas
marcaes de conexes j feitas
anteriormente.
Atente agora para desmarcar a opo
passthrough.
314
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
315
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
316
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
317
o
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Precisamos adicionar o NAT para cada gateway c nforme as imagens. Repita a mesma
operao para as demais interfaces.
318
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:

RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar
redundncia e balanceamento de links de forma automtica e uma
forma de se fazer uma rede semelhante as redes conhecidas como
Mesh, porm de forma esttica.
319
d

a
n
Roteamento dinmico - BGP
O protocolo BGP destina o a fazer comunicao
entre AS(Autonomos System) diferentes, podendo
considerado como o cora o da internet.
O BGP mantm uma tabela de prefixos de rotas
contendo informaes par se encontrar
determinadas redes entre os ASs.
ser

A verso corrente do BGP


especificada na RFC 1771.
o Mikrotik a 4,
320
o
Roteamento Dinmico - OSPF
O protocolo Open Shortest Path First, um protocolo do tipo link state. Ele
usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os
destinos.
O OSPF distribui informaes de roteamento entre os roteadores que
participem de um mesmo AS(Autonomous System) e que tenha o protocolo
OSPF habilitado.
Para que isso acontea, todos os rotead res tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de
redes. As rotas so aprendidas e instaladas nas tabelas de roteamento dos
roteadores.
321
OSPF
Roteamento Dinmico -
Tipos de roteadores em OSPF:
Roteadores
Roteadores
Roteadores
internos a uma rea
de backbone (rea 0)
de borda de rea (ABR)
OS ABRs devem ficar entre dois roteadores e devem tocar a
rea 0
Roteadores de borda Autonomous System(ASBR)
So roteadores que participam do OSPF mas fazem
comunicao com um AS.
322
P OS F - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
para os participantes desta, o trfego sensvelmente reduzido. Isso tambm
previne o recalculo das distncias por reas que no participam da rea que

promoveu alguma mudana de estado.


aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
323
s
o
OSPF - Redes
Aqui definimos as redes OSPF com os
parmetros:
eguintes
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente p
adicionadas aqui.
dem ser
Area: rea do OSPF associada.
324
e
a
a
OSPF

- Opes
Router ID: Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que xista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se tiver sido
instalada como rota esttica, dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2 se tiver sido
instalada como rota esttica, dhcp ou PPP.
Alw ys (as type 1): Sempre, com mtrica 1.
Alw ys (as type 2): Sempre, com mtrica 2.
325
C
a
S
R
B
OSPF - Opes
Redistribute onnected Routes: Caso habilitado, o
roteador ir distribuir todas as rotas relativas as redes que
estejam diret mente conectadas a ele.
Redistribute tatic Routes: Caso habilitado, distribui as
rotas cadastradas de forma esttica em /ip routes.
Redistribute IP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
Redistribute GP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas que
sero exportadas as diversas rotas.
326
OSP
Considerando nosso diagrama
OSPF em uma s rea e testar
OSPF
Considerando nosso diagrama inicial, vamos aplicar o
OSPF em uma s rea e testar a funcionalidade.
327
a Dvid s ????
328
w
d
m
Web Proxy
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.

Tambm possvel utilizar o


contedo sem a necessidade
eb proxy como filtro de
e fazer cache.
Como o web proxy escuta todos ips do router, muito
importante assegurar que so
iro acess-lo.
ente clientes da rede local
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
seu equipamento.
329
d
d
Web Proxy - Parmetros
Src. Address: Endero IP do servidor proxy caso
voc possua vrios ips no mesmo roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em um

sistema e hierarquia de proxy.

Parent Proxy Port: Porta o parent proxy escuta.


Cache A ministrator: Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache em

KiBytes.
Cache On Disk: Indica se o cache ser em Disco ou
em RAM.
330
s
v
s
Web Proxy - Parmetros
Max Client Connections: Nmero mximo de
conexe
Max Ser
conexe
proxy.
simultneas ao proxy.
er Connections: Nmero mximo de
que o proxy far a um outro servidor

Max Fresh Time: Tempo mximo que os objetos que


no possuem tempo padro definidos, sero
considerados atuais.
Serialize Connections: Habilita mltiplas conexes
ao servidor para mltiplas conexes para os

clientes.
Always FromCache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
331
Web Proxy - Parmetros
Cache Hit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est usando

para armazenamento dos objetos. Esses discos


podemser acessados no menu: /system stores.
332
s
h
Web Proxy - Status

Uptime: Tempo que o proxy est rodando.


Request : Total de requisies ao proxy.
Hits: Nmero de pedidos que foram atendidos pelo
cache do proxy.
Cache Used: Espao usado em disco ou RAM usado
pelo cac e do proxy.
Total RAM Used: Total de RAM usada pelo proxy.

Received FromServers: Total de dados em Kibytes recebidos de servidores


externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
333
Web Proxy - Conexes
Aqui podemos a lista de conexes ativas no proxys
Src. Address: Endereo IP das conexes remotas
Dst. Address: Endereo destino que est sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexo
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente
334
Web Proxy
A lista de acesso permite controlar
contedo que ser permitido ou no
para armazenamento no cache do proxy.
- Access

As regras adicionadas nesta lista so


processadas de forma semelhante que
as regras do firewall. Neste caso as
regras iro processar as conexes e caso
alguma conexo receba um match ela
no ser mais processada pelas demais
regras.

335
e
u
Web Proxy
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisi
Action: Permite ou nega a regra
- Access

Redirect To: URL ao qual o usurio ser redirecionado


caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofre macth
336
Web Proxy - Cache
A lista de cache define como as requisies sero armazenadas ou no no
cache do proxy.
Esta lista manipulada da mesma forma que a lista de acesso.
De forma anloga ao firewall, qualquer requisio que no esteja na lista de
regras, ser armazenada no cache.
Os parmetros de configurao das regras so idnticas as regras da lista de
acesso.
337
d
Web Proxy - Direct
A lista de acesso direto utilizada quan o um Parent Proxy est
configurado. Desta forma possvel passar a requisio ao mesmo ou
tentar encaminhar a requisio diretamente ao servidor de destino.
Esta lista manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisio que no esteja na lista de
regras, ser por padro negada.
Os parmetros de configurao das regras so idnticas as regras da lista de
acesso.
338
m
Web Proxy Regras de Firewall
Para que o proxy funcione de forma correta e segura, necessrio criar
algumas regras no firewall nat e no firewall filter.
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta
80 para o servidor web proxy.
Em seguida precisamos garantir
acesso ao servidor web proxy.
que so ente os clientes da rede local tero
339
r
p
Web Proxy Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80
action=redirect to-ports=8080
Protegendo o proxy contra acessos exte
/ip firewall filter add chain=input
interface=wan action=drop
nos no autorizados
rotocol=tcp dst-port=8080 in-
340
Exerccio final
Abra um New Terminal
Digite: /system reset-configuration
341
a Dvid s ????
342
The Dude O cara
343
e
The Dude O cara
The Dude uma ferramenta de monitoramento que:
Fornece informaes acerca d quedas e restabelecimentos de
redes, servios, assim como uso de recursos de equipamentos.
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
Notificaes via udio/video/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de respostas de
DNS, utilizao de banda, informaes fsicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo
SNMP.
344
m
The Dude O cara
Possibilidade de utilizar ferra entas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.

Acesso direto a dispositivos Mikrotik atravs do winbox.


Armazenamento de histrico de eventos(logs) de toda a
rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para tomada de
decises atravs do SNMP Set.

(Vide: MUM Czech Republic 2009 Andrea Coppini)


345
m
Instalando o The Dude
No Windows:
Fazer o download, clicar
todas as perguntas.
no executvel e responder sim para
No Linux:
Instalar o wine e a partir da proceder como no windows.
Em Routerboard ou PC co Mikrotik:
Baixar o pacote referentea arquitetura especifca, enviar para
o Mikrotik via FTP ou Winbox e rebootar o roteador.
346
The Dude em Routerboards
O espao em disco consumido pela The Dude considervel, entre outras coisas,
devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em
Routerboards aconselhvel o uso daquelas que possuam armazenamento
adicional como:

RB 433UAH Aceita HD externo via USB


RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas de
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento tambm devem ser considerados.
347
The Dude - Comeando
A instalao do The Dude sempre instala o cliente e o servidor e no
primeiro uso ele sempre ir tentar usar o Servidor Local(localhost). Caso
queira se conectar em outro servidor clique no raio.
348
The Dude - Comeando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios
tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
que a op
n
o Router OS.
350
The Dude Adiciona do dispositivos
O The Dude tem um wizard para criao de
dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, mar
n The Dude Adiciona do dispositivos
Em seguida descubra os servios que esto rodando nesse equipamento. Aps
isso o dispositivo estar criado.
351
n The Dude Adiciona do dispositivos
Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:

Nome de exibio
Tipo do dispositivo
352
n
m
The Dude Adiciona do dispositivos
O The Dude possui vrios dispositivos pr-definidos, mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prtica.
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados co suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
n The Dude Adiciona do dispositivos
Quando a rede possui elementos no configurveis
por IP como switchs L2, necessrio criar
dispositivos estticos para fazer as ligaes. Com
isso possvel concluir o diagrama da rede
forma mais realista e parecida com a real.
de
354
a
b
The Dude Cri ndo links

Para criar links entre os dispositivos


direito, selecionar Add Link e ligar os
asta clicar no mapa com o boto
dois dispositivos informando:

Device: Dispositivo que ir fornece as informaes do link.


Mastering type: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a
interface que deseja monitorar a velocidade e estado do link.
Speed: Informandoa velocidade do link, ativado a sinalizao do estado do

mesmo baseando-se em cores.


Type: Tipo de conexo fsica entre os dispositivos.
355
a
The Dude Notificaes
Efetue um duplo clique no dispositivo e v na guia Notifications. Nela
voc pode informar o tipo de notific o que deseja receber.
356
357
The Dude Servios indesejveis
Como The Dude podemos monitorar servios que no desejamos que estejam

ativos.
g The Dude rficos

Podemos manipular a forma como os grficos iro ser apresentados para


identificar servios, estado dos links etc...
358
u
The Dude Efetuando Backups
As configuraes so salvas a tomaticamente na
medida em que so feitas. Para se ter um backup
externo use o export para gerar um arquivo .xml com
todas as configuraes que podero ser importadas
sempre que necessrio.
359
a Dvid s ????
360
Laboratri
Abram um terminal
Executem: /systemreset-
defaults=yes
Laboratrio Final
Abram um terminal
Executem: /system
defaults=yes
reset-configuration no-
361
OBRIGADO!
Guilherme Marques Ramires.
E-mail para contato: guilherme@mktsolutions.net.br
362